Ricardo Urbina.
¿Cuál es la tendencia actual en torno a la nube?
Sin duda, el uso de la nube antes de la pandemia venía en aumento, básicamente por los beneficios. Si la organización lograba “modelar” sus servicios y procesos de acuerdo a las características que definen una solución cloud, sin duda, es natural usar las ventajas que este modelo ofrece, que resultan atractivas para las distintas áreas, por ejemplo, pagar solo por los recursos que se necesitan y cuándo se necesitan; acceso desde distintas plataformas sin tener que implementar el equipamiento y seguridad asociada; posibilidad de agregar servicios y atributos sobre estos solo seleccionando desde una interfaz; elasticidad en crecer/reducir de acuerdo a cómo se mueve el negocio; y, finalmente, agilidad en el desarrollo de nuevas soluciones como parte del proceso productivo.
Sin embargo, si bien el negocio es uno de los beneficiados directos de usar servicios en la nube, también es el responsable de definir los riesgos y las restricciones o limitaciones, determinando cuáles se pueden o no usar. Por ejemplo, por exigencia legal y/o compromiso con los clientes, los datos deben estar restringidos a una ubicación geográfica, lo que automáticamente limita usar proveedores fuera del país donde la organización se encuentra.
Esto implica distintos escenarios…
Sí, en algunos las exigencias del negocio obligan a mantener datos y/o procesos en infraestructura propia y solo algunos servicios pueden ser modelados y usados en la nube. Por otra parte, puede ser un modelo de migración de on premise hacia la nube; esto es: muevo unos servicios y procesos en la primera etapa y luego muevo otros. Lo anterior se aceleró fuera de todo plan inicial con la pandemia; todas las organizaciones se vieron forzadas a mover servicios y procesos hacia la nube, y el modelo híbrido es una muy buena solución.
Siempre debe existir una evaluación en detalle de los beneficios y riesgos asociados; el negocio debe definir qué riesgo se asume y los equipos de TI deben mostrar las distintas opciones existentes, ya que la decisión final está en el contexto del riesgo del negocio. No hay que olvidar que los datos también pueden utilizar atributos que la nube ofrece, por ejemplo, respaldos en otras ubicaciones considerando la amenaza real de un ataque de ransomware.
¿Cómo la pandemia ha afectado la seguridad de los ambientes en la nube?
La seguridad siempre ha sido la variable fundamental para decidir o no usar servicios en la nube, por lo que toda evaluación debe considerar el GAP entre los controles que el servicio cloud ofrece y los controles que la gestión del riesgo de la organización exige cumplir. La pandemia solo vino a forzar que las organizaciones tuviesen que evaluar el moverse a la nube, afortunadamente existe un gran desarrollo de servicios de seguridad en formato nube (SECaaS), de modo que siempre se puede evaluar cómo agregar controles usando servicios ofrecidos por otro proveedor.
Adicionalmente, la pandemia modificó la superficie de ataque disponible para los ciberdelincuentes, dado que las empresas tuvieron que habilitar a colaboradores para trabajar remotamente, perdiendo el control sobre el ambiente desde donde estos se conectan. Esto agregó un riesgo haciendo necesario desarrollar soluciones “masivas” de acceso remoto controlado para apoyar a las organizaciones en la gestión de este, empujando un crecimiento en nuevos tipos de servicios SECaaS.
¿Qué tan listas están hoy las compañías para enfrentar estas amenazas?
Depende del tipo de empresa, sin duda aquellas que llevan tiempo desarrollándose con uso intensivo de tecnología, llegando esta a ser parte del negocio, tienen un nivel de madurez en que están familiarizadas con el uso de servicios cloud, de modo que no es un desafío adicional; ya han evaluado los riesgos asociados a su uso. Aquí se encuentra la banca y en general todos los servicios en línea, sin embargo, para las compañías donde la tecnología solo era un “apoyo” y que se vieron forzadas a que sea parte del negocio, ha sido más difícil, ya que no tenían la experiencia de evaluar el riesgo en el contexto de servicios en la nube. En estos casos es fundamental que el equipo de TI se apoye en los responsables de seguridad y las áreas que evalúan los riesgos del negocio, teniendo que contratar asesores externos si es un tema que no conocen; si la tarea la toma solo TI se comete un gran error.
¿Por dónde falta avanzar?
Si se revisan los fracasos de organizaciones que se movieron a la nube, la conclusión es en general la misma: no se realizó una evaluación en detalle identificando todos los GAP que existirán en los controles que la organización requiere para gestionar el riesgo, respecto a los ofrecidos por el o los proveedores de servicios en la nube. Se debe realizar una evaluación de los riesgos con todos los actores del negocio: área legal, comercial, recursos humanos, etc., en particular para levantar todas las exigencias asociadas al negocio, es decir, legales, normativas y/o contractuales con clientes y proveedores.
¿Está bien considerar la misma seguridad tradicional en un entorno cloud?
La seguridad tradicional es el punto de partida. Luego de revisar cómo los controles que hoy tenemos on premise serán implementados en la nube, levantando los GAP de aquellos que no pueden ser implantados, debemos agregar todas las exigencias que no vienen del mundo TI (leyes, normas, contratos, etc.), las que a su vez generan nuevos controles o requerimientos que el proveedor de servicios cloud debería cumplir.
¿Aún subsisten mitos en torno a los desafíos a la seguridad que implica la nube?
Hoy no es aceptable decir que no se puede ir a la nube porque no es segura. Existen tantas opciones de “asegurar” un servicio -ya sea mediante las alternativas que el proveedor cloud ofrece, así como complementando con otro proveedor, usando un SECaaS-, que esta respuesta solo sería aceptable si es planteada de la siguiente forma: “No podemos ir a la nube pues, luego de evaluar el riesgo, no existe la manera de aplicar controles para los servicios cloud que nuestro negocio requiere para mitigar el riesgo, es decir, el GAP entre los controles que el negocio necesita y los ofrecidos en el contexto de la nube no son aceptables”.
¿Qué enfoque recomendaría adoptar?
Cloud Security Alliance (CSA) ofrece guías que orientan y apoyan en cómo realizar la evaluación de riesgos para seleccionar el servicio y proveedor cloud que cumplen con los controles que permiten mitigar estos.
Existen profesionales y firmas certificadas por CSA con el conocimiento para realizar la evaluación correcta que cada empresa necesita.
Cloud Security Alliance (CSA) es una organización mundial dedicada a definir y concientizar sobre las mejores prácticas para ayudar a garantizar un entorno de computación en la nube seguro.
