El auge de la computación en el Cloud, también conocido como la nube, ha dado lugar a la proliferación de sus diferentes tipos: hiperescalares, nube pública, nube interna, nube hibrida o multicloud son algunos ejemplos.
La aparición de los entornos virtualizados y la salida al mercado del servicio AWS(Amazon Web Services), ha desencadenado en una revolución tecnológica sin precedentes. Esta tendencia al alza resulta comparable a la de la Inteligencia Artificial, ya que esta, sin la posibilidad de la hiper escalabilidad en el procesamiento que existe en la actualidad y la gestión de “ingente” cantidad de datos, no podría haberse producido. Por ello, hablamos del cambio de paradigma de la ciberseguridad en el Cloud.
La nube es código y “apificación”, y con ello, la ciberseguridad se convierte en una práctica codificada y “apificada”. Aunque la parte de la infraestructura en la nube controlada por el proveedor es considerada como segura, no lo es la parte restante que compete al usuario. Por ello, este último tiene la responsabilidad de integrar la seguridad tanto SecOps como DevSecOps.
¿Cuáles son los factores clave en ciberseguridad?
El primer driver por lo que las empresas comienzan su aproximación a la nube es el coste. Trasladar aplicaciones “monolíticas” bajo un esquema de infraestructura como servicio, es el primer paso, pero una vez vistas las ventajas de la nube, se salta a la construcción de aplicaciones bajo los servicios que proporcionan, los denominados, hiperescalares.
Aspectos a tener en cuenta para afrontar la ciberseguridad en la nube:
· Una visión holística: como indicamos anteriormente, hay que tener la visión desde el nacimiento del producto, definiendo el threat modeling hasta el control de vulnerabilidades en los workloads. El perímetro vuelve a existir, a pesar de que se diga lo contrario.
· Todo nace y evoluciona integrado y automatizado: El hecho de que la nube esté compuesta por código, permite una rápida escalabilidad y rendimiento en demanda, integración de la ciberseguridad y automatización de la respuesta independientemente de los tres modelos de servicio: IaaS (Infraestructura Como Servicio), PaaS (Plataforma Como Servicio) y SaaS (Software Como Servicio).
· Modelo de responsabilidad compartida: Este enfoque divide las responsabilidades de seguridad entre el proveedor deservicios en la nube y el cliente. El primero de ellos, es el responsable de garantizar la seguridad física y lógica de la infraestructura de la nube, incluidos los servidores, la red, la virtualización y otros componentes de infraestructura, mientras que el cliente se encarga de asegurar la seguridad de sus aplicaciones, datos y sistemas ejecutados en la nube.
· Separación de la arquitectura de ciberseguridad de la capa de servicios y aplicaciones: A través de esta práctica, la nube proporciona una mejor gestión y protección de los sistemas, así como una mayor evolución delos componentes de seguridad según el estado del arte. Además, permite anticiparse a la construcción de servicios sin afectar a la funcionalidad de las aplicaciones.
“No hay un sistema seguro, simplemente no se han encontrado vulnerabilidades que le puedan comprometer” - Anónimo
.png)
¿Cómo afecta al papel del CISO en la nube?
La nube ha tenido un gran impacto en las funciones del CISO (Chief InformationSecurity Officer), ya que este es responsable de garantizar la seguridad de los datos y aplicaciones que se encuentran fuera del control directo de la organización. Es el encargado de transformar digitalmente la visión de la ciberseguridad empresarial, y más que nunca, responsable del control y seguimiento de las tareas delegadas en el equipo de seguridad en la nube.
Al migrar a la nube, el CISO debe considerar nuevas preocupaciones y desafíos de seguridad, como la gestión de identidades y accesos, la protección de datos, la resiliencia ante desastres y la conformidad con la cascada normativas que están publicándose. Además, también debe trabajar en estrecha colaboración con el proveedor de servicios en la nube para garantizar el cumplimiento de los requisitos de seguridad y privacidad de la empresa, así como los acuerdos SLA (Service Level Agreement).
En definitiva, el paradigma de la ciberseguridad se encuentra en pleno proceso de cambio, acercándonos cada vez más a un modelo en el que no existe la dependencia física, y modificando las metodologías de trabajo y sistemas de control. Sin embargo, la evolución y eficiencia que aporta la nube, de nada serviría a una compañía que no dispone de las medidas de protección necesarias para un desarrollo higiénico y seguro.
