En este mundo globalizado, hemos sido testigos de cómo la computación en la nube ha revolucionado la forma en que operan las organizaciones y se ha convertido en un factor clave e indispensable para la transformación digital, y muchas organizaciones buscan adoptar servicios en la nube para lograr una mayor escalabilidad, flexibilidad y ahorro de costos.
Según un informe de Gartner, se prevé que los ingresos por servicios de nube pública en todo el mundo crezcan un 20.7 % hasta un total de 591 800 millones de USD en 2023, frente a los 490 300 millones de USD de 2022, sabemos que hay factores que en los últimos 3 años han impactado para este crecimiento.
En los últimos años, las organizaciones han visto varios beneficios al adoptar servicios en la nube, como escalabilidad, flexibilidad, rentabilidad y facilidad de implementación, recordemos que, si bien migrar a la nube se ha convertido en una tendencia popular, también presenta ciertos riesgos que las organizaciones deben considerar cuando comienzan su viaje a la nube o buscan expandir los servicios y las operaciones en la nube.
Uno de los principales riesgos es la seguridad de los datos en la nube, para tal efecto, los proveedores de servicios en la nube almacenan datos en servidores remotos, lo que puede ser una preocupación para las organizaciones que pueden no tener control total sobre sus datos, un estudio realizado por Crowd Research Partners, encontró que el 90% de las organizaciones están preocupadas por la seguridad en la nube y tienen razón.
Amigas (os), hoy exploraremos los riesgos y los beneficios asociados con la migración a la nube, iniciamos con la siguiente pregunta:
¿Cuáles son los beneficios de migrar a la nube?
La migración a la nube ofrece varios beneficios a las organizaciones, como:
Ahorro de costos:
Las organizaciones pueden ahorrar costos en hardware, software e infraestructura, los proveedores de la nube ofrecen modelos de precios de pago por uso que permiten a las organizaciones pagar solo por lo que usan.
Un estudio realizado por Nucleus Research encontró que, por cada dólar gastado en la migración a la nube, las organizaciones ahorraron un promedio de $1,68, dicho estudio también encontró que las organizaciones pueden ahorrar hasta un 50 % en costos de TI si se trasladan a la nube.
Escalabilidad:
Podemos activar instancias e implementar aplicaciones, agregar servidores, aumentar la capacidad informática con la nube o reducir la escala según la demanda, sin embargo, les recuerdo, hay que estar monitoreando la consola de facturación para asegurarse de que no tenga sistemas que generen costos si no están siendo utilizado de manera óptima.
Por ejemplo: Netflix usa AWS para escalar su infraestructura según la cantidad de usuarios, agregando o eliminando servidores en tiempo real para manejar las fluctuaciones en la demanda, esta escalabilidad permite que Netflix maneje más de 203 millones de suscriptores en todo el mundo.
Facilidad de implementación:
Los proveedores de servicios en la nube ofrecen opciones de implementación fáciles que permiten a las organizaciones implementar sus aplicaciones rápidamente, en su caso, Elastic Beanstalk de AWS, por ejemplo, permite a las organizaciones implementar y administrar sus aplicaciones rápidamente, lo que ayuda que los equipos de TI se centren en desarrollar aplicaciones en lugar de administrar la infraestructura.
Flexibilidad:
Los proveedores de la nube ofrecen opciones de flexibilidad que permiten a las organizaciones elegir el tipo de servicios que necesitan. GCP (Servicios de Google Cloud Platform), por ejemplo: ofrece varios tipos de servicios informáticos: máquinas virtuales, contenedores y computación sin servidor.
Alta disponibilidad:
Los proveedores de la nube ofrecen opciones de alta disponibilidad que garantizan que las aplicaciones estén disponibles las 24 horas del día, los 7 días de la semana con métricas de SLA para respaldar sus ofertas de servicios.
Elección de arquitectura:
La variedad de arquitecturas de nube disponibles para las organizaciones, como nubes públicas, privadas e híbridas, se puede adaptar a las necesidades específicas de varias aplicaciones, se puede también aprovechar las herramientas de automatización como Infraestructura como Código (IaC) y canalizaciones de Integración Continua/Implementación Continua (CI/CD), las organizaciones pueden simplificar el proceso de implementación, administración y monitoreo de aplicaciones.
Seguridad mejorada:
Puede aprovechar las herramientas en la nube, los informes de auditoría, la tecnología y las habilidades de seguridad ISACA.
