Por qué Multi-Cloud no significa cielos despejados para los equipos de seguridad
Cada empresa hoy en día es una empresa de múltiples nubes. Antes, eso significaba algo tan simple como suscribirse a más de una aplicación SaaS. Ahora, significa implementar algunas aplicaciones internas en AWS, otras en Azure y otras en GCP. ¿Cómo llegó a ser esto? A veces, el liderazgo senior exige una plataforma de nube específica. Otras veces, una plataforma en particular puede ser más adecuada para una aplicación específica o estar mejor alineada con la competencia del desarrollador.
Si bien la nube múltiple puede brindar beneficios, incluida una mayor resiliencia, flexibilidad para optimizar el rendimiento y control de costos, no siempre significa cielos despejados para una empresa, especialmente en lo que respecta a la seguridad.
3 Planteamientos a considerar en la seguridad en la nube
La falta de experiencia conduce a más errores
Ya es un gran desafío convertirse en un experto en solo una de las plataformas en la nube más populares. Si bien a menudo emplean un vocabulario sustancialmente similar, la similitud rara vez se extiende a la funcionalidad. Por ejemplo, los modelos de administración de acceso e identidad para AWS y GCP no son iguales, aunque ambos proveedores lo llaman “IAM”. Llevar el modelo de AWS a GCP dejará expuestos sus proyectos de GCP. Como uno puede imaginar, tratar de convertirse en un experto en dos o tres plataformas en la nube es casi imposible. Esta falta de experiencia se traduce en mayores errores, la mayoría de los cuales se manifiestan como vulnerabilidades de seguridad que son ventajosas para los atacantes.
Las empresas no son inmunes a los errores. De hecho, para los analista de seguridad en la nube en Gartner, mientras interactúan con miles de clientes, les queda claro que la gran mayoría de las fallas de seguridad en la nube son errores de configuración de uno u otro tipo. También quedó claro que desarrollar la disciplina de la configuración correcta es lo mejor que puede hacer una empresa para garantizar que utiliza la nube de forma segura.
Las aplicaciones SaaS ofrecen seguridad integrada mínima
Una empresa promedio se suscribe a entre 100 y 1000 aplicaciones de software como servicio (SaaS). Si bien estas aplicaciones a menudo ayudan a aumentar la productividad y la colaboración, entre otros beneficios, la mayoría, desafortunadamente, ofrece pocas funciones de seguridad integradas. Algunas de las aplicaciones SaaS más críticas para el negocio han desarrollado buenos controles de seguridad con el tiempo, pero pueden ser muy diferentes en cantidad y grado. Por ejemplo, Microsoft Office 365 ofrece más controles integrados que Dropbox.
A diferencia de los recursos de nube pública de infraestructura como servicio (IaaS), donde los objetos recién creados se cierran de forma predeterminada, con SaaS ocurre lo contrario. Por ejemplo, la configuración predeterminada de un inquilino de Microsoft 365 es tal que si los usuarios tienen acceso a un archivo, pueden compartir ese archivo con cualquier persona en el mundo. Quien encuentre el enlace puede reenviarlo a cualquier otra persona en el mundo. Microsoft decidió facilitar el intercambio: quiere que sea lo más fácil posible para que las personas colaboren. Es una decisión comercial, una con ramificaciones, por lo que es imperativo pensar clara y deliberadamente sobre cómo configurar los controles de seguridad de SaaS. La mala configuración puede ser ruinosa.
La seguridad en la nube no es única para todos
La mejor manera de proteger la nube es con la nube. No hay otra manera. Sin embargo, no existe un único mercado de “seguridad en la nube”. Lo que las empresas a menudo enfrentan es cientos de productos de seguridad en la nube en una docena de mercados superpuestos, todos compitiendo por la atención y una parte del presupuesto de seguridad. Innumerables nuevas empresas han identificado brechas de seguridad en la nube y, como resultado, han establecido ofertas atractivas. En varios escenarios, algunos de los jugadores de seguridad más importantes y maduros han adquirido estas nuevas empresas, desarrollando así sus propias capacidades de seguridad en la nube.
Sin embargo, es fácil cegarse por las luces brillantes y las falsas promesas. Una mejor práctica para fortalecer la estrategia de seguridad en la nube de una empresa es preferir proveedores que ofrezcan plataformas integradas y puedan trabajar con la infraestructura existente, como SIEM y productos de protección de puntos finales. Como regla general, realice una prueba de concepto para verificar la efectividad de la integración de la plataforma de seguridad en la nube. También es sensato confiar en herramientas de gestión de la postura de seguridad independientes del proveedor de terceros para garantizar políticas de seguridad consistentes y repetibles en todos los entornos de nube. Las herramientas de gestión de la postura se ubican junto con las implementaciones en la nube existentes y, debido a que se basan en las API de la nube para investigar la configuración, no requieren un tiempo de inactividad de producción programado ni largas fases de integración para comenzar a generar valor.
A medida que la adopción de la nube continúa acelerándose, las empresas deben mantener una postura de seguridad adecuada. Al implementar una estrategia efectiva de gestión de la postura de seguridad, las empresas pueden continuar encontrando y eliminando fallas de seguridad en la nube que se originan en errores de configuración.
Acércate con nosotros para evaluar soluciones de Ciberseguridad con Microsoft 365 y Microsoft Defender para Negocios. Puedes solicitar una demostración o evaluación de seguridad:
Leave a Reply