A medida que la nube se eleva para abarcar más aplicaciones corporativas, datos y procesos, también existe la posibilidad de que los usuarios finales externalicen su seguridad a los proveedores.
Una encuesta de la industria sugiere que la necesidad de tomar el control de la seguridad y no transferir la responsabilidad final a los proveedores de la nube se está imponiendo entre muchas empresas. Cloud Security Alliance, que lanzó su encuesta a 241 expertos de la industria, identificó un problema de seguridad en la nube de "11 atroces" .
Los autores de la encuesta señalan que muchos de los problemas más acuciantes de este año ponen la responsabilidad de la seguridad en las empresas de usuarios finales, en lugar de depender de los proveedores de servicios. "Notamos una caída en la clasificación de los problemas tradicionales de seguridad en la nube bajo la responsabilidad de los proveedores de servicios en la nube. Preocupaciones como la denegación de servicio, las vulnerabilidades de tecnología compartida y la pérdida de datos de CSP y las vulnerabilidades del sistema, que aparecieron en el anterior 'Treacherous 12' - ahora se calificaron tan bajo que se han excluido en este informe. Estas omisiones sugieren que los problemas de seguridad tradicionales bajo la responsabilidad del CSP parecen ser menos preocupantes. En cambio, estamos viendo una mayor necesidad de abordar los problemas de seguridad que están situadas más arriba en la pila de tecnología que son el resultado de decisiones de la alta gerencia ".
Esto se alinea con otra encuesta reciente de Forbes Insights y VMware , que encuentra que las empresas proactivas están resistiendo la tentación de entregar la seguridad a sus proveedores de la nube: solo el 31% de los líderes informan que entregan muchas medidas de seguridad a los proveedores de la nube. (Ayudé a diseñar y redactar el informe de la encuesta). Aún así, el 94% está empleando servicios en la nube para algunos aspectos de la seguridad.
El último informe de CSA destaca las principales preocupaciones de este año:
1. Violaciones de datos. "Los datos se están convirtiendo en el objetivo principal de los ciberataques", señalan los autores del informe. "Definir el valor comercial de los datos y el impacto de su pérdida es esencial para las organizaciones que poseen o procesan datos". Además, "proteger los datos se está convirtiendo en una cuestión de quién tiene acceso a ellos", agregan. "Las técnicas de cifrado pueden ayudar a proteger los datos, pero impactan negativamente el rendimiento del sistema al tiempo que hacen que las aplicaciones sean menos fáciles de usar".
2. Configuración incorrecta y control de cambio inadecuado. "Los recursos basados en la nube son altamente complejos y dinámicos, lo que los hace difíciles de configurar. Los controles tradicionales y los enfoques de gestión de cambios no son efectivos en la nube". Los autores afirman que "las empresas deberían adoptar la automatización y emplear tecnologías que escaneen continuamente en busca de recursos mal configurados y solucionen problemas en tiempo real".
3. Falta de arquitectura y estrategia de seguridad en la nube. "Asegúrese de que la arquitectura de seguridad se alinee con las metas y objetivos del negocio. Desarrolle e implemente un marco de arquitectura de seguridad".
4. Insuficiente identidad, credenciales, acceso y gestión de claves. "Cuentas seguras, incluidas la autenticación de dos factores y el uso limitado de las cuentas raíz. Practique los controles de acceso e identidad más estrictos para usuarios e identidades en la nube"
5. Secuestro de cuenta. Esta es una amenaza que debe tomarse en serio. "La defensa en profundidad y los controles de IAM son clave para mitigar el secuestro de cuentas".
6. Amenaza interna. "Tomar medidas para minimizar la negligencia interna puede ayudar a mitigar las consecuencias de las amenazas internas. Brinde capacitación a sus equipos de seguridad para instalar, configurar y monitorear adecuadamente sus sistemas informáticos, redes, dispositivos móviles y dispositivos de respaldo". Los autores de CSA también exhortan a "la conciencia de la capacitación de los empleados regulares. Brinde capacitación a sus empleados habituales para informarles cómo manejar los riesgos de seguridad, como el phishing y la protección de los datos corporativos que llevan fuera de la empresa en computadoras portátiles y dispositivos móviles".
7. Interfaces inseguras y API. "Practique una buena higiene API. La buena práctica incluye la supervisión diligente de artículos como inventario, pruebas, auditorías y protecciones de actividades anormales". Además, "considere el uso de marcos API estándar y abiertos (por ejemplo, Open Cloud Computing Interface (OCCI) y Cloud Infrastructure Management Interface (CIMI))".
8. Plano de control débil. "El cliente de la nube debe realizar la debida diligencia y determinar si el servicio en la nube que pretende utilizar posee un plano de control adecuado".
9. Metastructura y fallas de la estructura. "Los proveedores de servicios en la nube deben ofrecer visibilidad y exponer mitigaciones para contrarrestar la falta inherente de transparencia de la nube para los inquilinos.
10. Visibilidad limitada del uso de la nube. "La mitigación de riesgos comienza con el desarrollo de un esfuerzo completo de visibilidad en la nube de arriba hacia abajo. Solicite capacitación en toda la empresa sobre las políticas de uso de la nube aceptadas y su cumplimiento. Todos los servicios en la nube no aprobados deben ser revisados y aprobados por el arquitecto de seguridad de la nube o un tercero. gestión de riesgos."
11. Abuso y uso nefasto de servicios en la nube. "Las empresas deberían monitorear a sus empleados en la nube, ya que los mecanismos tradicionales no pueden mitigar los riesgos que plantea el uso del servicio en la nube".
Fuente: Zdnet