Recuperación ante desastres:
También tiene las ventajas de soluciones de recuperación ante desastres sólidas y probadas para garantizar la disponibilidad de las aplicaciones en caso de interrupciones, en mi experiencia he visto algunas organizaciones migrar a servicios de nube híbrida o multi-nube para alojar aplicaciones y sistemas críticos esenciales para las operaciones comerciales como un plan de recuperación.
Colaboración empresarial:
Las aplicaciones basadas en la nube pueden facilitar la colaboración entre equipos y departamentos, permitiendo procesos de trabajo más eficientes y acortando el tiempo que lleva tomar decisiones, crear un diseño y probar la implementación de un producto.
¿Cuáles son los riesgos de migrar a la nube?
No todo es color de rosa y muy bonito, con mucha conciencia debemos de considerar que, si bien migrar a la nube ofrece muchos beneficios, también presenta ciertos riesgos, como:
Seguridad de datos:
Los proveedores de servicios en la nube almacenan datos en servidores remotos, esto es una preocupación que comparten todas las organizaciones, estoy seguro de que es posible que piensen que no tendrán un control completo sobre sus datos y buscan garantías sobre cómo sus datos están seguros y protegidos contra el acceso no autorizado.
Gestión de acceso e identidad:
IAM (Identity and Access Management) desempeña un papel fundamental en la seguridad de la nube y en entornos tradicionales, las organizaciones tienen una visibilidad clara de cómo los usuarios acceden a los recursos, así como también cómo se gestionan la gobernanza, los derechos y los privilegios, sin embargo, en la nube, es necesario garantizar que solo los usuarios autorizados tengan acceso a los recursos asignados y que las cuentas de los administradores estén bloqueadas y monitoreadas.
Para hacer frente a estos desafíos, algunas organizaciones se están alejando de las soluciones de IAM personalizadas a las soluciones comerciales de IAM, MFA y PAM que ofrecen empresas como SailPoint, Saviynt, CyberArk, Okta, Transmit Security, Ping, Centrify y otras.
Estas soluciones brindan un enfoque centralizado y automatizado para administrar el acceso en múltiples entornos de nube, agilizar el aprovisionamiento y des aprovisionamiento, y mejorar el monitoreo y la generación de informes.
De acuerdo a un estudio realizado por Delinea, el 74 % de las filtraciones de datos involucraron abuso de acceso privilegiado, lo que destaca la importancia de controles IAM efectivos en entornos de nube, de la misma forma, el acceso no autorizado y las cuentas no autorizadas pueden representar una amenaza importante para los recursos de la nube, por ellos es fundamental implementar un proceso para deshabilitar rápidamente las cuentas de usuario de los empleados que dejan la empresa para mitigar estos riesgos.
Les recomiendo encarecidamente usar MFA, ya que agrega otra capa de protección con un segundo factor, como una contraseña de un solo uso o autenticación biométrica, sin embargo, es esencial tener en cuenta que MFA no es infalible, puesto que se han utilizado herramientas como Burp Suite para descifrar contraseñas de un solo uso de cuatro dígitos.
La adopción de soluciones comerciales de IAM, MFA y PAM, la supervisión del acceso privilegiado y la desactivación de cuentas no autorizadas son pasos fundamentales para proteger los recursos de la nube, es muy importante y las organizaciones también deben revisar y actualizar periódicamente sus políticas y controles de IAM para mantenerse al día con las amenazas de seguridad en la nube en evolución.
Seguridad de las aplicaciones:
Las aplicaciones que se ejecutan en la nube son vulnerables a los mismos ataques tradicionales que se experimentan fuera de la nube, como inyección SQL, secuencias de comandos entre sitios y otros, entonces, a medida que más empresas se trasladan a la nube, muchas han tenido que refactorizar la arquitectura de aplicaciones heredada para estar preparadas para la nube, recomiendo que esto debe tomarse como una oportunidad para desarrollar un programa DevSecOps sólido para garantizar que las nuevas aplicaciones creadas en la nube o las aplicaciones refactorizadas estén seguras y protegidas de estos ataques conocidos.
Cumplimiento:
Las organizaciones deben cumplir con diversas reglamentaciones y estándares, como GDPR, HIPAA, PCI-DSS, etc.
Recuerden que cada país, región o continente, tienen leyes y reglamentos que difieren entre ellos frente al trato de información global, en lo particular cada país tiene sus propios estatutos.
