Ciberseguridad en la nube: ¿Qué es y qué protege?

Atrás quedó el modelo de distribución de licencias para dar paso a un enfoque mucho más orientado a los servicios. Ahora, esta tendencia está modificando las operaciones de todo tipo de organizaciones, sin importar tamaño, industria o ubicación geográfica, con el objetivo de proteger los entornos informáticos cloud, así como sus aplicaciones y datos almacenados en la nube.

Desde su origen, la seguridad en la nube o ciberseguridad consta de las siguientes categorías:

• Seguridad de datos.
• Gestión de identidades y accesos (IAM, por sus siglas en inglés).
• Gobernanza (políticas de prevención, detección y mitigación de amenazas).
• Planificación de la retención de datos (DR) y la continuidad del negocio (BC).
• Cumplimiento legal.

Lo más importante, es comprender qué se está asegurando con dichos protocolos de ciberseguridad, así como todas las funcionalidades que la solución debe administrar. Sin embargo, a modo general, la ciberseguridad en la nube está capacitada para proteger de vulnerabilidades y riesgos los siguientes aspectos:

• Redes físicas: enrutadores, energía eléctrica, cableado, controles de clima, etc.
• Almacenamiento de datos, tales como discos duros internos y externos, pendrives, etc.
• Servidores de datos habilitados como hardware y software informáticos que operan en una única red central.
• Plataformas de virtualización de equipos informáticos, tales como software de máquinas virtuales, máquinas anfitrionas y máquinas externas (invitadas).
• Sistemas operativos (OS) disponibles, como el software que soporta todas las funciones informáticas de la empresa.
• Middleware, que se refiere a la gestión de la interfaz de programación de aplicaciones (API).
• Entornos de ejecución y mantenimiento de un programa en ejecución.
• Datos y toda la información almacenada, modificada y a la que se ha accedido desde diferentes usuarios.
• Aplicaciones o servicios tradicionales de software, como son el correo electrónico, software de impuestos, paquetes de productividad, entre otros.
• Hardware de usuario final o de uso personal, como son los ordenadores, dispositivos móviles, etc.

Actualmente, el fenómeno de la seguridad en la nube está generando grandes desafíos en materias de seguridad. Tanto el cloud computing como la ciberseguridad, se han convertido en los puntos que encabezan las listas de prioridades de las empresas con un alto componente tecnológico. Así lo evidenció el Informe “Construyendo confianza en un cielo nublado”, de McAfee, del que podemos resaltar:

• Los servicios en la nube son utilizados por más del 90% de las organizaciones de todo el mundo.
• 49% de los profesionales encuestados afirmó que no habían ralentizado su adopción de la nube a causa de la falta de personal especializado en ciberseguridad.
• Los profesionales que confían en nubes públicas superan en proporción de 2 a 1 a aquellos que desconfían de ellas.
• Un 52% de los encuestados aseguran haber rastreado un malware o infección en una aplicación SaaS.

Datos como estos nos permiten concluir que las empresas confían cada vez más en los servicios en la nube, pero que la seguridad es un factor al cual se debe prestar siempre especial atención.

Mientras que el primero protege los componentes del sistema operativo, alojamiento y las instalaciones físicas; el cliente debe vigilar sus plataformas, sistemas, aplicaciones, configuración y redes, además de prestar especial atención a los permisos y la privacidad con la que los usuarios acceden a sus plataformas en la nube. De esta manera, es el cliente quien controla la arquitectura de seguridad, la fuerza de sus contraseñas, permisos de acceso, etc.

Esto quiere decir que, a diferencia de lo que ocurre con la seguridad de TI tradicional, la seguridad en la nube pasa a ser un modelo de responsabilidad compartida debido a que el proveedor de servicios tiene el deber de gestionar la seguridad de la infraestructura subyacente remota, mientras que el cliente, la seguridad de todo lo que se encuentra por encima del hipervisor, como son los sistemas operativos invitados, accesos de usuarios, aplicaciones, datos, entre otros.

SaaS (Software as a Service): este tipo de servicio en la nube se caracteriza por la implementación del software a través de Internet para varias empresas que pagan mediante suscripción o un modelo de pago por uso. El proveedor administra en sus servidores las diferentes aplicaciones del cliente, sus datos, tiempos de ejecución, middleware y sistema operativo. Algunos ejemplos de software del tipo SaaS incluyen Google Drive, Slack, Webdox CLM, Microsoft 365, y Evernote.

