Nos encontramos en una época revolucionaria y vanguardista claramente marcada por la transformación digital en todos los ámbitos de la sociedad humana. El uso digital es hoy en día global e inherente al contexto de aplicación, es más, podríamos decir que ha pasado de ser una opción para convertirse en una obligación de cara a la supervivencia empresarial.

Esta integración de las nuevas tecnologías está siendo aplicada en todas las áreas de las compañías, generando enormes cambios en los modelos de negocio: suponen una modificación de las formas de trabajar y operar, la optimización de los procesos, la mejora de la competitividad y la posibilidad de ofrecer nuevo valor añadido a sus clientes.

La computación en la nube se ha convertido en la mayoría de los casos en la opción predeterminada para estas tecnologías de la información y está reconvirtiendo el mundo empresarial moderno de una manera muy profunda y vertiginosa, con lo cual, representa un ingrediente principal de la transformación digital. Pero comencemos por el principio: ¿qué es la computación en la nube? Una buena aproximación oficial realizada por el NIST (National Institute of Standards and Technology) la define como:

La computación en la nube es un modelo para permitir un acceso de red ubicuo, conveniente y bajo demanda a un grupo compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden aprovisionarse y liberarse rápidamente con un mínimo esfuerzo o interacción del proveedor de servicio.

Por tanto, mediante estas capacidades y funcionalidades, para sustentar los procesos de negocio podemos disponer de recursos informáticos varios bajo demanda en cuestión de minutos (o segundos en muchos casos), creados en un espacio físico normalmente ajeno y compartido (dependiendo del tipo de nube), y con unas propiedades de escalabilidad y elasticidad sin igual. Todos ellos son accesibles y gestionables desde cualquier punto conectado a Internet mediante interfaces amigables e intuitivas gracias al uso de técnicas de abstracción y orquestación.

Esto se traduce en beneficios directos y tangibles para las empresas: agilidad, flexibilidad y reducción de costes.

Un nuevo terreno de juego:

Ante este contexto nos encontramos frente a un nuevo paradigma transformador y disruptivo, que se está extendiendo y creciendo muy, muy rápido y no muestra signos de desaceleración. Según datos de Gartner, más del 80% de las grandes compañías incrementarán de manera sustancial el gasto en infraestructuras y servicios Cloud en el próximo año. En España en particular, se prevé un gasto estimado de unos 1600 millones de euros, lo que representa casi un 600% más con respecto a dos años atrás.

Este aumento del uso de la computación en la nube y el hecho de que se trata de tecnología en constante evolución trae consigo una serie de oportunidades y desafíos. Es en términos de seguridad donde surgen los principales retos a afrontar para mitigar los riesgos asociados que derivan de su adopción, entre los más destacados se encuentran:

  • La responsabilidad incierta entre proveedores y consumidores: es de vital trascendencia comprender y abordar la división de responsabilidad en materia de seguridad entre los proveedores y los consumidores, prestando especial atención a las responsabilidades compartidas, y documentarlo en los contratos cuando sea posible. Es el denominado modelo de responsabilidad compartida, en el que se define quién es el responsable de la seguridad de cada capa para cada uno de los modelos de arquitectura en nube (IaaS, PaaS y SaaS). La consideración de seguridad más importante es saber exactamente quién es responsable de qué, en cualquier proyecto en la nube, ya que una mala interpretación o un desconocimiento puede desvirtuar todas las acciones posteriores.
  • La desaparición de los perímetros de seguridad clásicos: la información pasa a estar almacenada y tratada en ubicaciones que ya no están bajo el control directo de cada compañía. Por otro lado, el uso de aplicaciones y servicios de terceros está muy generalizado, la movilidad de los usuarios que acceden es total y la tipología de dispositivos es muy heterogénea (siendo muy típico el uso de aquellos propios, BYOL), permitiendo también nuevas formas de colaboración dinámicas y adaptativas.
  • Un incremento notable de la superficie de ataque: la dispersión de la información en la nube supone una exposición externa total. En un entorno tradicional se solía tener bien identificada y controlada la superficie de ataque (accesos de los ISP, accesos remotos, servicios web publicados…). Ahora cada interacción de cada servicio basado en la nube supone una posibilidad de ser víctima de un ataque (cada acceso de usuario, la propia actividad de gestión, cada llamada API entre servicios…etc), ya que se hace uso de Internet como principal backbone de comunicaciones.
  • La aparición de nuevas amenazas y vectores de ataque: el aumento de la superficie de ataque lleva consigo la aparición de nuevas fuentes de amenazas y métodos de ataque y/o la evolución de otros ya existentes. Podemos destacar vectores como las interfaces API, la configuración insegura de los elementos que conforman la infraestructura de la nube, los movimientos laterales…Mientras que los objetivos de ataque más habituales suelen estar relacionados con el robo de identidades y secuestro de cuentas y la exfiltración de información.

