Al hablar sobre seguridad en la nube, lo primero que buscamos identificar es si nuestro proveedor cuenta con suficiente seguridad, suficiente experiencia, si tiene las auditorías correspondientes o una planificación correcta. Sin embargo, los mayores riesgos de seguridad siguen siendo las personas que ves en el día a día laboral. Según el último informe “Principales amenazas para la computación en la nube” de Cloud Security Alliance en el sitio web HealthITSecurity, el foco rojo de atención viene del interior de la empresa.
Basado en este informe, se encuestaron a más de 700 profesionales de ciberseguridad, los resultados arrojaron que el top 11 de las amenazas principales para la seguridad en la nube incluyen interfaces y API inseguras, configuraciones mal hechas, falta de una arquitectura y estrategia de seguridad en la nube. La amenaza real no es un tipo con anteojos en un cuarto oscuro, es Perla de contabilidad, Juan de inventarios, incluso Pedro de sistemas.
Existen tres principales opciones de cloud computing como servicio y cada una de ellas cubre cierto grado de servicios. Descúbrelas aquí.
Hoy en día, la seguridad de la nube se ha trasladado de los proveedores del servicio a los adoptantes. Si tú le preguntas a los proveedores de servicios sobre quien carga con la responsabilidad de mantener una fuerte seguridad digital, asumen su responsabilidad pero también exigen que los adoptantes conozcan lo que a ellos les corresponde. Mientras si les preguntas a los empleados de la empresa, contestarán que es responsabilidad del proveedor de servicio tener una buena seguridad digital.
El mensaje principal es ahora la falta de una estrategia de seguridad y una arquitectura de seguridad encabezan la lista de vulnerabilidad de seguridad en la nube. El segundo lugar lo ocupa la falta de capacitación, procesos y verificaciones para evitar errores de configuración, por supuesto, la falta de planificación y arquitectura de seguridad son parte de las razones por las que se producen errores de configuración en primer lugar.
Pero cavando más en la raíz del problema, entenderemos que la falta de recursos asignados a la ciberseguridad es el problema. Empresas que no definen un presupuesto idóneo, o bien, que no pueden gastar el dinero necesario para un plan de seguridad, probablemente presentaran problemas. Además, las empresas deben capacitar adecuadamente a sus empleados en temas de seguridad digital hasta cambiar la mentalidad a “confianza zero”.
Afortunadamente las soluciones a los problemas de seguridad no son tan complejos de definir, asignar un mayor número de recursos y enfoque en la seguridad de la nube. La solución incluye un plan de seguridad sólido sobre el que se va a hacer durante al menos los próximos 5 años para proteger sus sistemas.
Normalmente es más difícil definir cómo cambiaremos la cultura comparado a implementar los cambios. Pero es sumamente importante la participación de todos los miembros de la empresa y evitar la actitud apática al cambio.
El uso de las tecnologías está incrementando día a día, y eso representa mayores riesgos a nuestros sistemas, si de verdad quieres proteger a tu empresa, debes de tomar acciones concretas para lograrlos.