Cloud Security: estratègia integral imprescindible per a la protecció de dades al núvol

Segons l'última investigació de Cybersecurity Insiders, el 95% de les organitzacions estan preocupades per la seguretat dels seus entorns al núvol (Cloud Security), mentre que una de cada quatre confirma un incident de seguretat al núvol en els darrers 12 mesos. De fet, segons dades de Gartner, aquest apartat serà el que més creixi en inversió de cara al 2023.

El concepte de Cloud Security fa referència a la combinació de tecnologies, metodologies, processos i polítiques per protegir infraestructures, sistemes i dades al núvol, i que es pot personalitzar en funció dels requeriments específics de l'organització.

A Espanya, segons l'informe anual d'InfoBlox, el 47% de les empreses espanyoles van experimentar un incident de seguretat al núvol l'any 2022. Això no tan sols afecta l'operativa, sinó que també pot causar serioses implicacions legals i financeres. Statista, per exemple, va reportar l'any passat multes de fins a 1.200 milions de dòlars a grans gegants com ara Meta, WhatsApp o Google.

Més enllà de preservar el compliment, una estratègia correcta de Cloud Security ajuda a mantenir la continuïtat del negoci. Segons una enquesta recent d'EMA, consultora especialitzada en gestió de dades, el cost mitjà per temps d'inactivitat no planificada és de 12.900 dòlars per minut, per bé que l'estudi posa de manifest que el cost varia segons la grandària de l'empresa.

El concepte de Cloud Security no inventa res de nou, però suposa un canvi important en la manera de concebre la defensa en cas d'atacs a dades, aplicacions i càrregues de treball. A continuació, es mostren alguns dels reptes més importants.

• Exposició de dades confidencials. 
  Segons una enquesta recent d'IPM, l'exposició de les dades és la preocupació més gran respecte de Cloud Security entre els directius de TI espanyols. I és que, per la naturalesa del núvol, qualsevol persona, des de qualsevol punt, amb els recursos adequats, pot accedir a qualsevol informació. Un vector de risc comú són els buckets d'emmagatzematge, que tot sovint estan exposats per problemes de configuració incorrecta.
• Pèrdua de visibilitat sobre la infraestructura. 
  Com a norma general, les xarxes corporatives cloud ofereixen accés a dades i serveis per a centenars o milers de dispositius dispersos, connectats a diverses xarxes en geografies diferents. Aquesta complexitat pot provocar la pèrdua de visibilitat sobre els diferents elements de la infraestructura. Sense els processos correctes i les eines de gestió de seguretat adequades, els responsables tècnics poden perdre de vista qui està utilitzant els serveis de núvol, des d'on i per a què.
• Responsabilitat compartida. 
  Definir i normalitzar com s'utilitzen, com s'emmagatzemen i qui està autoritzat a accedir a les dades compartides és també un repte clau. Per exemple, si un empleat mou involuntàriament les dades que no toca a un servei al núvol sense autorització, l'empresa podria incórrer en un incompliment del contracte amb el proveïdor que podria donar lloc a accions legals.
• Amenaces internes. 
  L'exemple esmentat en el punt anterior posa de manifest que un dels majors riscos de seguretat al núvol poden ser els empleats, contractistes i socis. De fet, la majoria dels incidents interns es deuen a la manca de formació o a la negligència. El núvol incrementa encara més els riscos, ja que l'organització lliura el control de les seves dades al proveïdor de núvol i introdueix una nova capa d'amenaça interna, la dels empleats del proveïdor.
• Errors de configuració. 
  La configuració errònia dels serveis al núvol pot fer que les dades s'exposin públicament, que es puguin manipular o fins i tot eliminar-se. Manca de revisió en la seguretat predeterminada, errors en la configuració de la gestió d'accessos... són problemes amb els quals cal lluitar cada dia. Menció a part mereix la seguretat de les API, que són part fonamental de les aplicacions web, SaaS i mòbils moderns, ja que suposen un nexe entre diferents infraestructures (locals o de núvol). Però una API cloud insegura és una porta d'entrada a accessos no autoritzats.
• Violacions de compliment. 
  Des de l'entrada en vigor de l'RGPD, garantir el compliment normatiu en matèria de protecció de dades ha esdevingut un aspecte clau de la ciberseguretat i, per tant, per al Cloud Security. L'empresa ha de conèixer on són les seves dades, qui hi té accés, com es processen i com es protegeixen. Per al núvol, hi ha regulacions addicionals que obliguen també el proveïdor.

