Cloud Security Alliance ha publicado una lista de las 11 principales amenazas para la seguridad en la nube basada en una encuesta de 700 expertos de la industria.
“El informe Pandemic 11” identifica las principales amenazas como:
1. Identidad, credenciales, acceso y gestión de claves insuficientes
2. Interfaces inseguras e interfaces de programación de aplicaciones (API)
3. Configuración incorrecta y control de cambios inadecuado
4. Falta de arquitectura y estrategia de seguridad en la nube
5. Desarrollo de software inseguro
6. Recursos de terceros no garantizados
7. Vulnerabilidades del sistema
8. Divulgación accidental de datos en la nube
9. Configuración incorrecta y explotación de cargas de trabajo de contenedor y sin servidor
10. Crimen organizado/hackers/amenazas persistentes avanzadas (APT)
11. Exfiltración de datos de almacenamiento en la nube
Cuando se considera en su totalidad, está claro que la seguridad en la nube es una preocupación importante. Y, sin embargo, la cantidad de cargas de trabajo que se transfieren a la nube continúa acelerándose. Parecería que es solo cuestión de tiempo antes de que el tamaño y el alcance de las infracciones de seguridad en la nube se expandan exponencialmente.
Sin embargo, cuando se revisan más a fondo las 11 amenazas a la seguridad en la nube, también se hace evidente que no son tanto las plataformas las que son inseguras como la forma en que se emplean. Las organizaciones todavía permiten de forma rutinaria que los desarrolladores con poca o ninguna experiencia en ciberseguridad aprovisionen directamente la infraestructura de la nube sin medidas de seguridad. La probabilidad de que un desarrollador cometa un error es extremadamente alta.
La verdad es que la supuesta ganancia en la productividad de los desarrolladores que podría lograrse al permitirles usar herramientas como Terraform para configurar servicios en la nube sin ningún tipo de revisión de seguridad simplemente no vale la pena el riesgo inherente. Las organizaciones que permiten a los desarrolladores aprovisionar aplicaciones e infraestructura en la nube sin una revisión de seguridad están participando en lo que un tribunal podría determinar fácilmente como un desprecio imprudente de los intereses de sus clientes. Como cualquier abogado sabe, solo cuando se aplica el término imprudente, las sanciones comienzan a ascender a millones.
Hay, por supuesto, dos lados en cada controversia. Para cada acción, hay una reacción igual y opuesta. Cuando los desarrolladores comenzaron a abogar por la nube, muchos profesionales de la ciberseguridad consideraron que el riesgo era demasiado alto. En lugar de trabajar con los desarrolladores para definir los procesos necesarios para proteger esas plataformas, muchos profesionales de la ciberseguridad en un estado de arrogancia descubrieron que era más fácil simplemente decir que no. Para su disgusto, muchos de ellos pronto descubrieron que carecían del capital político para mantener esa posición. Las puertas proverbiales se abrieron y, como era de esperar, se produjo el caos de la ciberseguridad.
Hoy hay una gran nube asegurando el ajuste de cuentas en marcha. Las organizaciones de todos los tamaños están revisando sus cadenas de suministro de software a raíz de una orden ejecutiva emitida por la administración de Biden que dejó en claro a todos que hay problemas fundamentales que ya no se pueden ignorar. Ahora se requiere que los profesionales y desarrolladores de ciberseguridad encuentren puntos en común en torno a un conjunto de mejores prácticas de DevSecOps que permitan crear aplicaciones seguras sin ralentizar la velocidad a la que se están creando. En retrospectiva, ese debería haber sido siempre el objetivo. El desafío de la seguridad en la nube y la oportunidad ahora de aprovechar esta segunda oportunidad para comenzar de nuevo en colaboración para lograr una seguridad en la nube significativa antes de que algo verdaderamente cataclísmico ocurra inevitablemente.
Haz negocio con Censornet y PC-Com Mayorista, márgenes de ganancia del 30% en cada proyecto, nosotros nos encargamos de la puesta a punto, capacitación y soporte al cliente final.
Teléfono: +52 (55) 5599 - 0670
Correo: contacto@pccommayorista.com