La nube ofrece tanto oportunidades como riesgos, y para la mayoría de las organizaciones lo primero sigue superando con creces a lo segundo. Sin embargo, gran parte del riesgo se presenta en forma de posibles incumplimientos de la conformidad, es decir, el peligro de que los datos se almacenen, se acceda a ellos, se alteren o se filtren de un modo que haga que una organización incumpla la normativa en materia de protección de datos y privacidad, cada vez más compleja.
Lo que es peor, muchos profesionales informáticos y de seguridad ni siquiera tienen visibilidad de dónde podrían estar esos riesgos. Además, la visibilidad se complica cuando los datos y las cargas de trabajo se distribuyen en varias nubes, como es el caso de la gran mayoría de las organizaciones. La nube se ha convertido más bien en algo confuso, que oculta los riesgos que acechan en materia de conformidad. Mientras tanto, los requisitos jurisdiccionales que deben cumplir las organizaciones internacionales siguen multiplicándose.
Dado que los marcos de seguridad resultan inadecuados para gestionar estos riesgos de conformidad, los equipos informáticos y los responsables en materia de conformidad necesitan un nuevo enfoque, que les permita identificar y mitigar los incumplimientos en la nube antes de que se produzcan.
Cuando los datos alojados en la nube se exponen a personas no autorizadas, las organizaciones se enfrentan a la pérdida de la confianza de sus clientes, al daño a su reputación, al posible escrutinio de los reguladores y a otras consecuencias negativas. En el peor de los casos, una fuga de datos puede traducirse en sanciones si los reguladores creen que una organización no ha adoptado medidas razonables para proteger sus datos.
¿Cómo se producen estas fugas? De muchas maneras, desde ataques de ingeniería social hasta fugas de datos por parte de terceros malintencionados, pasando por un control de acceso inadecuado. Sin embargo, la nube ofrece una serie de obstáculos y desafíos únicos para evitar la exposición de los datos. En concreto, dado que la responsabilidad de la seguridad es compartida entre el proveedor de nube y el cliente, los errores de configuración son un riesgo importante.
Los errores humanos involuntarios, conocidos como errores de configuración, en las implementaciones en la nube son uno de los principales riesgos para los datos en la nube. Las implementaciones de nube pública que quedan accidentalmente expuestas a la red pública de Internet o están mal configuradas pueden dar lugar a fugas importantes, como ocurrió con Twilio en 2020.
Los errores de configuración de la nube están aumentando. A medida que más empresas adoptan servicios basados en la nube, la superficie de ataque se amplía, lo que eleva el riesgo de exposición debido a recursos mal configurados. Según Gartner, "para 2027, el 99 % de los registros en riesgo en entornos de nube será el resultado de errores de configuración de los usuarios y cuentas expuestas, no de un problema con el proveedor de la nube".
A menudo, los problemas se detectan solo después de que los errores de configuración ya hayan tenido un impacto. Esto se debe a que muchos tipos de soluciones de seguridad en la nube muy utilizadas, como la gestión de la postura de seguridad en la nube (CSPM) o los servicios de la plataforma de protección de aplicaciones nativas de la nube (CNAPP), identifican los síntomas a posteriori y no mientras los equipos de DevOps configuran estos servicios. La detección a posteriori genera alertas, que pueden tardar un tiempo en solucionarse, dejando los recursos de la nube expuestos temporalmente.
Cuando una organización es consciente de que puede incumplir la normativa o estar expuesta a ataques debidos a errores de configuración, puede ser demasiado tarde.
También hay muchos otros desafíos en lo que respecta a la seguridad, la integridad y la conformidad de los datos en la nube, entre ellos:
Exfiltración de datos: los activos digitales ofrecen todo tipo de vectores de ataque a terceros malintencionados, ya sea que un activo esté en la nube o en local. Sin embargo, las implementaciones multinube plantean amenazas adicionales, ya que la infraestructura física queda fuera de la jurisdicción y la responsabilidad directas de una organización. Desde simples ataques de ingeniería social hasta explotaciones de vulnerabilidades muy personalizadas, los atacantes tienen una variedad de métodos para extraer datos de la nube.
