En el panorama de TI en evolución, las implementaciones de la nube se han arraigado profundamente en las operaciones comerciales, presentando oportunidades sin precedentes y desafíos importantes. La adopción generalizada de tecnologías en la nube ha creado un entorno complejo y dinámico, que a menudo abarca múltiples proveedores y regiones geográficas, cada uno con sus propias leyes, regulaciones y estándares.
Desde entornos fragmentados hasta desafíos de control de acceso, vulnerabilidades de API, problemas de interoperabilidad y prácticas de monitoreo desafiantes, las extensas implementaciones en la nube de hoy pueden generar brechas en la cobertura de seguridad e inconsistencias en la protección de datos. De hecho, estas complejidades han sido la causa principal de varios incidentes de seguridad de TI a lo largo de los años. El uso y las implementaciones de la nube se han convertido rápidamente en partes cruciales de las operaciones comerciales y, en algunos casos, en la base del propio negocio. Hemos visto un cambio significativo de estrategias locales a estrategias predominantemente basadas en la nube para muchas organizaciones.
He tenido el privilegio de ser parte de varias de estas transiciones a lo largo de los años. Un ejemplo notable fue el de una empresa multinacional de servicios financieros cuya función de gestión de riesgos había adoptado estrategias de nube híbrida y de múltiples nubes. Si bien estas estrategias tenían sus ventajas, también presentaban importantes amenazas.
Esta organización en particular utilizó una nube pública para el modelado de riesgos avanzado y una nube privada local para almacenar datos financieros confidenciales para cumplir con los requisitos reglamentarios. Sin embargo, las diferentes tecnologías, servicios de seguridad e implementaciones dieron lugar a medidas de seguridad inconsistentes. Durante una auditoría de rutina, descubrimos que datos financieros confidenciales habían quedado expuestos inadvertidamente debido a configuraciones incorrectas del control de acceso en la nube pública.
Varios factores contribuyeron a esto. En primer lugar, la diversidad y complejidad del entorno de la nube había permitido un amplio acceso a través de llamadas API y otras tecnologías. En segundo lugar, el conjunto de habilidades dentro de la organización era una limitación. El equipo manejó varios planos de tecnología con sus componentes de seguridad, pero carecía de las habilidades especializadas para mantener de manera sostenible un alto nivel de seguridad en todos estos entornos. La violación que se produjo cuestionó la integridad del modelo de riesgo y planteó un grave riesgo reputacional para la organización.
Este incidente es un gran ejemplo de las vulnerabilidades inherentes a los complejos entornos de nube y los desafíos críticos que enfrentan muchas organizaciones. Cada proveedor de nube opera con herramientas, interfaces e implementaciones de seguridad únicas, lo que genera posibles inconsistencias y vulnerabilidades. La adopción generalizada de la nube crea un entorno multifacético que requiere una gestión meticulosa y medidas de seguridad sólidas para evitar exposiciones.
Para abordar estos desafíos, se deben considerar conjuntos de herramientas específicos que ayuden a consolidar y ganar visibilidad en diversas implementaciones de la nube. Uno de esos conjuntos de herramientas es una solución de Detección y Respuesta Administradas (MDR). Junto con un sólido Centro de Operaciones de Seguridad (SOC) 24 horas al día, 7 días a la semana, esto puede centralizar datos de diversas fuentes, conjuntos de herramientas, tecnologías e infraestructuras de nube en todo el panorama de TI de la organización. Esta centralización permite que los SOC experimentados observen esos flujos de datos, lo que mejora los tiempos de respuesta, reduce la fatiga de las alertas y ayuda a la organización a obtener una mejor visibilidad y comprensión de su entorno.
Cultura de seguridad
Pero optimizar el conjunto de herramientas y habilidades por sí solo no es suficiente. Sin la mentalidad o cultura adecuada establecida dentro de una organización, el impacto del conjunto de herramientas y habilidades mejorado será de corta duración. La gestión juega un papel crucial en esto. La seguridad y el riesgo deben ser uno de los principales impulsores de la cultura organizacional, influyendo en cómo se toman las decisiones y los procesos.
Es fundamental establecer estructuras de gobernanza eficaces para los datos, la seguridad, el cumplimiento y la gestión de riesgos. Estos no deberían ser meros documentos sino prácticas que impregnen a toda la organización. Deben existir y comunicarse sistemas básicos como respuesta a incidentes y programas de resiliencia eficaces. También se deben tomar en serio las prácticas de gestión de identidades y accesos.
Abordar estos desafíos no solo mejorará la postura de seguridad de la organización, sino que también facilitará el logro de los objetivos comerciales principales. Reduce la complejidad y los inconvenientes de diversas implementaciones tecnológicas y mitiga los riesgos asociados. A medida que la complejidad de los entornos de nube continúa creciendo, impulsada por los avances en la inteligencia artificial y el aprendizaje automático, los desafíos que enfrentan las organizaciones solo se intensificarán.
La naturaleza dinámica de los entornos de nube, caracterizados por el aprovisionamiento y desaprovisionamiento continuo de recursos, introduce complejidades que requieren soluciones de seguridad avanzadas capaces de adaptarse a estos cambios. Garantizar políticas de seguridad consistentes en diversas plataformas en la nube sigue siendo un desafío importante, que requiere soluciones que puedan seguir el ritmo del panorama en evolución.
Temi Akinlade es asesor de vCISO en Armor Security y se especializa en guiar a los clientes a través del desarrollo de estrategias de riesgo y la seguridad de la infraestructura. Ahora radicado en Londres, llegó al Reino Unido en 2023 después de trabajar en riesgos y cumplimiento en la consultora cibernética Kumbie Technologies en Canadá y Sudáfrica. Tiene una licenciatura en informática de la Universidad de Sudáfrica y también es voluntario del Consejo de Seguridad Cibernética del Reino Unido.