Saltear al contenido principal
Top 12 De Ciberamenazas En La Nube

Top 12 de Ciberamenazas en la Nube

Identificando las más grandes ciberamenazas dirigidas a la nube

 

Además de la explosión de beneficios y ahorro de recursos que proporciona el modelo de negocio de la computación en la nube a las organizaciones, también ha traído consigo grandes amenazas dirigidas que se aprovechan de una incompleta adopción, hablando en materia de ciberseguridad. Estos avances han creado nuevas vulnerabilidades de seguridad, al mismo tiempo que amplifican también las ya existentes, y todo el retorno de inversión (ROI) que brinda a las empresas este modelo, puede convertirse fácilmente en números rojos debido a la propensión latente a violaciones de seguridad de datos cuando no se toman en cuenta las políticas de seguridad, los procesos y las mejores prácticas a nivel de negocios.

A esto, la Cloud Security Alliance (CSA) ha creado estándares, guías de referencia que se han convertido rápidamente en el catálogo estándar de la industria de las mejores prácticas para asegurar la computación en la nube, las cuales ya hemos mencionado en notas anteriores. En uno de sus reportes: The Treacherous 12, la Alianza menciona un top de grandes ciberamenazas, que si bien hay muchos problemas de seguridad en la nube, este informe se centra en 12 específicamente relacionados con la naturaleza compartida y bajo demanda de la computación en la nube, los cuales enumeraremos a continuación.

 

Mapa: Ciberamenazas de Nube, Dominios de Seguridad, Análisis de Amenazas STRIDE

Para que la tabla 1 mostrada más adelante sea mejor comprendida, listaremos primeramente los 14 dominios de seguridad descritos en la guía de seguridad de la CSA, que nos ayudarán a tomarlos como referencia para contrarrestar cada una de las 12 ciberamenazas de nube, y categorizar estas últimas bajo el modelo de amenaza STRIDE.

La Guía de Seguridad para Áreas Críticas enfocadas en Computación en la Nube v4 incorpora avances en la nube, la seguridad, y las tecnologías de soporte; reflexiona sobre las prácticas de seguridad de la nube en el mundo real; integra los últimos proyectos de investigación de la Cloud Security Alliance; y ofrece orientación para tecnologías relacionadas. La siguiente lista muestra los 14 dominios de seguridad cubiertos:

Dominio 1. Conceptos y Arquitecturas de la Computación en la Nube

Dominio 2. Gobierno y Gestión del Riesgo Empresarial

Dominio 3. Cuestiones Legales, Contratos y Descubrimiento Electrónico

Dominio 4. Gestión del Cumplimiento y Auditoría

Dominio 5. Gobierno de la Información

Dominio 6. Plan de Gestión y Continuidad de Negocio

Dominio 7. Seguridad de la Infraestructura

Dominio 8. Virtualización y Contenedores

Dominio 9. Respuesta a Incidentes

Dominio 10. Seguridad de la Aplicación

Dominio 11. Seguridad de Datos y Cifrado

Dominio 12. Identidad, Titularidad y Gestión de Acceso

Dominio 13. Seguridad como Servicio

Dominio 14. Tecnologías Relacionadas

Adicionalmente, el grupo de expertos de la CSA analizó los problemas de seguridad utilizando el modelo de amenaza STRIDE, que fue desarrollado por Microsoft para evaluar las amenazas de seguridad de la información. Las 12 amenazas mostradas en la tabla 1 se evaluaron para determinar si se encuentra en alguna de las siguientes categorías:

(S) — Spoofing Identity

(T) — Tampering with Data

(R) — Repudiation

(I) — Information Disclosure

(D) — Denial of Service

(E) — Elevation of Privilege

 

*Tabla 1: Ciberamenazas de Nube, Dominios de Seguridad, Análisis de Amenazas STRIDE

*Nota: El documento de amenazas top hace referencia a los dominios de la guía de seguridad versión 3. La tabla 1 muestra su actualización a la guía de seguridad v4 más actual.

Consideraciones para minimizar los riesgos en entornos de nube

En 2013 este tipo de informes e investigaciones destacaron que los desarrolladores y departamentos de TI implementaron sus propios proyectos de software de autoservicio eludiendo los requisitos de seguridad de la organización. Hoy las cambiantes ramificaciones de las malas decisiones de nube a lo largo de los rangos gerenciales, en lugar de ser un problema de TI, son ya un problema de la mesa directiva, y es imperante estar efectivamente alineadas con las estrategias ejecutivas para maximizar el valor de los accionistas. Por ello, para cualquier iniciativa de nube que deseen abordar las organizaciones, sea públicaprivada o híbrida, es sumamente importante orientarse y trabajar bajo guías, marcos y estándares de referencia de la industria que ayuden a implementar adecuadamente las políticas de seguridad, los procesos y las mejores prácticas correspondientes para el consumo seguro de nube. Igualmente fundamental es tener acercamiento y consultoría de terceros de confianza, con la experiencia, las soluciones y los servicios de ciberseguridad convenientes para facilitar el desarrollo y despliegue de una estrategía de seguridad holística, que permita el máximo ROI que puede entregar la computación en la nube.

 

 

Por: Gabriel Medina, Arquitecto de Soluciones, Data Warden

 

CIBERSEGURIDAD APLICADA A TU NEGOCIO

Contáctanos ventas@datawarden.com.mx

 

Referencias:

https://www.isaca.org/, https://cloudsecurityalliance.org/, https://docs.microsoft.com/en-us/

https://datawarden.com/new/computacion-en-la-nube-entendiendo-la-responsabilidad-compartida/

https://datawarden.com/new/delimitando-la-responsabilidad-compartida-en-la-nube/

https://datawarden.com/new/soluciones/