Principales tendencias de seguridad en la nube a tener en cuenta en 2022

¿Sabía que el 93 % de las empresas ahora alojan su infraestructura de TI en la nube? La adopción de la nube aumentó después de la epidemia de COVID-19, al igual que el trabajo remoto. Debido a la mayor flexibilidad, productividad y ahorro de costos, se ha convertido en una opción factible para organizaciones de todo el mundo.

Si bien la adopción de la nube brinda a las empresas una mayor flexibilidad y eficiencia, también las expone a peligros cibernéticos y filtraciones de datos. Como cuestión de oro, los ejecutivos de TI deben tratar la seguridad en la nube como una necesidad estratégica. Ahora echemos un vistazo a algunos de los avances de seguridad en la nube más comentados en los últimos años para evitar esto.

1. Las nubes de la industria son cada vez más populares

Para mantenerse al día con la innovación digital, muchas empresas han trasladado parte o la totalidad de sus cargas de trabajo a la nube, pero algunas han tenido dificultades para mantener su entorno y datos en la nube actualizados con los cambiantes criterios de cumplimiento normativo de su industria. Hillary Hunter, VP y CTO de IBM Cloud cree que invertir en una nube específica de la industria que automatice la gestión de la configuración, el seguimiento normativo y otros desafíos relacionados con un negocio determinado será la solución para muchas empresas.

Según Hunter, "una investigación reciente indicó que el 64 % de los C-suite encuestados sienten que el cumplimiento normativo relacionado con la industria es una barrera clave para la adopción de la nube".

“La adopción de la nube está evolucionando hacia nubes especializadas a medida que las organizaciones lidian con la seguridad y el cumplimiento, particularmente en industrias altamente reguladas como el sector de servicios financieros y las agencias gubernamentales, por ejemplo”.

“A medida que estas industrias trabajan para satisfacer las necesidades de los consumidores y electores de hoy en día, que priorizan lo digital, las plataformas específicas de la industria serán fundamentales para equilibrar la innovación y la funcionalidad con reglas de cumplimiento estrictas”. Podrán innovar a la velocidad del cambio si eligen la plataforma correcta, una con controles integrados, lo que garantiza que no se quedarán atrás cuando su industria implemente nuevas reglas o ajuste las antiguas”.

1. Gestión de la postura de seguridad en la nube (CSPM)

Según la investigación, los principales peligros de la nube incluyen mala configuración, falta de visibilidad, identidad y acceso ilegal. Posición en la seguridad en la nube CSPM examina la configuración de las cuentas de su plataforma en la nube en busca de posibles errores de configuración que puedan provocar violaciones y fugas de datos. Debido a que el entorno de la nube se está desarrollando rápidamente, la detección de errores de configuración se está volviendo cada vez más desafiante. Según Gartner, la causa más común de filtraciones de datos es una mala configuración. La eliminación reducida o total daría como resultado un rendimiento mejorado.

En términos de seguridad y protección, CSPM ayuda a las organizaciones a generar confianza con sus usuarios. En la nube, automatiza la seguridad y garantiza el cumplimiento.

Aquí hay algunos ejemplos de cómo CSPM es beneficioso para las empresas:

• Las configuraciones incorrectas de la nube se detectan y solucionan fácilmente.
• Las mejores prácticas para varias configuraciones de nube se recopilan en esta base de datos.
• Mantenga un registro del estado actual de su configuración.
• Incluso en un escenario de múltiples nubes, opere de manera eficiente utilizando sistemas SaaS y PaaS.
• Comprueba regularmente el almacenamiento, las encriptaciones y los derechos de cuenta.

1. DevSecOps y SDLC basados ​​en la nube  

DevOps está ganando terreno como una arquitectura SDLC que permite la implementación rápida de productos de software de alta calidad al tiempo que reduce el riesgo y el desperdicio. Las soluciones de administración de infraestructura de nube y automatización suministradas como un servicio de nube son necesarias para la adopción de DevOps. El procedimiento en sí debe ser rápido y seguro.

