La "cloud computing" o computación en la nube es la entrega de herramientas y servicios informáticos bajo demanda que van desde aplicaciones en la red hasta el almacenamiento y capacidad de procesamiento de la información. Su uso permite a las empresas ahorrar dinero, tiempo y esfuerzo, contando con servicios de terceros a través de la web según sus necesidades particulares.

Sin embargo, hacer uso del servicio de la nube también trae consigo retos en cuanto a la seguridad de los sistemas y sus activos. La mayor parte de los problemas en la nube tienen lugar debido al desconocimiento, por parte de los usuarios, respecto a sus esquemas y a la confusión existente sobre el modelo de responsabilidad compartida de seguridad (SRM, por sus siglas en inglés) con el que funciona.

Vladimir Villa, CEO de Fluid Attacks, una compañía colombiana dedicada al hacking ético en los sistemas informáticos empresariales, con presencia regional y que entre sus clientes tiene a Itaú, Mazda, Manpower y Avianca, analiza en la siguiente entrevista de iProfesional los peligros de migrar la información hacia la nube para las empresas.

-¿Cuáles son los riesgos más frecuentes que enfrentan las empresas cuando migran su información a la nube informática?

-El riesgo principal al que se enfrentan las empresas es el involucramiento de datos críticos y sufrir ataques en sus sistemas. Según ha informado Gartner, para el próximo año se proyecta que al menos el 95% de los fallos de seguridad en la nube ocurran debido a errores de clientes.

La mayoría de los problemas de la nube se generan debido al desconocimiento de los usuarios acerca del modelo de responsabilidad compartida de seguridad (SRM en inglés) y la alta vulnerabilidad que esto representa.

-¿Qué ejemplo puede mencionar sobre el desconocimiento del SRM?

-El caso de incumplimiento de responsabilidades en la nube en el banco Capital One en 2019. Una errónea configuración de un firewall en el proceso de integración de las soluciones de la nube afectó a más de 105 millones de personas en Norteamérica.

Tras la investigación, el Departamento del Tesoro de los Estados Unidos multó a la empresa con 60 millones de dólares porque se concluyó que el holding financiero fue el responsable por la pérdida monetaria y, consecuentemente, por el tiempo invertido en arreglar ese error. Los proveedores de servicio de la nube quedaron eximidos de responsabilidad ya que, según el SRM, se mostró que habían realizado una adecuada integración a la nube.

-Existen diferentes nubes informáticas: híbridas, múltiples, públicas, privadas. ¿Cuáles son las más riesgosas para las empresas?

-Parte de las funciones más conocidas de las nubes consiste en almacenar y compartir recursos informáticos en la red. La diferencia inicial de los cuatro tipos de nube era a quién pertenecía y dónde estaba ubicada.

• Una nube pública, por ejemplo, la de Amazon (AWS), se crea a partir de una infraestructura TI que no depende de ninguno de sus usuarios. Hoy, un entorno dividido entre varios usuarios corresponde a una nube pública.
• Una nube privada, en contraste, está destinada a que un usuario o cliente exclusivo la gestione.
• Las nubes híbridas alternan el uso de las dos últimas. Allí, una aplicación puede moverse de un entorno a otro, teniendo presente que uno de ellos debe provenir de recursos TI y que se deben gestionar en una plataforma integrada.
• Estas nubes hacen parte de las multiclouds, pero no toda multicloud es híbrida porque no toda está conectada o integrada a una organización.

Así las cosas, las nubes públicas podrían estar expuestas a un mayor número de vulnerabilidades dado los múltiples puntos de acceso que tiene. Sin embargo, allí suele hacerse un acuerdo con el usuario de la nube de modo que sea el que gestione la seguridad de la carga de trabajo. En este sentido se parecería a la nube privada porque su seguridad depende de qué tan sólida sea la infraestructura del usuario.

Así, las nubes híbridas serían las más seguras siempre que tanto usuarios como administradores se esfuercen por garantizar un sistema robusto tanto en infraestructura como en carga de trabajo.

