Nube representa la mayor amenaza ante ciberataques
Tenable dio a conocer que en México, 77 % de los profesionales de TI y Seguridad afirman que sus implementaciones en la nube, en particular las instancias públicas e híbridas, representan el mayor riesgo de exposición para las organizaciones, de ahí que constituya un importante reto para quienes gestionan estos sistemas.
De este modo, de acuerdo con un estudio realizado por Forrester Consulting en 2023, para Tenable, en el que participaron 101 profesionales de las áreas de TI y Seguridad en México, el 38 % de estos profesionales tiene la autoridad para tomar decisiones finales sobre la infraestructura en la nube de su organización, el estudio revela las cuatro áreas clave que los tomadores de decisión afirman que representan el principal riesgo de exposición:
- Errores de configuración en la infraestructura y los servicios en la nube que se utilizan a lo largo de toda la organización (77 % en México)
- Fallas en algún software de negocios o de TI que se utiliza a lo largo de la organización (67 % en México)
- Errores de configuración en las herramientas que utiliza la organización para gestionar los privilegios y el acceso de los usuarios (55% en México)
- Fallas en algún software de tecnología operativa que se utiliza a lo largo de la organización (40 % en México)
A su vez, cuando se trata de evaluar la exposición al riesgo, la nube supera con creces otras áreas de infraestructura de TI como una causa de inquietudes entre los tomadores de decisión en la nube.
De acuerdo con las encuestas, la siguiente área con mayor riesgo de exposición es la infraestructura en la nube pública con un 33%, seguida de la infraestructura híbrida con un 23%, el internet de las cosas ocupa el 20%, mientras que la infraestructura en la nube privada y las herramientas de gestión de contenedores en la nube empatan con el 11%, finalmente con apenas el 2% se encuentra la tecnología operativa/sistemas de control industrial (ICS)/Control de supervisión y adquisición (SCADA)
De acuerdo con Tenable actualmente, en la mayoría de las organizaciones, se utiliza una amplia gama de sistemas de negocios y de infraestructura en la nube, incluyendo máquinas virtuales y contenedores, así como también sistemas de gestión de recursos humanos y gestión de relaciones con los clientes (CRM).
En lo relativo a las áreas para inversión relacionadas con la implementación de tecnología en la nube, los encuestados identificaron las funciones sin servidor, las máquinas virtuales y los contenedores como los tres tipos de tecnologías que planean implementar en los próximos 12 meses.
Demasiados datos, demasiados entornos aislados, demasiadas partes interesadas
Debido al complejo ecosistema en la nube que existe en la mayoría de las organizaciones, no es sorprendente que los hallazgos en la nube ocupen el primer puesto en la lista de fuentes de datos que utilizan los profesionales de TI y Seguridad para determinar el riesgo general de exposición. Sin embargo, las fuentes de inteligencia de amenazas, las revelaciones de vulnerabilidades y los hallazgos de evaluaciones de preparación para incidentes, son algunas de las fuentes de las que dependen los profesionales de TI y Seguridad.
Las fuentes de datos que utilizan las organizaciones para identificar la exposición general al riesgo
Las fuentes de datos que usan las organizaciones para identificar la exposición general al riesgo encabezan las fuentes de inteligencia de amenazas con el 64%, seguido de los hallazgos en la nube con el 60%, hallazgos de evaluaciones de preparación para incidentes con un 57%, y en cuanto a revelaciones de vulnerabilidades, hallazgos de la superficie de ataque externa y resultados de pruebas de vulnerabilidades comparten el 43%, por su parte los perfiles y privilegios de los usuarios representan el 33%, mientras que inventarios de activos y hallazgos de tecnología operativa empatan con el 28%
“Agrupar todos estos datos a partir de diversos sistemas aislados es un trabajo complejo y lento. De hecho, las áreas aisladas en las organizaciones, la falta de higiene de los datos y el enfoque en una ciberseguridad más reactiva que preventiva, son parte fundamental para hacer de la seguridad en la nube un desafío”, señaló Arturo Barquin Senior Director Latin America
Arturo Barquin agregó que, para complicar más las cosas, la responsabilidad sobre la supervisión de los sistemas de gestión de identidades y acceso simula un deporte de equipo que involucra a profesionales de operaciones de las áreas de TI, seguridad, riesgo y cumplimiento y Gobierno.
La mayoría de los encuestados (83 %) utiliza tres o más sistemas de gestión de identidades y acceso, y puede haber cinco tipos diferentes de equipos implicados en la gestión de estos sistemas.
“Cuando buscan las soluciones correctas de seguridad en la nube, las organizaciones deben enfocarse en aquellas que reducen la complejidad y el riesgo. Las soluciones correctas de seguridad en la nube deben ser fáciles de usar para el usuario y estandarizar la seguridad en la nube a lo largo de diferentes unidades comerciales. Una solución robusta sirve como asesoría, y ofrece información sobre las vulnerabilidades o errores de configuración que requieren atención inmediata”, dijo Francisco Ramírez Senior VP Latin America.
Cuatro recomendaciones para reducir el riesgo en la seguridad en la nube
La protección de la compleja infraestructura en la nube requiere el abordaje de diversas personas, procesos y desafíos tecnológicos.
- Eliminar los entornos aislados. Desarrollar un plan para estandarizar la seguridad en la nube a lo largo de diversas unidades de negocios, mediante un único punto de referencia que los equipos puedan utilizar en las áreas de Seguridad, TI, DevOps y DevSecOps. La estandarización puede ayudar a minimizar la fricción entre los equipos de TI, seguridad y desarrollo, y garantizar una toma de decisiones ágil en función de recomendaciones precisas que todo el mundo puede comprender.
- Desarrollar un mapa para visualizar su superficie de ataque. Conocer los activos en la nube que tiene es solo el comienzo. Es necesario tener visibilidad hacia las configuraciones, las identidades digitales y los permisos asociados para cada activo de la red. Solo si se cuenta con una vista contextualizada de activos, configuraciones e identidades es posible lograr la visibilidad necesaria para realizar el tipo de análisis preciso que permite a los equipos de seguridad brindar recomendaciones específicas a fin de reducir el riesgo.
- Abordar los desafíos multinube. Cada proveedor principal de nube pública (Amazon Web Services (AWS), Google Cloud Platform (GCP) y Microsoft Azure) gestiona y configura los componentes en la nube de manera diferente, lo cual genera inconsistencias en el monitoreo continuo de la seguridad. Es recomendable consolidar la información de todos los proveedores de nube pública en un espacio unificado de gestión y monitoreo.
- Buscar soluciones automatizadas. Las soluciones automatizadas de seguridad en la nube pueden ayudar a analizar constantemente la exposición al riesgo de la organización y los hallazgos presentes de manera fácil, accionable y práctica, sin la necesidad de que los equipos tengan conocimientos técnicos. Las herramientas de seguridad automatizadas proporcionan a los equipos la capacidad de comprender, investigar y navegar el riesgo en medio de la complejidad.