La última década ha sido testigo de un ascenso meteórico en la adopción de la nube. En aquel momento, la nube era una palabra de moda que se trataba con mucho escepticismo, ya que muchos la consideraban simplemente una innovación en el almacenamiento y el acceso a los datos.
Pero no tardó mucho en madurar y convertirse en un marco informático, con una espiral de diferentes modelos y servicios informáticos como el software como servicio (SaaS), la plataforma como servicio (PaaP) y la infraestructura como servicio (IaaS).
Mientras que las empresas han sido el instigador ruidoso y constante del gasto en la nube, las PYMES están empezando a mirar hacia el cielo, y Amazon predice que para 2025, el 30% de las PYMES trasladarán la mitad de sus cargas de trabajo clave a la nube para impulsar la agilidad empresarial y la resistencia futura.
Aunque la computación en la nube promete escalabilidad y rentabilidad, a menudo oculta los escollos de seguridad que acechan bajo la superficie.
Un reciente informe sobre seguridad en la nube elaborado por Orca Security revela que el 81% de las organizaciones tienen vulnerabilidades en activos en la nube de cara al público con puertos abiertos. Otro hallazgo de seguridad de BlackFrog muestra que el 61% de los ataques del a?o pasado iban dirigidos a pymes.
En este artículo, exploraremos el estado de la seguridad en la nube entre las pymes, identificaremos las vulnerabilidades comunes en la nube y destacaremos las mejores prácticas de seguridad en la nube.
Puntos clave
- Las PYMES están adoptando rápidamente la computación en nube, pero a menudo pasan por alto los riesgos de seguridad en la nube, como los recursos mal configurados, las interfaces/API inseguras y el secuestro de cuentas.
- La mala configuración de los recursos de la nube es un riesgo importante para las PYMES, que permite a los actores de amenazas explotar las vulnerabilidades del entorno de la nube.
- Entre las medidas esenciales de seguridad en la nube para las PYMES están conocer su entorno en la nube, implantar la autenticación multifactor (MFA), seguir prácticas seguras desde el principio hasta la implantación, aprovechar las funciones de seguridad del proveedor de la nube, exigir mejores normas de seguridad a los proveedores e implantar un cifrado robusto.
- A pesar de las limitaciones presupuestarias, las PYMES pueden aprovechar las medidas de seguridad rentables que ofrecen los proveedores de la nube, como AWS, Azure y GCP, para mejorar su postura de seguridad en la nube.
- Invertir en la estrategia de ciberseguridad adecuada es crucial para que las PYMES protejan sus inversiones en la nube y mitiguen el importante impacto financiero de las violaciones de datos.
El panorama de la seguridad en la nube para PYMES
Entre las empresas con menos de 500 empleados, el coste medio de una violación de datos, según IMB, es de aproximadamente 3,31 millones de dólares por incidente. Con un mayor número de PYMES que optan por modelos en la nube, los ciberdelincuentes han redirigido sus radares hacia las PYMES, según ha revelado una encuesta de Sophos. La encuesta indicó que el 56% de los encuestados experimentó un aumento del volumen de ataques, el 59% de la complejidad y el 53% del impacto. La encuesta también se?aló los servicios en la nube mal configurados como los riesgos de seguridad en la nube más importantes para las peque?as empresas.
Anuncios
Las PYMES se enfrentan a una amenaza significativa de recursos en la nube mal configurados, que crean involuntariamente vulnerabilidades que los actores maliciosos pueden explotar en el entorno de la nube. Los estudios de CheckPoint muestran que la mala configuración de los recursos en la nube ha aumentado la exposición al riesgo de las empresas.
Además de los errores de configuración, Chris Doman, Cofundador y Director Técnico de Cado Security, declaró a Techopedia que los actores de amenazas se han vuelto expertos en explotar otros problemas, como interfaces y API inseguras y credenciales de Gestión de Identidad y Acceso (IAM) mal configuradas.
Doman dijo:
“Las interfaces y API inseguras, como el uso de credenciales predeterminadas o API de Docker abiertas, el secuestro de cuentas, por ejemplo mediante ataques de phishing para obtener credenciales de la nube, y las credenciales de IAM mal configuradas son infracciones habituales en la nube”.
Aunque los proveedores de la nube han inyectado algunas mejoras para prevenir los problemas de configuración errónea en la nube, Doman cree que los demás problemas no pueden ser solucionados por los proveedores de la nube, lo que los convierte en un serio desafío para las PYMES.
“La buena noticia es que los proveedores de la nube han mejorado la configuración por defecto, lo que hace que las configuraciones erróneas sean mucho más difíciles. La mala noticia es que las otras cuestiones siguen siendo un problema, y los proveedores de la nube no las solucionarán por ti.”
Seguridad en la nube para las PYMES: 5 pasos esenciales en 2024
Aunque las PYMES se enfrentan a limitaciones presupuestarias y de recursos que dificultan la seguridad de sus entornos en la nube, sigue habiendo medidas que pueden ayudar a reforzar las defensas.