DevSecOps es un método para integrar y automatizar las responsabilidades de seguridad dentro del proceso SDLC, en el que las personas y la tecnología involucradas en la canalización contribuyen activamente a toda la vida útil del producto de software. La seguridad debe integrarse en el proceso en lugar de agregarse como un elemento de la lista de verificación que se puede automatizar.

1. Tendencias de la industria e inversiones en seguridad en la nube  

Entre otras tendencias en la nube, se prevé que el negocio de la computación en la nube (pública) aumente un 17 % año tras año hasta los 266 400 millones de dólares en 2020. El mercado mundial de la seguridad en la nube está creciendo a un ritmo comparable, con una tasa compuesta anual del 23,5 % que se espera alcance los 8,9 dólares mil millones a finales de este año. Los eventos globales han transformado la forma en que operan las empresas de tecnología, lo que ha resultado en una creciente adopción de la nube y las amenazas de seguridad que conlleva.

Según McAfee, entre enero y abril de 2020, la adopción empresarial de soluciones en la nube aumentó un 50 %. Los actores de amenazas externas crecieron un 630 por ciento en el mismo período. Los problemas de seguridad nativos de la nube también se destacan en la investigación como cruciales para las cargas de trabajo comerciales en la nube. Como resultado, algunos trabajos, tales como:

• La gestión de la seguridad en la nube
• Gestión de la configuración
• Otros procedimientos que requieren intervención humana

1. Cíñete al modelo de confianza cero.  

El paradigma de confianza cero garantiza una seguridad perfecta al evitar que cualquier persona acceda a los datos a menos que se verifique su identidad. Garantiza que los usuarios solo accedan a la información que necesitan. En cualquiera de las dos circunstancias, no se proporciona más información. El usuario debe validar su identidad en cada etapa. Este concepto devuelve el control a la empresa al mismo tiempo que aumenta la responsabilidad. El peligro de filtraciones de datos se reduce limitando el acceso.

Con un aumento en la frecuencia de los ataques internos, adaptarse a este paradigma se vuelve vital. Los empleados nunca deben tener acceso a material que no esté relacionado con su trabajo.

1. El cibercrimen ha aumentado drásticamente.

La computación en la nube permite a los usuarios acceder a los datos en cualquier momento. Si bien este es un problema que surge de los usuarios de estos recursos, el riesgo que sigue es su responsabilidad. Debido a la falta de visión y control, la computación en la nube expone a los usuarios a un mayor riesgo de ciberdelincuencia. Los individuos son los menos conscientes de los peligros.

En la computación en la nube, hay tres formas de datos que son vulnerables al ciberdelito:

• Procesamiento de datos basado en la nube
• Los datos que están inactivos o en reposo.
• La información en tránsito

Las empresas no pueden operar sin el cifrado de extremo a extremo debido al peligro elevado del delito cibernético. A pesar de ser consciente de los graves peligros, solo una de cada cinco empresas evalúa su postura de seguridad en la nube con regularidad. Para evitar pérdidas significativas en su empresa, asegúrese de no quedarse atrás en esta área.

1. Seguridad en SaaS

Hemos sido testigos de un aumento significativo en las infracciones relacionadas con los sistemas SaaS en el último año. Como resultado de este aumento, hemos sido testigos de un aumento en los productos y tecnologías de seguridad SaaS. Los productos SaaS Security Posture Management (SSPM) son uno de esos sectores.

Los SSPM están ayudando a las empresas a profundizar en su cartera completa de SaaS para garantizar que mantengan un pulso en las actividades y cumplan con las normas. Vimos que estos SSPM aceptaron aproximadamente una docena de plataformas en 2021, pero la cantidad de plataformas SaaS admitidas por estas herramientas se expandirá significativamente en 2022. Las organizaciones están comenzando a desarrollar un programa de seguridad SaaS más sólido que puede cubrir su cartera completa, desde la nube. Incorporación y validación de proveedores basada en SaaS a través de monitoreo y alertas de proveedores.