Los proveedores de la nube pueden proporcionar funciones de cumplimiento, pero las organizaciones deben asegurarse de que cumplen en su totalidad.
En mi experiencia, puedo comentarles que hay otras dos áreas que me preocupan durante las migraciones a la nube, la primera ha sido la infraestructura de clave pública (PKI) y la segunda los sistemas de nombres de dominio (DNS).
Con PKI, es imprescindible garantizar una configuración adecuada.
Las configuraciones incorrectas son un riesgo para los entornos de nube, ya que la gestión incorrecta de certificados, la revocación incorrecta de certificados o la caducidad de certificados pueden provocar incidentes de seguridad, lo que puede provocar interrupciones del servicio y filtraciones de datos.
Las prácticas sólidas de gestión de claves, como la gestión del ciclo de vida de los certificados, la revocación de certificados y las políticas de caducidad de certificados, son clave para el éxito, al igual que tener un proceso claro para la rotación y el cambio de claves.
He dirigido equipos que trabajan con módulos de seguridad de hardware (HSM) para almacenar claves y certificados en este entorno seguro de hardware, lo que garantiza que solo los usuarios autorizados puedan acceder a las claves y los certificados.
Compatibilidad:
Es posible que algunas aplicaciones y sistemas operativos no admitan certificados autofirmados, lo que genera problemas de compatibilidad, siempre será así, con este tipo de auto certificado, no hay entidad certificadora.
Gestión de PKI:
Los certificados autofirmados requieren una gestión y renovación manual, lo que puede llevar mucho tiempo y ser propenso a errores.
Además de evaluar el uso de certificados autofirmados desde un punto de vista técnico, también es importante considerar los factores organizativos que pueden impulsar su uso, considero que, en algunos casos, los equipos de productos pueden estar bajo presión para entregar productos rápidamente y pueden recurrir al uso de certificados autofirmados en sistemas que no están orientados al cliente o en entornos de desarrollo para ahorrar tiempo y dinero, siendo finalmente una mala práctica.
Sabemos y es importante reconocer que los certificados autofirmados conllevan riesgos de seguridad inherentes, los usuarios que accedan a un sitio web o aplicación con un certificado autofirmado recibirán una advertencia, lo que puede facilitar que los atacantes se hagan pasar por el sitio web y comprometan potencialmente el sistema.
Para hacer frente a estos riesgos, las organizaciones deben considerar la separación de funciones para que ningún usuario tenga el control absoluto sobre la PKI, la auditoría de los equipos de productos y su uso de certificados, incluso en sistemas o entornos de desarrollo que no estén orientados al cliente, esto puede ayudar a garantizar que se implementen los controles de seguridad adecuados y que la organización no se exponga sin saberlo a riesgos innecesarios.
Si bien, los certificados autofirmados pueden parecer una opción más fácil y económica, no se deben subestimar los riesgos de seguridad asociados con su uso, por favor es importante sopesar los beneficios potenciales del uso de certificados autofirmados frente a los riesgos de seguridad y considerar opciones alternativas, como certificados de terceros de confianza, cuando corresponda.
La implementación y administración de una PKI en la nube puede presentar desafíos únicos para las organizaciones que utilizan entornos en la nube como AWS, Azure y GCP, sin embargo, la consideración cuidadosa de las mejores prácticas, como la gestión centralizada, la gestión de certificados automatizada, la gestión de claves seguras y la gestión de cumplimiento, puede ayudar a superar estos desafíos y garantizar la seguridad y la integridad de las comunicaciones digitales, es importante que las organizaciones planifiquen e implementen cuidadosamente una PKI que satisfaga sus necesidades específicas y los requisitos de cumplimiento para establecer la confianza en sus comunicaciones digitales en la nube.
Al observar los riesgos de DNS en entornos de nube, los controles inadecuados o la seguridad de DNS deficiente pueden dar lugar a un acceso no autorizado a los recursos de la nube, interrupciones del servicio y filtraciones de datos por lo que para mitigar estos riesgos, las organizaciones deben implementar DNSSEC, controles de acceso sólidos, mecanismos de filtrado y limitación de velocidad, herramientas de análisis de tráfico de DNS y revisiones regulares de configuración de DNS y verificaciones de validación.
El DNS es un componente crítico de cualquier infraestructura en la nube, como lo ha sido en los entornos de TI tradicionales, y cualquier situación que cause compromiso genera una variedad de problemas de seguridad, una mala configuración puede resultar en interrupciones del servicio y tiempo de inactividad, para mitigar este riesgo, las organizaciones deben implementar revisiones periódicas de configuración de DNS y verificaciones de validación para garantizar que los registros de DNS estén configurados y apuntan correctamente a su destino.