5. Comprende tu entorno en la nube
La elección del proveedor de servicios en la nube no debe basarse únicamente en el coste y la popularidad. Las PYMES deben comprometerse a comprender el entorno en la nube de su proveedor preferido y asegurarse de que sus servicios principales se alinean con la carga de trabajo que pretenden migrar a la nube.
También deben comprender que la seguridad en la nube es una responsabilidad compartida entre el proveedor de servicios y sus clientes.
Shawn Loveland, Director de Operaciones de Resecurity, está de acuerdo y afirma que las PYMES deben “comprender primero su entorno de nube y reconocer que la seguridad en la nube es una responsabilidad compartida entre ellas y sus proveedores de servicios.”
4. Priorizar la implantación de la AMF
Doman sugirió que las PYMES deberían implantar la autenticación multifactor MFA en todas sus cuentas, así como optar por roles IAM en lugar de usuarios IAM para mitigar el riesgo de configuraciones erróneas de las credenciales IAM. También recomendó algunas herramientas para reducir automáticamente los permisos IAM.
Dijo Doman:
“Imponer la MFA en todas las cuentas ayuda a prevenir los ataques de phishing, y utilizar roles IAM en lugar de usuarios IAM ayuda a prevenir las credenciales IAM mal configuradas. Por ejemplo, herramientas como AWS access advisor pueden reducir los permisos IAM de forma semiautomática.
“Asegurar las interfaces y las API es un poco más complicado y puede hacerse mediante pasarelas de API y WAF, utilizando las herramientas de seguridad de los proveedores de la nube para supervisar y detectar comportamientos inusuales y escanear tu infraestructura en busca de vulnerabilidades.”
3. Empezar seguro y permanecer seguro
El liderazgo en seguridad dentro de las PYMES debe centrarse en asegurarse de que la integración continua/despliegue continuo(CI/CD) no se convierta en Vulnerabilidad Continua, dijo Fawaz Naser, director general de Softlist.
“El principio básico es ‘Empezar seguro y permanecer seguro’ durante todo el viaje de migración a la nube. Empezar seguro significa asegurarse de que todo está correctamente reforzado antes del lanzamiento, y permanecer seguro implica seguir buenas prácticas para gestionar los cambios y las configuraciones.”
2. Aprovechar las funciones de seguridad del proveedor de la nube
Las PYMES también pueden aprovechar las funciones de seguridad del proveedor de la nube para reforzar la seguridad en la nube. Los principales proveedores de servicios en la nube, como Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform (GCP), ofrecen una amplia gama de funciones y herramientas de seguridad integradas, dise?adas para ayudar a las organizaciones a reforzar su seguridad en la nube.
Así, en lugar de pagar por una herramienta de seguridad de terceros, las PYMES pueden adoptar las funciones de seguridad pertinentes que ofrece su proveedor de servicios en la nube. Este enfoque puede ayudar a las PYMES a mejorar sus capacidades de seguridad sin necesidad de grandes conocimientos internos ni inversiones adicionales.
Por ejemplo, AWS ofrece servicios como AWS Identity and Access Management (IAM) para un control de acceso granular, AWS CloudTrail para auditoría y registro, y AWS Web Application Firewall (WAF) para proteger las aplicaciones web de los exploits web habituales.
Del mismo modo, Azure proporciona Azure Security Center para la gestión unificada de la seguridad y la protección avanzada contra amenazas, mientras que GCP ofrece herramientas como Cloud Identity and Access Management (IAM) y Cloud Security Command Center.
1. Presiona para mejorar los estándares
Las PYMES tienen que presionar a sus proveedores para que mejoren los estándares en términos de encriptación, mejores prácticas y marcos de trabajo, dijo Larry Zorio, Director de Seguridad de la Información de Mark43, a Techopedia por correo electrónico.
“Los usuarios tienen que exigir mejores normas, y punto. Si puedes permitirte el lujo de trabajar para una empresa, presiona a tus proveedores para que apliquen un cifrado fuerte y otras buenas prácticas de seguridad. Asegúrate de que siguen un marco. Pide pruebas como una auditoría SOC2, una certificación ISO o una autorización FedRAMP”.
Además, las PYMES deben aplicar prácticas de cifrado sólidas para los datos en reposo y en tránsito. Los proveedores de servicios en la nube ofrecen servicios y herramientas de cifrado, como AWS Key Management Service (KMS), Azure Key Vault y Google Cloud Key Management Service (Cloud KMS). Estos servicios pueden permitir a las PYMES generar, gestionar y almacenar claves de cifrado, garantizando que sólo las partes autorizadas puedan acceder a los datos sensibles y descifrarlos.
Lo esencial
Es comprensible que la nube siga siendo un camino difícil de recorrer para muchas PYMES. Pero como la adopción de la nube sigue disparándose y los ciberatacantes siguen mordiendo el anzuelo, garantizar unas medidas de seguridad sólidas no es una opción, sino una necesidad.
Aunque unos recursos financieros y humanos limitados podrían ser un obstáculo para la aplicación eficaz de medidas de seguridad en la nube para las PYMES, algunas de las estrategias descritas anteriormente son rentables y pueden aplicarse a nivel de las PYMES.
En otras palabras, es crucial recordar que las inversiones en la estrategia de ciberseguridad adecuada son una inversión para proteger las inversiones empresariales.