Es posible considerar las configuraciones erróneas como parte de los sinsabores del crecimiento cuando una organización se traslada a la nube durante su transformación digital. Lor errores de configuración en la nube tienden a descubrirse de la manera más difícil, es decir, cuando ya se ha producido un ciberataque o una brecha de datos, dejando a las organizaciones a cargo de las consecuencias. ¿Cómo afectan las malas configuraciones a las empresas y a la seguridad de la nube? ¿Y qué pueden hacer las organizaciones para mitigar estos efectos?
Los errores de configuración en la nube son costosos
Según un informe de 2020, las configuraciones erróneas de la nube costaron a las organizaciones 5.000 millones de dólares entre 2018 y 2019. La mayor parte de esta cifra se debe a filtraciones de datos originadas por configuraciones erróneas. Además de las brechas, estas configuraciones incorrectas también pueden generar otros costes para las empresas como: instancias inactivas (cuando el servicio no necesita estar en funcionamiento, pero se sigue pagando por él), almacenamiento no utilizado y sobreaprovisionamiento provocado por la forma de pensar del «centro de datos» u «on-premises”. Estos costes pueden sumarse y crear un impacto catastrófico en cualquier empresa.
Los errores de configuración en la nube aumentan los riesgos
Cifrar el almacenamiento online es tan fácil como pulsar un interruptor. Por el contrario, no pulsarlo (ya que no suele estar activado por defecto) puede dar lugar a una exposición completa de los datos almacenados. Por tanto, un acto sencillo puede evitar un problema complejo. Los actores de amenazas lo saben y están al acecho de estas brechas de seguridad que se pasan por alto. Programan sus scripts y bots para que busquen exactamente este tipo de apertura para que, cuando la encuentren, consigan extraer todos los datos que puedan.
Los errores de configuración pueden convertirse en vulnerabilidades
Una configuración errónea no abordada, como una vulnerabilidad, es una invitación abierta para los actores de amenazas, que buscan activamente este tipo de oportunidades.
Los errores de configuración en la nube costaron a las organizaciones 5.000 millones de dólares
¿Qué hacer para mitigar las configuraciones erróneas de la nube? Recomendamos lo siguiente:
Automatizar la seguridad: la automatización y la visibilidad son el principal problema que vemos hoy en día en los entornos cloud. Aunque hay talento en la tecnología para manejar con seguridad el traslado a la nube, hay escasez de empleados. Los equipos de DevOps están creando a un ritmo récord y liberando aplicaciones diariamente o cada hora, pero los equipos de seguridad no siempre pueden seguir el ritmo. Una forma de hacerlo es automatizar y aumentar su trabajo. Disponer de una infraestructura definida por software (SDI), de una infraestructura como código (IaC) y de plantillas y contenedores actualizados ayuda a la automatización y al refuerzo.
Automatizar el cumplimiento: incorporar la conformidad en el ciclo de automatización utilizado por la organización es clave. Esta es una norma importante establecida por los proveedores de la nube. En lo que respecta a la nube, la seguridad debe ir más allá de los diversos estándares globales para incluir los referenciados por los proveedores cloud, además de las mejores prácticas para la industria específica de una organización.
Mejorar el nivel de formación de los trabajadores: la nube y DevOps se están desarrollando rápidamente. Sin embargo, la ciberseguridad no está arraigada en los estudiantes ni en los futuros programadores. Estos no tienen un enfoque inherente orientado a la seguridad cuando desarrollan su trabajo, por lo que los errores que afectan a la seguridad se producen constantemente. En resumen, la capacitación de las personas puede garantizar la seguridad desde la fase de diseño.
En general, es importante entender que la nube es falible. Su seguridad es una responsabilidad compartida por el proveedor de servicios en la nube (CSP) y la organización. Por tanto, las organizaciones deben hacer su parte y estar a la altura de su papel para mantener seguros sus entornos de nube.
Esto puede ser una tarea de enormes proporciones, especialmente cuando las organizaciones han tenido que hacer frente rápidamente a las exigencias de una pandemia mundial. Aun así, hay que dar prioridad a la seguridad para evitar consecuencias aún más graves y generar más confianza en los entornos en la nube.