Per bé que, com dèiem abans, el concepte de Cloud Security no inventa res de nou, sí que suposa la millor combinació per aconseguir una sòlida base de protecció. Entre les solucions existents, hi destaquen les següents:

• Intel·ligència d'amenaces. 
  Solucions com els sistemes de detecció i prevenció d'intrusions (IDS/IPS) són la base de qualsevol estratègia de Cloud Security. Aquestes eines d'intel·ligència d'amenaces permeten identificar amenaces presents i futures. Òbviament, la centralització de la informació, l'accés a fonts externes i el monitoratge continu seran requisits bàsics per mitigar els atacs i respondre.
• Control d'identitats i accessos.
  Els sistemes de gestió d'identitats i accessos (IAM) són essencials per a la seguretat dels entorns cloud, ja que combinen autenticació multifactorial amb polítiques ad hoc per controlar qui té accés a les dades i aplicacions, a què pot accedir i què poden fer amb les dades. Normalment, el proveïdor integrarà el seu sistema amb l'IAM del client, o bé farà servir el seu propi entorn, però en qualsevol cas és fonamental, ja que també afecta el compliment normatiu.
• Encriptació.
  Les infraestructures cloud requereixen un moviment continu de dades, bé sigui entre el centre de dades del client i la plataforma del proveïdor de núvol o bé entre diversos proveïdors. El moviment és continu i multidimensional (a o des del núvol, entre núvols, etc.). Davant d'aquesta situació, l'encriptació de dades és una capa de seguretat al núvol essencial —de fet, sempre ho ha estat—, ja que permet mantenir les dades protegides en tot moment, tant quan estan en trànsit com quan es troben en repòs.
• Seguretat física. 
  Com és fàcil de suposar, aquest apartat és igualment essencial, encara que les dades estiguin al núvol… o justament per això. L'objectiu, en aquest cas, és evitar accessos no autoritzats o atacs contra actius de maquinari, des dels endpoints dels usuaris fins als sistemes del proveïdor de núvol. Aquí prenen una rellevància especial aquelles xarxes que incorporen dades de sensors, però també elements específics com ara portes, fonts d'alimentació ininterrompuda, circuits de TV, alarmes, etc.
• Pentesting/VPD. 
  Les proves de penetració (pentesting) i els programes de divulgació de vulnerabilitats (VDP) són una pràctica cada cop més habitual per mantenir i millorar la seguretat al núvol «atacant» des de dins la infraestructura cloud per identificar-hi debilitats o potencials vies d'explotació. Depenent dels resultats, l'organització podrà prendre les mesures i establir els controls adequats per mitigar-ne els riscos.
• Segmentació de càrregues de treball. 
  Consisteix a dividir la infraestructura del núvol en diversos segments de seguretat. En aïllar les diferents càrregues de treball (fins i tot en l'àmbit d'usuari), es poden aplicar polítiques de seguretat flexibles que permetran guanyar en agilitat i proactivitat per prevenir possibles atacs o bretxes de dades.

Un cop implementada l'estratègia de Cloud Security, l'organització podrà tenir una visió integral dels seus actius al núvol i del seu estat de protecció, però aquest no és l'únic benefici. N'hi ha alguns més:

• Centralització.
  Inherent al concepte de Cloud Security es troba el concepte de centralització. Igual que el mateix Cloud Computing consisteix a centralitzar aplicacions i dades, el Cloud Security suposa centralitzar la seguretat en plataformes centralitzades amb controls avançats, alarmes, connexió a fonts externes, etc. Això millora les opcions de recuperació en cas de desastres i, per consegüent, la continuïtat del seu negoci.
• Reducció de costos.
  Un reputat proveïdor de serveis de núvol oferirà maquinari i programari incorporat dedicat a assegurar les seves aplicacions i dades les 24 hores del dia. Això elimina la necessitat d'una inversió financera significativa en la seva configuració.
• Menor càrrega administrativa. 
  Com ja hem comentat, la seguretat de les dades al núvol està basada en un model de responsabilitat compartida entre el proveïdor i l'usuari, la qual cosa suposa un avantatge per a aquest darrer perquè redueix la quantitat de temps i de recursos necessaris per gestionar aquest apartat.

Una part bàsica de qualsevol estratègia de Cloud Security és identificar un proveïdor de serveis de núvol adequat, i després la implementació d'una estratègia que combini les eines, els processos, les polítiques i les pràctiques apropiades i necessàries.

Comptar, a més a més, amb un partner especialitzat, amb coneixements sobre cloud i seguretat —que l'empresa no ha de tenir—, que permeti gestionar de manera correcta i justa la responsabilitat compartida.

Si la teva estratègia passa pel núvol, i t'amoïna la seguretat i privacitat de les dades de la teva empresa, contacta'ns i t'assessorarem sobre com implementar la millor estratègia de Cloud Security per a la teva organització.