Cuando setrata de seguridad en la nube, el menor privilegio tiene precedencia
Incluso con una vacuna que se está implementando lentamente, muchos países de todo el mundo están fomentando el trabajo desde el hogar hasta bien entrada la primavera de 2021. La adopción de la nube para ayudar a las personas a trabajar de forma remota pagará dividendos a las empresas que tuvieron la previsión de mover aplicaciones y sistemas comerciales esenciales; y al hablar con los clientes queda claro que no están mirando hacia atrás.
De hecho, nuestra investigación con ejecutivos de alto nivel aprincipios de año confirmó esto, aún más, el 83% dijo que la transformación digital en la que se embarcaron para crear procesos sin contacto, facilitar el trabajo desde el hogar y estabilizar los ingresos ahora es permanente. Los procesos digitales los ayudaron a avanzar en la estrategia de su empresa a años luz y, en algunos casos, simplemente a sobrevivir.
Pero un cambio tan grande como este no es sencillo, especialmente cuando se trata de asegurar la empresa. De los ejecutivos encuestados, el 40% presenció más ciber ataques durante el inicio de la pandemia, y todo indica que esta tendencia sigue prevaleciendo. Lamentablemente, aumentar el uso de la nube aumenta la superficie de ataque y los ejecutivos han tenido que reconocer que la digitalización, aunque es una bendición, también va de la mano con ser un objetivo.
La necesidad de velocidad
Mucho de esto tiene que ver con la velocidad de implementación de las aplicaciones. Se hizo rápidamente y generó un dilema: obtener la seguridad correcta, pero retrasar el lanzamiento y ver ganar a sus competidores, o esperar que la seguridad sea “lo suficientemente buena”.
Desafortunadamente, muchos aprendieron que “suficientemente bueno” no es muy bueno, y algunos admitieron que su proveedor de nube también era su red de seguridad.
Sospecho que es por eso que ahora estamos viendo un cambio de opinión
Tomemos como ejemplo el trabajo remoto. Al principio, e incluso antes de la pandemia, vimos que muchas organizaciones adaptaban y aplicaban diferentes estándares a su entorno de nube pública, incluida la aplicación de políticas de contraseñas, la rotación de claves de API y otras como la aplicación de autenticación multifactor. Esto creó una escala de seguridad entre las empresas: algunas estaban en el extremo excepcionalmente bueno de la escala, pero muchas estaban lejos de eso.
Pero dada la cantidad de ataques que las empresas han experimentado, escuchado o que han aparecido en los titulares en los últimos seis meses, hemos visto algunos movimientos positivos para tratar de controlar las debilidades que estas políticas mixtas tienen en materia deseguridad.
Por ejemplo, algunas empresas están estandarizando los permisos de los usuarios. Por lo tanto, se está convirtiendo en una práctica común tener un marco de permisos que se relacione con la función que realiza un equipo en la empresa. Esto incluye establecer un nivel apropiado de permisos para cada grupo o usuario. Por ejemplo, usted puede tener un conjunto de permisos que sean apropiados para un ingeniero de DevOps donde hay más riesgo, a diferencia de los que existen para un representante de atención al cliente.
El privilegio mínimo tiene precedencia
Por lo tanto, existe una aceptación cada vez mayor de que vale la pena aplicar un enfoque de “privilegio mínimo”. La práctica común que surge es que el objetivo final es otorgar a los usuarios el conjunto mínimo de permisos necesarios para permitirle realizar su trabajo diario.
Si bien la estandarización de los permisos es el primer paso, ciertamente no es suficiente. Las empresas deben poder monitorear de cerca los permisos y cómo los utilizan los usuarios, las políticas y los roles.
Solo cuando tenga esta visión depermisos, podrá exponer la brecha entre los permisos configurados y los que se están utilizando. Y solo entonces puede lograr una verdadera práctica de privilegios mínimos y reducir la superficie de ataque.
¿Quién tiene más para ganar?
Los sectores tradicionales como la banca y el comercio minorista están maduros para este enfoque y tiende a ser nombrados cuando se discute esta estrategia. Sin embargo, industrias como las aerolíneas, donde ahora existe una intensa presión para reducir los gastos de capital, como los relacionados con los centros de datos locales, y pasar a modelos más amigables con gastos operativos, como las nubes públicas donde se paga sobre la marcha, es probable que estén al frente de la cola.
Pero lo que espero es que en la medida de que más empresas se comprometan con la nube para reducir los gastos generales, y mejorar la productividad y la eficiencia, aprenderán de los errores de los demás y revisarán cómo se gestionala postura de seguridad en la nube. Si no lo hacen, solo verán que la estrategia para realmente transformarse también fallara, y ninguna junta directiva necesita eso en su hoja de puntuación.
Traducido por Junior Gamez