Lee la entrevista completa a Ricardo Urbina, Presidente del Capítulo Chileno de Cloud Security Alliance (CSA).
¿Cuáles son los principales retos que enfrentan las empresas cuando migran a cloud?
La adopción masiva de la nube ha sido una tendencia significativa, pero conlleva desafíos importantes. A los mismos riesgos y desafíos que existen en la tecnología tradicional (on premise) se suman otros nuevos propios del cloud.
Uno de los más críticos radica en la gestión de riesgos. Las organizaciones deben comprender que, al mover sus servicios y datos a la nube, están introduciendo un tercero, es decir, el proveedor de servicios cloud, en su ecosistema de seguridad. Esto significa que deben agregar este nuevo elemento en sus evaluaciones de riesgo y considerar cómo el proveedor gestionará los riesgos que son inherentes a la nube. Siempre se debe realizar una evaluación exhaustiva de riesgos antes de adoptar servicios en la nube o migrar, conscientes de que ésta no solo agrega beneficios, sino también nuevos riesgos.
¿Qué amenazas cibernéticas son las más comunes en este contexto?
Como comentaba, las amenazas cibernéticas que afectan a las organizaciones en la nube son, en su mayoría, similares a las que enfrentan en entornos locales.
Un informe de la Cloud Security Alliance reveló que una de las amenazas más destacadas en la nube es el mal manejo de credenciales. Esto se refiere a la falta de una gestión adecuada de las contraseñas y credenciales de administración de la nube. Cuando una organización utiliza servicios cloud, a menudo se le proporcionan claves de administrador para gestionarlos y configurarlos, que si no se manejan y protegen adecuadamente, pueden ser robadas por actores maliciosos. Esto les otorga acceso no autorizado al centro de administración de recursos cloud de la organización, lo que puede dar lugar a graves brechas de seguridad.
Además de este riesgo, otra amenaza común son los problemas en el diseño de las aplicaciones.
¿Qué recomendaría para mantener los datos seguros en un entorno de nube?
La seguridad de los datos cloud es crucial, especialmente en un entorno donde las regulaciones y normativas son cada vez más estrictas. La clave es valorar adecuadamente los riesgos asociados con la gestión de datos, especialmente si involucran información de terceros. No debemos cometer el error de asumir que están seguros simplemente porque usamos un data center o servidor local.
Al migrar a la nube, es esencial realizar una evaluación exhaustiva de riesgos que abarque todo el ciclo de vida de los datos, desde su generación hasta su almacenamiento, compartición y acceso. Además, cloud también permite implementar niveles avanzados de seguridad.
La recomendación principal es adaptar la seguridad de datos en la nube a la criticidad de la información. Esto implica considerar herramientas como el cifrado de datos, especialmente para data altamente sensible, donde el encriptado se realiza fuera de la nube para garantizar que incluso el proveedor no tenga acceso. En algunos casos puede ser preferible no mover a cloud datos críticos si los riesgos no pueden ser mitigados de manera efectiva.
¿Qué implica la responsabilidad compartida y cómo puede aplicarse efectivamente?
La responsabilidad compartida en la seguridad cloud es esencial. Cuando se migra, se traspasa la operación y parte de la seguridad al proveedor, pero la responsabilidad final sigue siendo del cliente. El concepto compartido significa definir claramente quién es responsable de qué aspectos. Agregar controles y asegurarse de que el proveedor gestione los riesgos acordados es fundamental. Un error común es no evaluar los riesgos de manera adecuada, asumiendo que la nube es inherentemente segura. Esto lleva a no cuestionar al proveedor y descuidar la seguridad.
¿Qué consideraciones se deben tener al abordar la seguridad cloud desde el cumplimiento normativo?
La regulación y el cumplimiento normativo son fundamentales en la actualidad, especialmente en industrias altamente reguladas. Estas normativas imponen, por ejemplo, obligaciones a las organizaciones que participan en servicios críticos para gestionar la ciberseguridad de manera efectiva.
Esto significa que las empresas deben cumplir con estándares más estrictos. Ninguna norma evita que vayas a tener un incidente, pero proporcionan un marco que asegura que las organizaciones se preparen para prevenirlos y, en caso de que ocurran, puedan responder y remediar rápidamente la situación.
¿Cómo desarrollar una sólida estrategia de seguridad en la nube y aprovechar sus beneficios?
En primer lugar, es esencial evaluar los riesgos existentes tanto a nivel local como en relación con las obligaciones legales y regulaciones aplicables. No todos los servicios o datos deben ir a la nube, por lo que la evaluación de riesgos ayudará a determinar cuáles sí. Luego, se debe buscar un proveedor de servicios en la nube que ofrezca la mejor gestión para los riesgos que se enfrentan. De este modo, la recomendación principal es seguir buenas prácticas, buscar asesoría profesional y experiencias previas para evitar problemas en la migración a cloud y asegurarse de que el proceso sea seguro y efectivo.
¿Cuál es el aporte de la CSA en la industria de la seguridad de la nube?
Sin duda, la Cloud Security Alliance desempeña un papel fundamental en esta industria. A lo largo de los años, ha evolucionado para convertirse en uno de los actores más relevantes en este ámbito, generando y promoviendo buenas prácticas en el uso seguro de la nube.
La CSA mantiene numerosos grupos de investigación que producen documentos y guías sobre cómo utilizar cloud de manera segura y eficiente en diversos contextos. Desde el análisis de las amenazas emergentes, como las relacionadas con la Inteligencia Artificial, hasta la identificación de los principales riesgos, brinda información valiosa para organizaciones y profesionales de la seguridad.
Un aspecto clave es su labor de certificación, a través del programa CSA Star, que incluye tres niveles de acreditación, el cual es reconocido y adoptado por muchas empresas líderes en la industria. Si observas a los principales proveedores de cloud, todos cuentan con esta acreditación, permitiendo que declaren su gestión de riesgos y a los usuarios conocer qué preguntas hacer y qué evaluar al elegir un proveedor de nube adecuado para sus necesidades. Además, la CSA también ofrece una certificación (CCSK) para profesionales que valida su conocimiento de seguridad cloud.
Junto a sus esfuerzos en investigación y certificación, la organización también ha estado involucrada en el desarrollo de prácticas y normativas relacionadas con la seguridad de la nube. Un ejemplo notorio es su participación activa en la preparación y el cumplimiento del Reglamento General de Protección de Datos (GDPR) en Europa.
