S21sec: “La seguridad no es solo responsabilidad del proveedor cloud”

La cada vez mayor adopción de soluciones en la nube ha hecho que sea necesario una nueva estrategia de seguridad, más global y con la que poder obtener una visión completa de toda la información de una compañía, independientemente de dónde se encuentre alojada.

Desde S21sec no sólo aconsejan este nuevo enfoque sino que aseguran que son muchas las empresas que, al contratar cualquier servicio en la nube, están dejando en manos del proveedor cloud toda la responsabilidad respecto a la seguridad de sus datos. Un claro error, según Igor Unanue, CTO y cofundador de S21sec.

Repasamos con él cómo está afectando la adopción de la nube a la seguridad corporativa y qué nuevos retos están surgiendo.

-Nuevos troyanos, incremento del ransomware, ataques de malware… ¿Los ciberdelincuentes nunca descansan?

Lo cierto es que no. De hecho, durante la pandemia los ciberataques se incrementaron muchísimo aprovechando precisamente la información sobre el propio coronavirus. Se lanzaron muchísimas páginas web falsas sobre el COVID que servían de gancho para lanzar ciberataques.

Concretamente, el equipo de Inteligencia de Ciberseguridad de S21Sec registró casi 400.000 muestras más de ransomware con respecto al mismo periodo del año anterior.

Esa tendencia ha ido bajando, lógicamente, según ha descendido también la alarma sobre el coronavirus o, sobre todo, la falta de información inicial pero eso no significa que los ciberataques hayan descendido.

Simplemente, los atacantes están en todo momento buscando nuevas fórmulas. De hecho, el ransomware sigue siendo muy preocupante, se dan ataques a diario. Y es una tendencia que va a seguir al alza.

Fenómenos como el teletrabajo o la adopción de cloud están provocando además que el riesgo siga aumentando.

– Según sus propias cifras, el 90% de las empresas, a nivel mundial, utiliza la nube como herramienta de trabajo. ¿Cuáles son los principales desafíos que el cloud presenta a nivel de seguridad?

La nube representa, claramente, un tendencia al alza. Actualmente, si nos centramos en España, señalan que el 39% de las empresas usa algún servicio en la nube ya. Además, se espera un crecimiento cloud anual del 27% y una inversión superior al 15 por ciento en el presupuesto de las compañías.

Pero esa adopción también está acompañada de una clara preocupación por la seguridad. Así, por ejemplo, lo afirma el 69% de las organizaciones.

Y que es la nube, aunque actualmente el modelo de adopción más extendido sea el modelo híbrido, abre nuevas puertas a la pérdida de datos, la fuga de información o la respuesta ante cualquier incidente que se pueda producir.

Es decir, surgen nuevos riesgos y hay que tenerlos en cuenta.

-Ustedes defienden un enfoque integral, en el que hay 5 pasos básicos y necesarios: Identificar, proteger, monitorizar, responder y recuperar…

Exacto. Es una estrategia global y como S21sec ofrecemos soluciones en cada uno de esas fases. Si no tienes todas estas capacidades activadas no puedes asegurar correctamente.

Ya no puedes basta con securizar tu infraestructura interna; el modelo híbrido complica la situación porque tienes que controlar tu seguridad interna y, a la vez, tu seguridad en la nube.

Son plataformas distintas que tienen que trabajar de forma unificada; es necesario contar con una visión conjunta.

En nuestro caso, estamos viendo que los clientes tienen muy controlada la seguridad interna pero no tanto lo que han migrado a la nube. Lo dejan en manos del proveedor y eso es un grave error.

-Es decir, aquellas empresas que están optando por la nube, bien sea en modelo de SaaS, IaaS o PaaS ¿deben seguir controlando y securizando esa información?

Eso es. Puede que una empresa, por ejemplo, tenga un contrato con un proveedor cloud para el uso de una aplicación o de un software determinado. Está claro que el proveedor cloud le ofrece una seguridad de la infraestructura pero es ella la que tiene que seguir securizando sus datos, quién accede a ellos, cómo, etc. Es su responsabilidad.

El proveedor de cloud te da una seguridad hasta un punto; a partir de ahí es responsabilidad de la empresa. Y eso a veces no se tiene en cuenta.

Los departamentos de seguridad no controlan al 100% todo el entorno cloud de la empresa; hay determinado departamentos que cogen una app cualquiera, la instalan y la usan en su empresa sin tener paso por otros departamentos de seguridad que lo controlen.

Eso hace que los errores humanos hagan visible los problemas de seguridad que tengamos en el futuro.

-Entre las soluciones que ustedes proponen para ese escenario, para el entorno en la nube, destacan las de CSPM (Cloud Security Posture Management). ¿Por qué?

CSPM es una de las primeras soluciones que apareció a nivel global en el área cloud y es especialmente útil cuando una compañía cuenta con varios proveedores cloud, que es algo a lo que el mercado va a tender.

Las soluciones CSPM van a tener un gran protagonismo durante 2024, su aplicación permite reducir los incidentes por errores de configuración en un 80% gracias a que hacen posible controlar la información corporativa este donde este: in house o en un proveedor en la nube.

Como decía, lo importante es tener la visión global, no dejar toda la responsabilidad en el proveedor cloud.

Es necesario una gestión del riesgo de esa infraestructura o de los datos en la nube igual que la harían con su infraestructura interna.

No quiere decir que tengas que aplicar todos los niveles de seguridad que tu tienes en casa, el 100 por cien, a la nube pero sí saber qué ocurre. Tener la visión global.