¿Cuáles son los problemas de seguridad de DNS?
Las preocupaciones de seguridad de DNS incluyen la suplantación de DNS, el secuestro de DNS, la amplificación de DNS y la tunelización de DNS, la implementación de extensiones de seguridad de DNS, la aplicación de fuertes controles de acceso y el uso de mecanismos de filtrado y limitación de velocidad pueden prevenir estos ataques.
Los proveedores de la nube como AWS, Azure y Google ofrecen herramientas y servicios de análisis de tráfico de DNS basados en la nube, como Amazon Route 53 Resolver, Azure DNS Analytics y GCP Cloud DNS, que pueden ayudar a las organizaciones a monitorear y asegurar su tráfico de DNS.
Además, servicios como Amazon GuardDuty, Azure DNS Private Zones y GCP Cloud Armor pueden ayudar a identificar y bloquear posibles amenazas de seguridad, mientras que GCP Stackdriver Logging y Network Intelligence Center brindan información sobre el tráfico de DNS.
¿Cuáles son las principales prioridades de auditoría de la nube?
Cuando las organizaciones trasladan sus aplicaciones a la nube, los auditores de TI se enfrentan a varios desafíos relacionados con el cumplimiento, la privacidad de los datos, la gestión de proveedores y la disponibilidad.
El cumplimiento es una prioridad máxima, y los auditores de TI deben asegurarse de que el entorno de nube de la organización cumpla con las leyes y regulaciones pertinentes, como GDPR e HIPAA.
Esto implica revisar las certificaciones de cumplimiento del proveedor de la nube y evaluar la propia postura de cumplimiento de la organización, entonces, los auditores de TI también deben implementar controles de privacidad y protección de datos adecuados, incluido el cifrado de datos, las políticas de retención de datos y los controles de acceso a los datos.
La privacidad de los datos también es crítica, y los auditores de TI deben revisar los controles de privacidad de datos del proveedor de la nube y evaluar las políticas y los procedimientos de protección de datos de la organización, recuerden que también deben garantizar que los datos se clasifiquen con precisión y que existan controles adecuados para salvaguardar los datos confidenciales.
La gestión de proveedores también es un aspecto esencial de la migración de aplicaciones a la nube, y los auditores de TI deben asegurarse de que la organización cuente con los controles de gestión de proveedores adecuados para mitigar los riesgos, estos riesgos incluyen interrupciones del servicio, pérdida de datos o dependencia excesiva del proveedor, por lo que los auditores de TI deben monitorear el desempeño del proveedor, los términos y condiciones del contrato y las estrategias de salida del proveedor.
Finalmente, los auditores de TI deben asegurarse de que las aplicaciones y los datos de la organización estén disponibles y accesibles en la nube, deben revisar los acuerdos de nivel de servicio (SLA) del proveedor de la nube y evaluar los planes de recuperación ante desastres y continuidad del negocio de la organización, de igual manera deben implementar controles de respaldo y recuperación apropiados para minimizar el riesgo de pérdida de datos en caso de una interrupción.
Equilibrar los riesgos y los beneficios de la nube
Si bien la migración a la nube puede ofrecer muchos beneficios, las organizaciones deben abordar los riesgos asociados, como la seguridad de los datos, el cumplimiento y el bloqueo de proveedores.
Esto se puede lograr mediante la implementación de estrictas medidas de seguridad, planes de contingencia y una gestión eficaz de los costos, los auditores deben adoptar un enfoque basado en el riesgo y mantenerse actualizados con las últimas amenazas y estándares de la industria.
Las herramientas de automatización pueden simplificar el proceso de auditoría para obtener resultados precisos y confiables, la recomendación aquí es que la auditoría periódica de la nube es fundamental para garantizar la seguridad, el cumplimiento y la rentabilidad de los servicios y la infraestructura de la nube.
Sugerencia:
Obtenga más información sobre las credenciales del Certificado de Fundamentos de la Nube (https://www.isaca.org/credentialing/cloud-fundamentals-certificate) y el Certificado de Conocimientos de Auditoría de la Nube (CCAK) de ISACA (https://www.isaca.org/credentialing/certificate-of-cloud-auditing-knowledge).
Muchas gracias por su tiempo, saludos,
Views: 56