Las amenazas por su parte están en creciente evolución, son cada vez más sofisticadas y potentes. Además, suelen hacer uso en muchas ocasiones de infraestructura y servicios basados en nube, sumando así más músculo y dinamismo elevando con ello el nivel de impacto.

  • La existencia de un marco normativo y unas regulaciones cada vez más estrictas que deben de ser también contempladas en el ámbito de la nube. Estándares de obligado cumplimiento como GDPR, HIPAA o PCI DSS adquieren un papel protagonista en cualquier tratamiento de información personal o sensible. El hecho de alojar o tratar este tipo de información en servicios basados en nube la hace mucho más susceptible de ser extraída. Por consiguiente, el riesgo ante el incumplimiento de estas normativas aumenta y con él la probabilidad de sufrir grandes penalizaciones económicas y daños reputacionales al negocio o la marca.
  • La falta de visibilidad y gobierno de la actividad en la nube, debido al uso masivo de aplicaciones basadas en nube, en muchas ocasiones desconocidas y no autorizadas por parte de las compañías (es el denominado Shadow IT).
  • El desconocimiento y falta de concienciación ante este nuevo paradigma por la gran mayoría de usuarios, que acceden a estos servicios como clientes, que alojan información como proveedores de otros clientes o que comparten y publican datos privados o sensibles sin control y que están sujetos a estándares de cumplimiento en muchas ocasiones (lo que se conoce como Shadow Data).
  • La sanitización de la información (muchas veces olvidada), es decir, la garantía y certeza del borrado seguro, irrevocable e inequívoco de los datos cuando se eliminan recursos en la nube que ya no se necesitan y que alojan información.
  • La gestión de una infraestructura multi proveedor, en la que cada uno de ellos tiene sus propios portales de administración, plataformas de servicios y entornos de desarrollo.
  • Las habituales y frecuentes urgencias por migrar o crear nuevos servicios, plataformas e infraestructuras en un tiempo determinado para cumplir con las expectativas de proyecto y las fechas límite.
  • El hecho de pretender reinventar la rueda en ocasiones, intentando crear para ello escenarios excesivamente complejos e inconexos.

Aparte de estos desafíos y riesgos propios derivados de la naturaleza que caracteriza a la nube, también hay que considerar aquellos que son fruto de las interacciones con otras tendencias de adopción que están en plena expansión y que en ocasiones son inseparables, como, por ejemplo, el uso intensivo de contenedores, la propagación de las tecnologías serverless, las metodologías de desarrollo DevOps o la dispersión del Internet of Things (IoT) y la convergencia de IT/OT.

Si trasladamos todas estas premisas a la actualidad, podemos cerciorarnos del creciente volumen de ataques dirigidos a la nube. Casos sonados como por ejemplo el de Tesla dan muestra de ello, donde una mala configuración del orquestador de los contenedores en la nube facilitó que los recursos de su infraestructura fueran utilizados en operaciones de minado de criptomonedas. Otro ejemplo destacado fue la exposición de los datos de clientes que sufrió FedEx a raíz de una mala configuración en sus buckets de almacenamiento.

Y es que a menudo la transición hacia la nube se trata de un viaje inesperado en el que los primeros pasos suelen ser improvisados y desestructurados o incluso desconocidos, donde la seguridad se deja de lado considerándose un ente aislado en favor de la funcionalidad. A esto se suma el hecho de que cada dominio (estratégico, orquestación, aplicaciones, usuarios…) típicamente presenta un grado de madurez distinto creando estados inconexos o incoherentes, que en combinación con ese desconocimiento sobre cómo afrontar los primeros pasos, da lugar a una situación inicial en la que predominan la improvisación, las acciones individuales y la falta de alineación.

Todo ello puede hacer que la transición a la nube de una compañía o entidad desemboque en una tormenta perfecta cuyos efectos pueden resultar devastadores y catastróficos pudiendo llegar incluso en el peor de los casos a la pérdida total de negocio o a provocar un daño reputacional irreparable.

