Una encuesta a 300 profesionales de TI realizada por el proveedor de seguridad de infraestructura en la nube, Fugue, reveló que la mayoría de las empresas son vulnerables a problemas de seguridad causados por una configuración de la nube errónea, incluidas las violaciones de datos y los eventos de inactividad del sistema.
Por supuesto, este informe (como cualquier informe patrocinado por un proveedor) es de autoservicio. Pero es un aviso porque refleja una cuestión que se ve en el mundo real:
- Nueve de cada diez encuestados tienen preocupaciones reales acerca de los riesgos de seguridad debidos a una mala configuración. Menos de un tercio los monitorea continuamente.
- Los equipos informan una frecuencia de 50 o más configuraciones erróneas cada día, sin embargo, la mitad de los equipos solo revisan las alertas y resuelven los problemas en un período de tiempo diario o mayor, lo que lleva a períodos de vulnerabilidad de la infraestructura peligrosamente largos.
Una mala configuración significa que las instancias del servidor de nube pública, como el almacenamiento y el procesamiento, están configuradas de tal manera que son vulnerables a las infracciones. Por ejemplo, la Agencia de Seguridad Nacional estadounidense recientemente tuvo un momento embarazoso cuando alguien pudo acceder a documentos seguros desde su instancia de Amazon S3 con solo un navegador. Fue un ejemplo clásico de configuración errónea.
La realidad es que la configuración de la nube pública es compleja, requiere capacitación especializada y, si no se realiza correctamente, significa que cualquier sistema de seguridad que coloque sobre la nube no podrá evitar que los piratas informáticos roben información.
Los especialistas aconsejan tener en cuenta tres aspectos principalmente:
- Entiende que las configuraciones son parte de la seguridad. A menudo no se considera.
- Utiliza una herramienta de seguridad de terceros que pueda ver las configuraciones constantemente. De esa manera, no dependerás de lo que la nube nativa esté diciendo; en su lugar, proporciona una verificación independiente constante y alertas cuando las cosas están mal configuradas.
- Contrata a evaluadores de seguridad externos para asegurarse de que todo esté configurado correctamente. A menudo, este tipo de auditorías encuentran problemas que un cliente no pudo ver.
Las complejidades de la computación en la nube y la posibilidad de error humano, son patentes. Se recomienda no escatimar en la planificación de la seguridad antes de la implementación ni en la validación de la seguridad después de la implementación.