PaaS (Platform as a Service): el servicio PaaS ofrece plataformas como servicios, es decir, el proveedor implementa la infraestructura y el marco de software, pero es el cliente quien desarrolla y ejecuta sus propias aplicaciones. Los proveedores administran el tiempo de ejecución, el middleware y el sistema operativo, mientras que los clientes se encargan de gestionar sus aplicaciones, datos, acceso de usuarios, dispositivos de usuarios finales y redes de usuarios finales. Algunos ejemplos de soluciones PaaS son Windows Azure, IBM Smartcloud y Longjump.

IaaS (Infrastructure as a Service): la infraestructura como servicio, es cuando un proveedor aloja la infraestructura de sus clientes. Es un tipo de solución en la nube que ofrece recursos de computación, red y almacenamiento para los clientes a pedido. Es decir, el usuario final puede alojar la mayor parte de sus tareas informáticas, incluido el sistema operativo en los hardware y plataformas de conectividad remota, gestionando todo lo que se apila en el sistema operativo, mientras que el proveedor solo se encarga de administrar los servicios básicos en la nube. Ejemplos de empresas que aplican el modelo IaaS son: Amazon Web Services (AWS), Microsoft Azure y Google Compute Engine (GCE).

Nube pública: este tipo de entorno cloud, permite que varios usuarios puedan acceder a una interfaz de autoservicio de manera automática.  Es decir, un cliente comparte los servidores de un proveedor con otros usuarios y clientes, por lo que es una solución práctica y accesible. En definitiva, la nube pública consta de servicios de terceros dirigidos por el proveedor para dar acceso a los clientes a través de la web. Normalmente, las implementaciones de nube pública se usan para proporcionar correos electrónicos web, aplicaciones de Office en línea, almacenamiento, y entornos de desarrollo y entornos de pruebas.

Nube privada: la infraestructura de este tipo de entorno en la nube, debe ser operada por una única organización, por lo que el servicio es más costoso ya que es diseñado a medida.

La nube privada puede ubicarse físicamente en el centro de datos de la organización u hospedarse en un proveedor de servicios externo. Habitualmente, las nubes privadas suelen ser adquiridas por agencias gubernamentales, instituciones financieras y cualquier organización que realice operaciones esenciales para la empresa y busque aumentar el control sobre su entorno.

Nube híbrida: este tipo de entorno, se caracteriza por unificar lo mejor de la nube pública y la privada. Es decir, es una arquitectura informática que incorpora parte de las cargas de trabajo en dos o más entornos. Comúnmente, se define como cualquier combinación de soluciones cloud que funcionen conjuntamente en entornos locales y externos para proporcionar servicios de informática a una organización. Este tipo de entorno en la nube es ideal para nuevas empresas que aún no están en condiciones de invertir en servidores propios de alto costo.

Mientras que las empresas que cuentan con un servidor local propio son por lo general quienes resultan más afectadas, aquellas que utilizan sistemas de cómputo en la nube, tales como Google Cloud , Amazon Web Services (AWS) o Microsoft Azure, no están exentos de tales amenazas.

A continuación, revisaremos algunas de las mejores prácticas para prevenir y mitigar este tipo de ataques en configuraciones de cloud computing, pero primero, vamos a lo básico.

¿En qué consiste un ataque DDoS?

Un ataque DDoS (Distributed Denial of Service) es un intento de agotar los recursos disponibles para una red, aplicación o servicio para que sus usuarios legítimos no puedan acceder.

Hace algunos años, e impulsado en gran parte por el aumento del “hacktivismo”, se ha visto un renacimiento en los ataques DDoS que ha llevado a la innovación en las áreas de herramientas, objetivos y técnicas utilizadas para ejecutarlos.

En la actualidad, la definición de "ataque DDoS"  se sigue complicando. Los hackers utilizan una combinación de ataques de gran volumen, junto con infiltraciones más sutiles y difíciles de detectar que apuntan a las aplicaciones, así como a la infraestructura de seguridad de red existente, como firewalls e IPS (sistemas de protección contra intrusiones).

¿Cómo evitamos estos ataques al trabajar con servidores en la nube?

Desarrollando soluciones escalables: una infraestructura escalable es fundamental para un sistema bien estructurado, sin embargo, también es una técnica de gran efectividad a la hora de evitar ataques DDoS. Escalar para cumplir con los volúmenes de tráfico adicionales, ya sean válidos o de un ataque DDoS, aumentará la capacidad de los servidores para seguir funcionando.

Minimizando el área de superficie de ataque: en este caso, es clave desacoplar las partes de la infraestructura de red. Por ejemplo, al ejecutar sitios web públicos, se recomienda separar la aplicación de la base de datos y, si es posible, los medios y su contenido estático también. Las aplicaciones desacopladas limitan el acceso a Internet a los componentes críticos del sistema, protegiéndose de un ataque.

¿Cómo mitigar un ciberataque?

Aislando el tráfico interno de la red exterior: es decir, implementando instancias sin IP públicas a menos que sea necesario. Por ejemplo, configurando una puerta de enlace NAT o un bastión SSH para limitar el número de instancias que están expuestas a Internet. Una vez disponible, se ejecuta el equilibrio interno de carga para que las instancias internas de los clientes accedan a los servicios implementados internamente, evitando así exposición al mundo externo.

Equilibrando la carga con la ayuda de Proxys: AWS y Google Cloud poseen herramientas de balance de carga HTTP(S) o balance de carga SSL Proxy, por lo que la infraestructura de sus servidores cloud es capaz de mitigar y absorber muchos ataques de Capa 4 y otros, tales como inundación SYN, inundación de fragmento de IP, etc. Al contar con una herramienta de balance de carga HTTP(S) en múltiples regiones, logran dispersar cualquier posible ataque a través de las instancias de sus servidores alrededor del globo.

En conclusión, si bien los ataques DDoS continúan siendo una amenaza permanente para las infraestructuras cloud, existen muchas formas de estar preparados y enfrentarlos de manera exitosa para mantener los sitios web o aplicaciones siempre disponibles en caso de recibir un intento de saturar la red. Siempre es necesario tener estos datos en mente para mantener una red saludable y estable.

Resguardar los datos de la consola de gestión cloud: todos los proveedores de servicios de ciberseguridad cuentan con una consola en la nube, sistema que otorga una completa interfaz web para la organización, que permite gestionar y consultar toda la información de los servicios cloud, como aplicaciones web, administración de cuentas, gestión de bases de datos, sistemas virtuales, redes o almacenes de datos. Una buena práctica para proteger la información almacenada en este entorno, es que las organizaciones controlen el acceso y lo supervisen estrictamente, limitando los privilegios de accesibilidad a la consola para evitar los ataques y la filtración de datos, ya que son unos de los principales blancos de los ciberdelincuentes.

Proteger la infraestructura virtual: este es otro de los objetivos de interés de los ciberatacantes: servidores virtuales, contenedores, almacenes de datos y otros recursos similares pueden ser vulnerados si no se protegen adecuadamente. En este sentido, los ciberdelincuentes pueden hackear las herramientas de aprovisionamiento automático explotandolas para organizar ataques e interrumpir servicios. Por lo mismo, es esencial que los clientes establezcan sólidas prácticas de seguridad para evitar el acceso no autorizado a los scripts de automatización y las herramientas de aprovisionamiento de la nube.

Protección de claves SSH de API: un servidor SSH puede autenticar a los clientes a través de distintos sistemas. La forma más común es la autenticación por medio de contraseñas, que es fácil de usar, pero no es la más segura. Por lo mismo, otra buena práctica de resguardo para la ciberseguridad, es proteger las claves SSH de API, eliminando las claves SSH incrustadas de las aplicaciones y asegurándose de que solo las aplicaciones autorizadas tengan acceso a ellas, evitando que queden instaladas en repositorios públicos.

Protección en el desarrollo y administración de DevOps: los procesos de desarrollo y operaciones de aplicaciones son probablemente uno de los aspectos más importantes a considerar en términos de ciberseguridad.  Los ciberdelincuentes generalmente intentan explotar las consolas y herramientas de administración de DevOps con el objetivo de lanzar ataques o robar datos. Por lo mismo, es fundamental que las empresas en su papel de clientes, controlen y evalúen constantemente el acceso a las herramientas y consolas de administración utilizadas en cada etapa del desarrollo de aplicaciones y del proceso de entrega para mitigar el riesgo.

Proteger el código de los procesos de desarrollo y operaciones: es habitual que los desarrolladores inserten las credenciales de seguridad en el código fuente almacenado en el almacenamiento compartido o en los repositorios de código públicos en la nube. Esto puede generar vulnerabilidades en el proceso de DevOps cuando las credenciales de aplicaciones son mal administradas, robando por ejemplo información de propiedad exclusiva y generando problemas más graves para el cliente. En este sentido, la recomendación es que la organización elimine los secretos del código fuente, implantando sistemas y prácticas para supervisar y controlar el acceso de forma automática de acuerdo a cada política del negocio.

Proteger los accesos de administración para los proveedores en la nube: como mencionamos anteriormente, todos los proveedores de servicios en la nube (SaaS) cuentan con una consola de gestión integrada para administrar usuarios y servicios. Sin embargo, estas cuentas de administración son otro blanco para los ciberatacantes. Para evitar riesgos, los clientes deben controlar y supervisar periódicamente y de forma estricta los privilegios de acceso a la consola de administración SaaS para garantizar la seguridad de los datos.

Los principales proveedores de servicios en la nube como Amazon Web Services o Google Cloud, sobre los cuales operan gran parte de los servicios en la nube ofrecidos en el mercado, han abordado de manera proactiva sus controles de seguridad realizando verificaciones independientes de las políticas de seguridad, privacidad y cumplimiento, poniendo estos informes a disposición del público.

En el evento, Firstbrook, enfatizó que el principal desafío de las organizaciones es la brecha de habilidades, debido a que el 80% tiene dificultades para encontrar y contratar talento experto en seguridad, mientras que el 71% de los encuestados afirman que su capacidad para entregar proyectos relativos a seguridad se ha visto afectada.

La situación geopolítica actual, además de las constantes regulaciones a nivel mundial, son otros aspectos que las organizaciones deben evaluar constantemente para mantener la seguridad de la información y mitigar riesgos, especialmente por  la migración de espacios de trabajo y cargas de trabajo fuera de los entornos y redes tradicionales. 

El crecimiento en términos de diversidad y nuevas ubicaciones de terminales, generan también sensación de incertidumbre, especialmente en cuanto a los desafíos del ransomware y compromiso de correo electrónico empresarial, entre otros aspectos.

Las principales tendencias de gestión de riesgos y ciberseguridad de Gartner en 2021, son las siguientes: 

1.-Malla de ciberseguridad:

Solución enfocada en implementar controles de seguridad donde más se necesitan, en vez de que todas las herramientas estén en ubicadas en un único silo, extendiendo así los controles de seguridad a todos los activos distribuidos fuera de los perímetros empresariales tradicionales.

2.-Seguridad de la identidad:

El acceso para cualquier usuario en cualquier momento y desde cualquier lugar, hoy es una realidad indiscutible. Por esto mismo, es que la seguridad de la identidad por usuario exige un cambio esencial en la administración y monitoreo de los perfiles en comparación a los modelos de identificación tradicionales, comprobando siempre su autenticación para detectar posibles ataques contra infraestructuras.

3.-Soporte de seguridad para el trabajo remoto:

Un alto porcentaje de trabajadores a nivel mundial seguirá trabajando remoto incluso después de la pandemia. Este cambio de paradigma requiere un reinicio total de políticas y herramientas de seguridad específicas para el espacio de trabajo online, lo que conlleva a una revisión periódica de las políticas de protección de datos, recuperación de desastres y respaldo para asegurarse de que las organizaciones sigan operando en un entorno remoto.

4.- Consejo de administración cibernético:

Gartner predice que para 2025, el 40% de las juntas directivas tendrán un comité de ciberseguridad dedicado supervisado por un miembro calificado de la junta, en comparación con menos del 10% actual.

5.-Consolidación de proveedores de seguridad:

Tener una gran cantidad de proveedores asociados a la seguridad de la información en las organizaciones, puede ser contraproducente, ya que aumentan la complejidad los procesos, los costos de integración y los requisitos de personal. En este sentido, contar con menos soluciones de seguridad puede facilitar la configuración adecuada y responder a las alertas, mejorando su postura de riesgo de seguridad. 

6.-Computación que mejora la privacidad:

Cada vez surgen nuevas soluciones de computación que mejoran la privacidad, protegiendo los datos mientras se utilizan en tiempo real, en vez de cuando están solo en reposo, lo que permite procesarlos e intercambiarlos de manera más eficiente y segura.

Gartner predice que para 2025, el 50% de las grandes organizaciones adoptarán computación que mejore la privacidad para procesar datos en entornos no confiables o casos de uso de análisis de datos de múltiples partes.

7.- Simulación de infracciones y ataques:

Los avances de la tecnología en ciberseguridad, han permitido el desarrollo de herramientas de simulación de ataques y violaciones (BAS) para proporcionar evaluaciones continuas de la postura defensiva, desafiando la visibilidad limitada. De esta manera, los equipos logran identificar las brechas en su postura de seguridad de manera más efectiva, priorizando las iniciativas de seguridad de manera más eficiente.

8.- Gestión de identidades de máquinas

Esta última tendencia para la ciberseguridad, tiene como objetivo establecer y gestionar la confianza en la identidad de una máquina que interactúa con otras entidades, como dispositivos, aplicaciones, servicios en la nube o puertas de enlace, especialmente ahora que la digitalización de los procesos y las IoT han tomado un rol protagónico en las empresas más disruptivas.

La buena noticia, es que cada vez más empresas se suman a la tendencia de automatizar sus procesos, con el fin de optimizar la gestión de los recursos y generar ventajas competitivas. Lo anterior, incentiva la necesidad de automatizar también la gestión de contratos, aspecto clave que aplica a todas las empresas a nivel mundial, para sus diferentes departamentos e industrias. 

¿Qué factores de seguridad debe ofrecer un software de gestión de contratos? 

Una plataforma SaaS para la gestión de contratos como Webdox CLM, tiene que cumplir una serie de estándares de ciberseguridad, tomando como base los principales desafíos que un ambiente cloud representa. Entre los principales encontramos:

• Proteger el acceso no autorizado a los datos y las credenciales de los usuarios.
• Evitar la pérdida de información y generar respaldos en la nube. 
• Construir interfaces y APIs de gestión seguras.
• Implementar barreras para impedir la denegación de los servicios, por ejemplo, por los llamados ataques «DoS/DDoS» y otros similares.
• Definir protocolos ante el robo o pérdida de dispositivos.

En este sentido, y en cumplimiento de la normativa vigente, el software de gestión de contratos Webdox CLM ha adoptado las medidas técnicas y organizativas de seguridad y confidencialidad apropiadas a la categoría de los datos personales, necesarias para mantener el nivel de seguridad requerido, con el objetivo de evitar en la medida de lo posible la alteración, pérdida o el tratamiento o acceso no autorizado que puedan afectar a la integridad, confidencialidad y disponibilidad de la información.

Webdox CLM dispone de un equipo que preserva la seguridad de su información, llevando a cabo pruebas de vulnerabilidad y brindando seguridad a sus usuarios de dos maneras concretas:

Servidores e infraestructura: La información que los Usuarios cargan en Webdox CLM es almacenada en datacenters de Google Cloud Platform (GCP). Por lo anterior, Webdox CLM aprovecha las numerosas certificaciones de seguridad que GCP posee al día de hoy (Google Cloud Compliance), para demostrar seguridad en el almacenaje de información. Asimismo, adapta su arquitectura de servidores de Google para que ésta sea capaz de prevenir ataques informáticos de diferentes tipos.

Seguridad de la plataforma: Webdox CLM contiene una serie de funcionalidades pensadas en proteger la información, asociadas a la administración de contraseñas, seguridad de las sesiones, control de IP en el acceso al sistema, encriptación de datos, eliminación y pérdidas de información. Asimismo, Webdox se ha certificado con la ISO 27001, específicamente en la plataforma de gestión de contratos CLM y firma electrónica.

Por todo lo anterior, es necesario ser conscientes del rol protagónico de los contratos en las organizaciones de todos los tamaños y rubros, especialmente en lo que respecta a la valiosa información que poseen, por lo que la ciberseguridad no puede ser un tema dejado al azar. La clave está en elegir una plataforma que cuente con estándares de seguridad de clase mundial, que otorgue transparencia en todo el proceso contractual con las áreas involucradas y así aprovechar todas las bondades que otorga el ciclo de vida del contrato.