Control de acceso basado en atributos con políticas de acceso dinámico (ABAC)

ABAC utiliza etiquetas para determinar los derechos de acceso sobre la marcha. Por ejemplo, si el valor de la etiqueta "proyecto" en el principal coincide con el valor de la misma etiqueta "proyecto" en el recurso o entorno de destino, puedo crear una política que proporcione derechos. Esto permite políticas más escalables y reutilizables, así como un mantenimiento más sencillo y una mejor separación de permisos. Si bien muchos proveedores de servicios en la nube aún tienen que integrar esta nueva estrategia en todos los servicios (lo que limita su valor), esperamos ver cómo este nuevo enfoque se expande en popularidad y soporte durante el próximo año.

Con más empresas que adoptan entornos de trabajo híbridos y de trabajo desde casa, así como el cambio de cargas de trabajo y datos a la nube, la protección de la infraestructura de servicios de administración en la nube habilitada para la nube debe ser una prioridad desde el principio. Cuando se usa de manera responsable, la nube ofrece beneficios de productividad y reduce el riesgo al tiempo que aumenta la productividad.

1. Aparato

Los desarrolladores de aplicaciones y los ingenieros de infraestructura son cada vez más difíciles de separar. Los desarrolladores crean arquitecturas en la nube en función de los servicios que desean utilizar o crean una nueva infraestructura desde cero. Los equipos multifuncionales están comenzando a colaborar para considerar cómo encaja la seguridad en este nuevo estilo de pensamiento. Hemos identificado posibles nuevas vías de ataque y configuraciones de seguridad, lo que ha ayudado a los clientes a comprender las implicaciones. Este patrón parece continuar.

1. El desarrollo de la computación sin servidor

En sus plataformas, vemos que un número cada vez mayor de empresas utilizan un diseño sin servidor. Esto significa no solo usar las capacidades FaaS (Función como servicio) de los proveedores de servicios en la nube, sino también explorar la amplia gama de opciones accesibles sin servidor. Se deben reconocer los peligros potenciales de los lanzamientos trimestrales de productos sin servidor.

AWS Pinpoint, por ejemplo, es un servicio de AWS que proporciona una herramienta de correo electrónico, mensajería SMS y marketing que es fácil de configurar y usar con Lambda, puerta de enlace API y otros servicios de AWS. Es responsabilidad tanto de los desarrolladores de aplicaciones como del equipo de TI en la nube comprender las configuraciones de seguridad y los riesgos asociados con estas tecnologías debido a la amplia gama de opciones y funcionalidades de integración.

También hemos visto diseños de "dificultad" utilizados para proporcionar a los CSP más control sobre las infraestructuras de FaaS. Una nueva forma de pensar sobre la seguridad surge cuando crece el control sobre este tipo de decisiones arquitectónicas. Hemos puesto nuestros ojos en estos nuevos modelos, y estamos tratando de descubrir cómo pensar en la seguridad a medida que más servicios sin servidor se vuelven populares. Estaremos prestando especial atención al servidor menos en el próximo año, y cómo protegerlo mientras se mejora la eficiencia y se reducen los riesgos.

Leer más: Las 6 razones principales para considerar el alojamiento en la nube administrado para su pequeña empresa

En resumen

Todos los días surge una nueva amenaza cibernética sofisticada para las empresas, como todos sabemos. Las empresas deben prepararse para lo peor después de considerar los patrones antes mencionados. Para mantener su integridad y construir una conexión a largo plazo con sus clientes, deben implementar sólidas medidas de seguridad. Para defender a su empresa de riesgos graves, siga trabajando y evaluando los problemas de seguridad con regularidad.