Unas nuevas reglas de juego:

Frente a este escenario tan disruptivo y tan dinámico, nos encontramos ante la necesidad de concebir un nuevo concepto de seguridad en el que se requiere de una protección mejorada de los activos en la nube. Los dominios de seguridad son idénticos, pero la naturaleza de los riesgos, roles y responsabilidades, y la implementación de los controles cambian drásticamente (los controles de seguridad clásicos no son suficientes ni apropiados).

Es necesario un nuevo enfoque que permita identificar y prevenir amenazas a la vez de mantener la eficiencia operacional, en el que las estrategias, las arquitecturas, las soluciones, los controles y los servicios a adoptar han de ir en consonancia y deben de dar la talla, es decir, deben de estar alineados con todas las características y los beneficios potenciales que trae consigo la adopción a la nube. Han de ser por tanto ágiles, flexibles y escalables, económicos y automatizables. De hecho, mover simplemente una aplicación o activo existente a un proveedor de servicios en la nube sin aportar ningún cambio o mejora normalmente limitará la agilidad, la consistencia y la seguridad, mientras el coste se incrementará.

Este nuevo enfoque debe de centrarse en lo que es realmente importante (para el negocio, y por extensión, para un atacante). Los datos y la información son los principales actores, sin olvidar a las aplicaciones que los alojan, los usuarios que acceden a ellas y las interacciones que se producen con terceros. En esta nueva perspectiva se deben de tener en cuenta varias consideraciones importantes como:

  1. No se trata de “securizar la nube”, sino de proteger la utilización de los servicios basados en la nube, es decir, la nube en sí misma ya la protege el proveedor (es su responsabilidad), pero los servicios creados y/o gestionados en ella, así como la información almacenada y tratada en ella si son de nuestra responsabilidad.
  2. La seguridad de la nube comienza con una seguridad global bien definida. Es fundamental partir de una postura de seguridad on-premise óptima. No es adecuado ni aconsejable disponer de un entorno on-premise que sea vulnerable y pretender extenderlo a la nube. Además, un entorno de este tipo puede servir de vector de ataque hacia el nuevo entorno.
  3. El modelo de responsabilidad compartida debe de ser bien conocido por todas las partes implicadas. Como ya se ha comentado, si se malinterpreta esto, todas las acciones posteriores pueden quedar distorsionadas y perder su sentido.
  4. El perímetro de seguridad viene delimitado en los propios datos. Es la información dispersada a lo largo de los servicios y las plataformas en la nube la que posee el valor y la que debe de ser perimetrizada.
  5. Otros aspectos cruciales son los niveles de cumplimiento asociados a la información, el control de identidad & acceso (IAM) y la monitorización continua, ya que facilitan la gobernabilidad y proporciona contexto.

La comprensión de esta nueva dimensión de la seguridad es trascendental a la hora de poder afrontar la transición a la nube con garantías. El objetivo para lograr esto no sólo pasa por superar esos primeros pasos desatinados sino por alcanzar niveles de madurez optimizados en los que el riesgo esté totalmente definido y gestionado, en el que la visibilidad sea total y permita la protección proactiva e inteligente, y en el que existan una serie de controles técnicos cohesionados que no sólo protegen, sino que se retroalimentan permitiendo que los niveles de seguridad mejoren constantemente.

La consecución de estos niveles optimizados es posible mediante el desarrollo de un itinerario de seguridad que variará en función del punto de partida en el que nos encontremos. Es el nivel estratégico el que primero debemos de atender mediante una evaluación de los niveles existentes de madurez, cumplimiento y riesgo, que permitirá definir las referencias y las capacidades de seguridad a alcanzar para los entornos de nube a lo largo de toda la organización. Por otro lado, en el terreno más tangible, la visibilidad que puede otorgar un CASB (Cloud Agent Security Broker) frente al Shadow IT y al Shadow Data, puede complementar de muy buena manera este análisis.

Este diagnóstico inicial favorecerá la confección de una hoja de ruta y permitirá priorizar la inversión necesaria. La estrategia apropiada, por tanto, vendrá marcada en cada caso por el resultado de esta evaluación original, al igual que las arquitecturas y las soluciones más convenientes en el resto de los niveles (orquestación, usuarios, datos, aplicaciones e infraestructura).

Se trata de adoptar el rumbo correcto para evitar adentrarnos en esa tormenta perfecta, si simplemente tratamos de encajar soluciones de seguridad y de mantener los silos existentes, podremos evitar la caída de algún rayo y mantenernos secos por momentos, pero la tormenta seguirá ahí, sin disiparse…