¿Están preparados los proveedores de servicios en la nube para los ciberataques?
En la era de la innovación digital, la migración a la nube ha marcado un cambio radical en la forma en que las empresas diseñan, implementan y gestionan sus aplicaciones e infraestructuras. Uno de los aspectos más críticos que enfrentan las organizaciones es la creciente complejidad de la seguridad cibernética en este entorno.
Según datos de la Information Systems Audit and Control Association (ISACA), asociación internacional para el desarrollo de servicios y consultoría de TI, casi el 48% de organizaciones de tecnología, servicios financieros e incluso gubernamentales están sufriendo más ciberataques que el año pasado. Dado que la ciberdelincuencia se encuentra escalando, ¿qué están haciendo las empresas para protegerse? y aún más importante: ¿eso es suficiente?
La adopción de la nube es una tendencia que se encuentra al alza. Según Juan Caraballo, Manager de Cloud & Enterprise Business para Microsoft en México, el crecimiento de la nube en México está arriba del 30% año con año.
“Estamos a la par con otras regiones, desde nuestra perspectiva la visión de la nube va muy bien. Estamos inmersos en un proceso de digitalización que comenzó hace tres años. Llegó para quedarse. Cambiaron los usuarios, los consumidores, y eso obligó a las organizaciones a transformarse y digitalizar todas las ofertas de servicios y productos”, dijo en entrevista.
La migración hacia la nube es una tendencia que abarca diversas industrias, independientemente de su tamaño. Se proyecta que la tasa de adopción de soluciones en la nube alcance un crecimiento del 31.9% para el año 2025. Según el estudio IDC Latin America Public & Private Cloud Services Tracker 2021H2, se anticipa que el sector público y la industria de distribución y servicios experimentarán el mayor aumento en su adopción hacia el 2025.
La adopción generalizada de la nube ha llevado al desarrollo de dos modelos clave: la nube pública y la nube privada. Estos dos enfoques ofrecen opciones distintas para las organizaciones.
En primer lugar, la nube pública, representada por gigantes como Amazon Web Services, Azure de Microsoft y Google Cloud, se caracteriza por compartir recursos a escala global, que ofrecen flexibilidad y escalabilidad para múltiples usuarios. Por otro lado, la nube privada implica recursos dedicados exclusivamente a una sola entidad, proporcionando un mayor control sobre la infraestructura, ideal para necesidades específicas de seguridad y rendimiento.
La elección entre estos enfoques depende de la escala, objetivos y requisitos de cada organización, con la opción de la nube híbrida como un puente estratégico para aprovechar lo mejor de ambos mundos en la era digital. IDC recomienda una estrategia híbrida para la mayoría de las empresas, sobre todo para aquellas que tienen mayor tiempo de operación en el mercado.
En México, las industrias que están aprovechando esta tendencia son particularmente la de Retail y CPG, quienes aprovechan la nube para catalizar sus productos en sus sitios en línea, optimizar el inventario y realizar mejores pronósticos de la demanda; la industria de servicios financieros, que han maximizado la innovación basada en datos, información procesable y experiencias personalizadas para los clientes mientras; y las empresas nativas digitales que buscan hacer crecer su base de clientes y expandirse a nuevos mercados. Así lo expone David Ruiz, líder en Analítica, Datos, IA y Aprendizaje Automático para Google Cloud México en entrevista.
Pablo Ballarin, vocero y experto en el Grupo de Trabajo de Tendencias Emergentes para ISACA, explica que las empresas están apostando por la nube por dos razones principalmente: “es un tema de costos y de efectividad. Les es muchísimo más rentable no comprar su propio hardware, no comprar sus propias aplicaciones, sino dejarlas externalizadas a un tercero”, dijo en entrevista.
Sin embargo, el arropamiento de estrategias de ciberseguridad son fundamentales para la implementación de esta tecnología. Van a la par. “La seguridad en los servicios en la nube es fundamental. Si no tenemos confianza con el proveedor de servicio, es muy complicado que nuestro negocio pueda seguir adelante. No sólo se debe pedir al proveedor que garantice la funcionalidad y eficiencia de los servicios, sino también que garantice que no habrá brechas de seguridad”, opina.
