Parece que todos los días hay un nuevo incidente de exposición de datos de clientes. Números de tarjetas de crédito y cuentas bancarias; registros médicos; información de identificación personal, como la dirección, el número de teléfono o el SSN: casi todos los aspectos de la interacción social tienen una contrapartida informativa, y el acceso social que esta información proporciona a terceros les da a muchas personas la sensación de que su privacidad ha sido gravemente violada cuando está expuesto.
Hay varias vías por las que se produce esta exposición, pero los nombres utilizados para describirlos a menudo se intercambian arbitrariamente, lo que enturbia las aguas de un problema grande pero matizado. Infracciones, piratería informática, filtraciones, ataques: estos son solo algunos de los términos utilizados para describir los incidentes de exposición de datos.
Una fuga no requiere un actor externo, sino que es causada por alguna acción o inacción de la parte propietaria de los datos.
Hay algo así como un espectro aquí. Por ejemplo, un servidor de base de datos accesible por Internet con una contraseña administrativa predeterminada es casi una puerta abierta, pero requiere un intento informado para ser utilizado. La fuga se destaca como aquella que no es iniciada por un tercero. Pero hay un tipo específico de fuga que representa muchas de las exposiciones de datos más grandes y peligrosas hasta la fecha. Las llamamos «fugas en la nube«, porque ocurren cuando el almacenamiento en la nube no se divide adecuadamente de Internet en general.
Indice
¿Qué es una fuga en la nube?
Una fuga en la nube ocurre cuando los datos comerciales confidenciales almacenados en una instancia de nube privada se exponen accidentalmente a Internet. La nube es parte de Internet. La diferencia es que “la nube” ofrece bolsillos de espacio privatizado que se pueden utilizar para llevar a cabo operaciones de TI a escala empresarial. Los conjuntos de datos empresariales, a menudo manejados por empresas de análisis de información de terceros, a menudo se almacenan sin cifrar en la nube, con la expectativa de que sus datos vivan en uno de estos bolsillos privados.
Pero las opciones de almacenamiento en la nube como el S3 de Amazon permiten a los usuarios abrir su almacenamiento a Internet en general. Cabe destacar aquí que los cubos de S3 son privados de forma predeterminada. Esto significa que cada fuga en la nube que involucra una instancia de almacenamiento de Amazon S3 ha visto alterados sus permisos en algún momento por un administrador que maneja los datos. Cuando se permiten estos permisos públicos anónimos, el límite entre «la nube» e Internet se disuelve. Estos datos luego se vuelven accesibles para cualquier persona, al igual que su sitio web favorito.
Pero ya sea un depósito de Amazon S3, un recurso compartido de archivos de Azure, un repositorio de GitHub mal configurado o un servidor vulnerable configurado en la nube, el hecho de no garantizar la privacidad de la instancia de la nube pone en riesgo los datos. Una vez que se comete el error, se vuelve muy difícil para las organizaciones probar que no se accedió a los datos en algún momento. La mayoría de la gente no sabría por dónde empezar a buscar, y las personas con suficiente conocimiento técnico podrían navegar casualmente por curiosidad, pero en realidad dos grupos principales de personas están buscando fugas en la nube: los investigadores de seguridad y las personas que buscan explotar la información encontrada para aprovechar, ganancia personal o poder.
Ejemplos
Aquí tienes algunos ejemplos de fugas en la nube.
Nice Systems, socio de Verizon, expone 6 millones de registros de clientes a Internet
Esta información, filtrada de un cubo de Amazon S3 expuesto, incluía detalles del cliente como el nombre, la dirección y el número de teléfono, así como algunos PIN de cuenta, que se utilizan para verificar la identidad con Verizon. Además de las preocupaciones obvias sobre la privacidad, los datos expuestos podrían haberse utilizado de forma malintencionada para suplantar a los clientes e incluso para eludir la autenticación de dos factores.
RNC Vendor Data Root Analytics expone 198 millones de registros de votantes
Una de las filtraciones más grandes de todos los tiempos se descubrió cuando se encontró un sistema en la nube expuesto, que contenía datos de votantes recopilados y modelados de Data Root Analytics, una empresa contratada por el RNC para la estrategia política basada en datos. Más de 198 millones de personas únicas estaban representadas en el conjunto de datos, con detalles personales, información de los votantes y atributos modelados que incluyen raza y religión probables.