Vladimir Villa: "La mayoría de los problemas de la nube se generan debido al desconocimiento de los usuarios".

Riesgos sobre los datos y la propiedad intelectual

-¿Cuáles son los errores más comunes en materia de seguridad que cometen las empresas cuando migran sus datos a la nube informática?

-Uno de los errores más frecuentes es creer que la responsabilidad principal de la protección de los datos corporativos en la nube corresponde solo al proveedor del servicio. Pero esa responsabilidad siempre ha de ser compartida con el cliente.

Las empresas deben preocuparse por el riesgo de perder datos o la propiedad intelectual de la información, así como también de la eliminación o modificación de sus recursos alojados externamente.

Una empresa que trabaja con su información en la nube consigue importantes beneficios en términos de seguridad. Los proveedores de este tipo de servicio se suscriben a un SRM de seguridad globalmente aceptado que limita su responsabilidad al cuidado de aspectos físicos, infraestructura, red y digitalización.

Por su parte, el cliente es quien debe garantizar la seguridad del acceso y la identidad de los usuarios que acceden a la información, así como el resguardo de los datos que se almacenan.

-¿Qué hoja de ruta se recomienda en cuanto a la seguridad cuando se migran datos de la empresa a la nube informática?

-Una solución efectiva para este problema es partir de una formación en las organizaciones orientada a un cambio cultural en el que todas las partes implicadas discutan sobre el tema de ciberseguridad. Entender qué es la nube y qué requisitos de protección son responsabilidad de la compañía resulta decisivo antes de realizar la migración del negocio.

En Fluid Attacks recomendamos principalmente, entender las responsabilidades de su empresa al contratar este tipo de servicios, gestionar esta responsabilidad y, además, recurrir a las pruebas de seguridad para el pronto hallazgo de vulnerabilidades. 

Son diversas las técnicas de evaluación automáticas y manuales que se pueden implementar, ya sea que se alojen los activos en AWS, GCP, Azure, o cualquier otra nube. Realizar pruebas continuas de penetración en las infraestructuras permitirá analizar la arquitectura y la integridad de los controles de seguridad. Así se logra determinar qué ha de ser corregido y remodelado, y a partir de allí se puede garantizar la seguridad de los activos.

-¿Qué habilidades son adecuadas para gestionar la seguridad de la nube informática?

-Consideramos que el que las empresas reconozcan su responsabilidad dentro de la nube resulta esencial para la gestión de seguridad en la nube. Además, es vital que los usuarios adquieran conciencia de la necesidad de fortalecer sus estructuras digitales en contra de amenazas cibernéticas.

De aquí que siempre recomendemos comenzar ese seguimiento y realización de pruebas de seguridad desde las etapas más tempranas del desarrollo de software, incluso antes de decidir migrar información a una nube. Cuando hay brechas o vulnerabilidades en los sistemas de seguridad lo que suele haber detrás es una despreocupación por robustecer desde el inicio la infraestructura virtual.

-¿Cómo se diseñan, implementan y configuran en forma correcta estos controles y se integran en el resto de las operaciones de seguridad?

-Hay diversos tipos de técnicas que se emplean para identificar vulnerabilidades en las infraestructuras, por lo que hay diversas maneras de diseñar, implementar y configurar de manera adecuada cada control. Abogamos e implementamos pruebas en los sistemas de seguridad de las nubes que articulan técnicas manuales y técnicas automáticas.

Es decir, propendemos siempre por poner a prueba a partir de sistemas robotizados para que identifiquen cada circunstancia que ineludiblemente se puede considerar una vulnerabilidad, pero reforzamos y completamos esa prueba utilizando técnicas como el SAST, el DAST y el SCA. Cada una de ellas se puede realizar en cualquier nube. Así, simulamos ciberataques para evaluar la arquitectura e integridad de sus controles de seguridad.

Esto con el objetivo de reportar oportunamente esas detecciones para que cada usuario o servidor de la nube (según sea el caso) realice los fortalecimientos y modificaciones necesarias.