El conocimiento, otro desafío de la seguridad en la nube
Por: Héctor González, ingeniero de Desarrollo de Negocios en la Nube de Fortinet para América Latina
La agilidad y rapidez que nos permite la nube para desarrollar y habilitar servicios y aplicaciones traen consigo algunos riesgos que deben ser considerados a la hora de planificar los procesos de adopción y migración a la nube pública.
Pero más allá de los riesgos conocidos por expandir nuevas superficies a eventuales ataques, está el hecho de exponer dicha superficie más de lo necesario o con brechas y vulnerabilidades evitables. Una de las causas de esto se da porque la nube permite un acceso “democrático” a cualquier persona para provisionar recursos sin las consideraciones de seguridad mínimas exigibles o esperables.
Esto no sería un problema muy grave si las empresas comenzaran a tomar algunas de las siguientes medidas:
1 - Adoptar un sistema de gestión de identidad que les permita definir, administrar y controlar los accesos bajo el principio del mínimo privilegio o confianza cero (lo que se denomina en TI como enfoque de Zero Trust);
2 - Generar la capacidad de detectar actividades riesgosas dentro del entorno de nube pública a través de herramientas que permitan determinar a tiempo si alguna acción de una cuenta de usuario o sistema tiene un comportamiento anómalo o no esperado;
3 - Tener a personas con conocimientos de seguridad que les permita habilitar, configurar y operar recursos con una perspectiva de seguridad de la información.
Falta de conocimientos en ciberseguridad
El tercer punto puede ser, desde mi punto de vista, el más complicado de resolver. La falta de expertos o habilidades de ciberseguridad son un hecho reconocido. De acuerdo al reporte (ISC)² Cybersecurity Workforce Study 2022, la fuerza laboral global estimada es de 4,7MM de personas -la más alta registrada- sin embargo, la brecha para poder enfrentar amenazas cada vez más complejas sería de 3,4MM de personas dedicadas a la ciberseguridad.
Más allá de los números, otro aspecto que hace complejo tener y especializar gente para desarrollar de manera efectiva las estrategias de seguridad de las empresas es la extensión de los campos de conocimientos y acción de los especialistas. Hasta hace no muy poco, los roles estaban bien diferenciados: Infraestructura, Base de Datos, Desarrollo, Redes, Seguridad Defensiva, Seguridad Ofensiva, etc. Pero con la llegada de la nube, las fronteras interáreas hoy son más difusas. Justamente, la democratización de la que hablábamos anteriormente puede permitir que una sola persona pueda asumir cada uno o partes de los roles indicados para levantar una aplicación pública. Por lo tanto, habilitar a la fuerza laboral en aspectos de ciberseguridad es una tarea esencial dentro de los procesos internos de capacitación de las empresas.
Pero donde se hace más complejo, es justamente con las personas responsables o equipos de ciberseguridad de una organización. Ya no es suficiente con saber o tener experiencia en ciberseguridad. Las nubes públicas han traído con ellas conceptos y palabras nuevas al vocabulario tecnológico. Y no solo hablamos de conceptos, lo que vemos es un nuevo paradigma sobre cómo se trabaja dentro y con la nube pública.
En consecuencia, si bien no esperamos que un especialista de ciberseguridad sea también un experto desarrollador o un arquitecto de nube, es necesario al menos que maneje habilidades en esas otras ramas. Y es esperable que expertos en otras áreas puedan también desarrollar habilidades en ciberseguridad. ¿Qué ganamos con esto? Un proceso de adopción y desarrollo digital basado en nube pública eficaz, ágil y seguro.