La adopción de diferentes servicios que la nube permite alojar sigue creciendo de manera acelerada, gracias a los beneficios que este tipo de ambientes genera como la flexibilidad, reducción de costos, agilidad en el despliegue, escalabilidad, disponibilidad, entre otros. Sin embargo, la existencia de datos sensibles en los ambientes de nube permite el crecimiento de riesgos y amenazas, trayendo consigo una serie de retos a nivel de seguridad mediante los cuales los equipos de seguridad se ven obligados a actualizar su postura y estrategias ya que las herramientas y enfoques tradicionales no se adaptan bien a los desafíos de los entornos de nube dinámicos, virtuales y distribuidos. A continuación, algunos de ellos:
Las organizaciones cada día son más conscientes de la importancia de contar con una estrategia de seguridad para la nube, sin embargo, el 75% de éstas confía en la seguridad integrada al proveedor y el 50% reconoce que lo ofrecido por éste no es suficiente. (CyberArk, CyberArk Global Advanced Threat Landscape Report 2019: Focus on Cloud).
Por otro lado, témenos que el 94% de los diferentes tipos de negocios usa al menos algún componente cloud en su ambiente. (2019 State of the Cloud Report, Flexera)
Para garantizar un paso seguro a los ambientes en nube, se deben tener en cuenta las DIMENSIONES o perspectivas desde las cuales se debe evaluar la postura, los CONTROLES de seguridad asociados y la RESPONSABILIDAD de quién debe asumir los controles identificados, dependiendo del modelo de servicio (IaaS, PaaS, SaaS).
¿Cómo podemos ayudarlo?
B-SECURE, apoyado en el framework NIST Special Publication 500-299 (NIST Cloud Computing Security Reference Architecture) y las recomendaciones de CSA (Cloud Security Alliance), ha establecido una estrategia de seguridad sobre ambientes en nube basada en las dimensiones anteriormente mencionadas, compuesta por tres (3) etapas diseñadas para apoyar a las organizaciones en su transición a la nube o aseguramiento del estado actual y postura futura. El proceso debe ser cíclico para generar, a través de la mejora, nuevas oportunidades que permitan incrementar el nivel de madurez y facilitar la adición de nuevos activos al ambiente en nube.
Análisis del contexto organizacional para identificar el estado actual de la estrategia de adopción de nube y las buenas prácticas asociadas a seguridad. Dicho análisis comprende: