Nube: Complejidad en alzada, riesgos emergentes.

La revolución del Software como un servicio, sustentado por la nube y el crecimiento impulsado de sus derivados, han tenido un enorme impacto en la arquitectura de las redes de las empresas y de las plataformas donde residen los datos y los sistemas centrales de las empresas.

La mayoría de las organizaciones hoy día utilizan entre decenas y cientos de aplicaciones SaaS en todas sus funciones y sistemas organizacionales. Algunos de esos servicios son completamente nativos de la infraestructura de nube o de SaaS.

Sin una red tradicional, basados en un modelo híbrido, con una combinación de servicios locales, en la nube y SaaS, que forman la columna vertebral de las aplicaciones que se consumen y entregan a su mercado meta, el control de la seguridad es todo un compendio de maniobras acrobáticas.

La mayor parte de la adopción de la nube y de SaaS está impulsada por el usuario, en lugar de estar administrada centralmente por el TI de la empresa; ya que la adopción ascendente es inherente al crecimiento impulsado por el producto.

Las aplicaciones en la nube y SaaS están diseñadas para estar interconectadas y para funcionar como redes cerradas de aplicaciones comerciales internas cuyo vehículo de esta interconexión es la identidad.

Las identidades digitales son cada vez más complicadas y difíciles de asegurar. En este sentido, la forma más básica de identidad es una cuenta de usuario creada para los servicios a los que se registra con un nombre de usuario y/o correo electrónico y una contraseña.

Para reducir el riesgo de apropiación de cuentas y de la complejidad de administrar un número cada vez mayor de cuentas, las organizaciones utilizan los servicios de proveedores de identidad (IdP) para centralizar el acceso a las aplicaciones dentro de una única plataforma de identidad utilizando protocolos como el inicio de sesión único (SSO) para gestionar la autenticación y la autorización respectivamente, derivándose aquí diversas tecnologías que gestionan y administran la identidad de los usuarios.

La composición particular de una identidad puede variar mucho, dependiendo de la aplicación es incluso posible; tener múltiples mecanismos de autenticación para la misma cuenta. De hecho, esto crea múltiples identidades vinculadas a una sola cuenta, lo que puede generar mucha confusión, complejidad y dificultar saber qué aplicaciones se están utilizando y qué identidades existen en la organización.

La identidad es el pegamento que mantiene unido este ecosistema. Sin embargo, los controles que existen para asegurar la identidad tienen serias limitaciones. Las empresas suelen pensar que todas sus aplicaciones e identidades tienen implementada MFA o que todas las aplicaciones están detrás de SSO. La realidad es que solo un tercio de las aplicaciones admiten SSO, y alrededor del 60% de las identidades únicas no tienen registrada MFA.

Entonces, en realidad existen lagunas importantes en los controles de seguridad que protegen las identidades en la nube, mientras que las identidades y las aplicaciones en la nube son cada vez más frecuentes.

En medio de la parafernalia, los atacantes están tomando nota de esto. De esto da fe Verizon en un estudio de este año, donde revela que el 74 % de todas las infracciones involucraron el elemento humano, dirigiendo a los adversarios a cuentas de usuarios por el uso indebido de privilegios, uso de credenciales comprometidas o ingeniería social.

Algunos otros riesgos de seguridad asociados a las arquitecturas SaaS y de nube, más allá de la gestión de la identidad y el acceso; incluyen:

1. Riesgos de la infraestructura basada en la nube: Algunas amenazas comunes a la seguridad en la nube incluyen vulnerabilidades en la infraestructura, como fallas en la seguridad física, falta de control sobre los datos y la infraestructura, y dependencia de terceros para la seguridad.
2. Pérdida de gobernanza: La falta de control sobre los datos y la infraestructura puede llevar a una pérdida de gobernanza, lo que puede resultar en problemas de seguridad y privacidad.
3. Interoperabilidad: Dependiendo de los sistemas heredados en uso y las aplicaciones en la nube adoptadas por una empresa, puede resultar difícil integrar el SaaS con los sistemas existentes, lo que puede afectar la eficiencia y la operatividad de la organización.
4. Riesgos de seguridad heredados: Los sistemas heredados pueden presentar mayores riesgos de seguridad, ya que a menudo no reciben las actualizaciones necesarias para protegerse contra vulnerabilidades, lo que puede exponer a las organizaciones a posibles ciberataques.
5. Vinculación: La vinculación de los datos y la infraestructura con los proveedores de servicios en la nube puede hacer que sea difícil cambiar de proveedor o recuperar los datos en caso de un problema.
6. Fallo de aislamiento: El aislamiento deficiente de los recursos en la nube puede llevar a problemas de seguridad y privacidad, como la exposición de datos a usuarios no autorizados.
7. Riesgos de cumplimiento: La falta de control sobre los datos y la infraestructura puede hacer que sea difícil cumplir con las leyes y regulaciones de privacidad y seguridad.
8. Compromiso de interfaz de programación de aplicaciones (API): Las API son una puerta de entrada para los atacantes y, si no están protegidas adecuadamente, pueden ser explotadas para obtener acceso no autorizado a los datos y la infraestructura.
9. Costos de transición: Aunque el modelo de SaaS puede ayudar a las empresas a ahorrar dinero a largo plazo, existen costos asociados con la migración de datos y procesos a nuevas aplicaciones, así como con la capacitación del personal.
10. Seguridad en general: Las plataformas SaaS pueden enfrentar muchos desafíos de seguridad, ya que el alto nivel de crecimiento de estas tecnologías conlleva mayores problemas y riesgos. Los clientes esperan que las plataformas SaaS y de nube mitiguen estos riesgos para proteger la información sensible de las empresas, esto no siempre es cierto.

Para mitigar todos estos riesgos, es importante que las organizaciones adopten medidas de seguridad sólidas, como el cifrado de datos, la gestión adecuada y controla de la autenticación y el acceso, la supervisión de la actividad en la nube, y la implementación de políticas de seguridad y privacidad adecuadas.

Es fundamental que las organizaciones comprendan el alcance de sus responsabilidades de seguridad en plataformas de SaaS y de nube y se aseguren de que sus proveedores cumplan con las leyes y regulaciones de privacidad y seguridad aplicables.