Según el asesor de ciberseguridad, los principales ataques que pueden presentarse en este tipo de servicios son, por ejemplo, ataques de negaciones de servicio, donde se realizan cientos de miles de peticiones de algún servicio para dejarlo indisponible. Otro de los más populares es el ransomware, el secuestro de la información crítica, que busca dejar indisponible el funcionamiento de la empresa.
Otra forma del uso malicioso que hacen los ciberdelincuentes es el phishing, la distribución de correos maliciosos con el objetivo de recuperar información de los usuarios, y que es una de las primeras etapas que tiene como objetivo final secuestrar información.
Actualmente empresas como Microsoft a través de sus productos de servicios en la nube, adoptan estrategias para mitigar los riesgos relacionados a los ciberataques. Según Juan Caraballo, Manager de Cloud & Enterprise Business para Microsoft en México, la empresa debe adoptar un portafolio de soluciones en ciberseguridad que cubran diferentes aspectos, con un enfoque holístico.
“La identidad es uno de los puntos más atacados, la puerta de entrada de la mayoría de los ataques, entonces buscamos proteger el dispositivo para abrigar los datos y la información de los usuarios. Internamente también tenemos una red que a través de análisis de telemetría en tiempo real, y análisis de Inteligencia Artificial detectamos nuevas formas de ataques y amenazas, patrones para proteger la infraestructura”, detalló en entrevista.
Para Google Cloud la estrategia se enfoca en el fundamento de “confianza cero”, que se resume en “darle al usuario correcto el acceso correcto al dato correcto en el contexto correcto”. “Eso justamente parte de colocar diferentes tipos de protecciones en la nube donde la confianza en los usuarios y los recursos se establece y verifica continuamente”, asegura David Ruiz.
Sin embargo, estas estrategias se quedan cortas ante los ataques, pero esto no es precisamente una sorpresa. Según lo describe Ballarin, las certificaciones y las estrategias de mitigación de riesgo, cubren apenas una parte de los ciberataques. “La adopción de ciberseguridad va mejor, pero no quita que los ataques se sigan produciendo e incrementando. No tenemos que olvidar que las empresas van muy detrás de los ciberdelincuentes. Cuentan con más medios para atacar, que las empresas para defenderse. Ellos tienen su propio negocio. Es ilícito, pero es un negocio. Sus capacidades de atacar cada año se incrementan exponencialmente”, añade.
Si tomamos en cuenta que, con el surgimiento y la apropiación de tecnologías como la Inteligencia Artificial, los riesgos asociados con ataques no sólo continuarán, sino que seguirán en constante aumento. Según lo expuesto por Ballarin, la adopción de nuevas tecnologías como la IA fortalecen los ataques maliciosos al automatizarlos.
Pero, a pesar de que los esfuerzos de las empresas se queden cortos frente a los ataques, el experto proporciona diferentes estrategias y medidas de seguridad para las empresas que se enfrentan a este tipo de riesgos con la adopción de servicios en la nube.
Aunque es imposible abordar todos los ataques maliciosos, el experto recomienda a las empresas tener la garantía de que la empresa proveedora de servicios en la nube pone controles de seguridad. Por ejemplo, que todos los servicios operativos están actualizados a la última versión, que controlan los accesos que llegan, y que están monitoreando los ataques, pues las empresas los están recibiendo constantemente.
Además, se debe tener la garantía de que, en el momento en que haya un ataque grande o profundo, haya armas para enfrentarlos. También es importante que se busque la protección en los accesos, y que en caso de que sus actividades se vean interrumpidas, que tengan la capacidad de continuar su actividad, de ser resilientes ante los ataques.
Es importante abordar la complejidad de la seguridad en la nube a partir de una visión holística, estrategias proactivas y la adopción de tecnologías emergentes.