Arquitectura multi-inquilino:las nubes públicas se comparten entre muchas organizaciones, y la responsabilidad de protegerlas recae entre el proveedor de nube y sus clientes. Los estudios han demostrado que los datos alojados en la nube se pueden compartir accidentalmente con otros inquilinos de la nube si no se aplican los perímetros de seguridad.
Infraestructura de nube paralela: las organizaciones a menudo acaban con instancias de nube abandonadas u olvidadas. Esto ocurre de forma natural a medida que las organizaciones evolucionan, cambian y se expanden, y conforme se ajustan las funciones y responsabilidades. También puede ocurrir cuando empleados bien intencionados toman cartas en el asunto para hacer su trabajo, pero se apartan de los procedimientos informáticos aprobados. El resultado puede ser una infraestructura secundaria multinube paralela que no se tiene en cuenta ni está protegida por políticas de seguridad, pero que contiene información confidencial.
Estos desafíos de conformidad y seguridad en la nube están afectando en tiempo real a las organizaciones. En su informe sobre los riesgos en la nube, CrowdStrike informó de un aumento del 95 % en la vulnerabilidad de la nube. Además, hubo un incremento aún mayor, del 288 %, en los casos de ciberdelincuentes que atacaron directamente los servicios de nube pública. El informe reveló también que se tarda una media de 207 días en identificar tales fugas, ni que decir contenerlas.
Los problemas de seguridad en la nube persisten, lo que deja expuestas a las organizaciones. Esto se convierte en una bomba de relojería tanto en lo que respecta a la conformidad normativa, a la situación financiera y a la seguridad general de la organización. Y hay mucho en juego desde el punto de vista financiero. Las sanciones impuestas solo por el Reglamento general de protección de datos (RGPD) de la UE pueden ascender a 20 millones de euros o al 4 % de los ingresos anuales mundiales de una organización, lo que sea mayor.
Además, cada jurisdicción tiene su propia normativa. Las medidas de seguridad y privacidad necesarias para salvaguardar los datos varían en todo el mundo. Algunas de las principales normativas son:
El RGPD y la directiva NIS2, que tienen autoridad sobre los datos de los residentes de la UE.
La Ley de protección de datos personales digitales (DPDP), que regula los datos personales en India.
En los Estados Unidos, existen regulaciones específicas por estado o sector (p. ej. CCPA, HIPAA).
Regulaciones del sector como PCI DSS que controlan cómo se manejan los datos de pago personales.
Garantizar que todas las instancias en la nube se ajustan a todos los marcos normativos pertinentes es una tarea que es casi imposible de completar de forma manual. También puede obstaculizar el desarrollo empresarial cuando las organizaciones intentan acceder a nuevos mercados.
Por último, es difícil demostrar la conformidad sin auditorías periódicas de todos los datos y sistemas, lo que supone un desafío cuando las organizaciones dependen de implementaciones multinube en varios proveedores de nube.
Lo que se necesita es un enfoque preventivo. No es posible anticipar y prevenir todos los riesgos y errores con antelación, por lo que un enfoque preventivo debe adoptar la forma de comprobaciones de conformidad y seguridad en línea que se produzcan a medida que se implementan las instancias en la nube, no después de que ya se hayan cometido errores. Los errores se deben rastrear y mitigar de forma automática, de la misma manera en que se debe aplicar la conformidad, no de manera manual.
Cloudflare incorpora exactamente este tipo de comprobación en línea de la seguridad en la nube para los clientes en su plataforma. Cloudflare optimiza la conformidad de la seguridad en la nube para los clientes a través de la evaluación y la aplicación automáticas de configuraciones seguras, lo que ayuda a garantizar una seguridad sólida y la conformidad con los marcos normativos más comunes. Cloudflare inspecciona el tráfico de las API en la nube, lo que proporciona a las organizaciones mayor visibilidad y controles granulares, y permite un enfoque proactivo para mitigar los riesgos y gestionar su postura de seguridad en la nube.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Después de leer este artículo podrás entender:
Los riesgos de seguridad y la conformidad de la informática en la nube
Cómo el uso de la infraestructura multinube puede dar lugar a errores de configuración
Las posibles soluciones para garantizar conformidad de los datos en diversas nubes y jurisdicciones
Para saber más sobre cómo proteger los servicios para aplicaciones basados en la nube, consulta el documento técnico "Los 3 desafíos de la seguridad y la conectividad de los servicios para aplicaciones".