El contratista del gobierno Booz Allen Hamilton deja expuestos los datos geoespaciales y las credenciales
Otra instancia de almacenamiento en la nube expuesta reveló datos del contratista del gobierno Booz Allen Hamilton. Además de la exposición de datos, el cubo también contenía claves de cifrado para un ingeniero de BAH y «credenciales que otorgan acceso administrativo al menos al sistema operativo de un centro de datos». En este caso, no solo se comprometió la información, sino que también podrían haberlo hecho otros sistemas, lo que permitió a los actores maliciosos saltar de un servidor en la nube expuesto públicamente a un servidor autorizado en la red.
Un problema operativo
Las fugas en la nube son un riesgo único para las empresas. La sencillez del error que los provoca contrasta con la magnitud de las consecuencias que pueden derivarse de él. Aprovechar la nube, o contratar proveedores que lo hagan, ofrece mucho valor funcional. Pero sin tener en cuenta los posibles problemas nativos de la tecnología en la nube, esa funcionalidad se verá socavada por la incapacidad de confiar en ella, lo que a su vez conducirá a la incapacidad de confiar en las empresas que la emplean. Las fugas en la nube son un problema operativo y deben abordarse dentro de los procesos de TI que rigen el manejo de datos en la nube para mitigarlas de manera efectiva.
Hacer copias
Para comprender cómo ocurren las fugas en la nube y por qué son tan comunes, debemos dar un paso atrás y primero observar la forma en que la información filtrada se genera, manipula y utiliza por primera vez. Casi se toma como una conclusión inevitable que existen estos enormes conjuntos de datos confidenciales y que las empresas están haciendo algo con ellos, pero cuando examinas la práctica del manejo de la información, queda claro que organizar un proceso resiliente se vuelve bastante difícil a escala; las brechas operativas y los errores de proceso conducen a activos vulnerables, que a su vez conducen a fugas en la nube.
Una de las ventajas de los datos digitales es que se pueden reproducir de forma económica y sin degradación. Las organizaciones suelen tener varias copias de los datos de producción además de la que se utiliza en sus procesos comerciales. Copias de seguridad, almacenamiento, recuperación ante desastres, entornos de desarrollo y prueba, análisis internos, análisis subcontratados, una computadora portátil en la que alguien copió los datos para poder trabajar desde casa: la lista continúa.
El punto es que los datos son a la vez muchos y uno, como la misma palabra datos se confunde entre plural y singular. Pueden existir muchas copias de un conjunto de datos, pero solo existe una infracción posible, en la que se expone el conjunto de datos. Cuantas más copias de un conjunto de datos existan, mayor será el riesgo de que se produzca la infracción.
Economía de la información
Piensa en los datos como si pasaran por una cadena de custodia. Cada copia de los datos vive en un servidor o arreglo de discos, pasa a través de dispositivos de red y cortafuegos, y ocasionalmente termina en una estación de trabajo o computadora portátil. A menudo termina en la nube, en una instancia de almacenamiento alojada en Internet y, como cualquiera de los otros eslabones de la cadena, corre un riesgo potencial de exposición si no se configura correctamente.
Estas prácticas ocurren en casi todas las industrias, aumentando con la escala. No se trata solo de análisis de campañas políticas, telecomunicaciones o contratistas de defensa, es todo el mundo. La digitalización es un cambio fundamental en el concepto abstracto de negocio en sí mismo, y sus repercusiones afectan a empresas de todo tipo. Como tal, ha surgido toda una industria dedicada únicamente al procesamiento de datos para respaldar las necesidades de información de otras empresas.
La mayoría de las empresas no se ocupan de los datos directamente. Se ocupan de automóviles, finanzas, atención médica o dispositivos. Entonces, como muchos requisitos comerciales terciarios, subcontratan el procesamiento de datos a un tercero que aparentemente tiene mucha más capacidad para administrarlo.
Pero la facilidad de la replicación de datos y la gran cantidad de valor que las empresas pueden extraer de los datos han acelerado la digitalización, aumentado los informes de comportamiento y otros tipos de métricas, y llevado la infraestructura a velocidades más rápidas y mayores capacidades siempre que sea posible. No se prestó tanta atención al riesgo comercial que plantean estos almacenes de datos críticos y centralizados, que se copian y distribuyen fácilmente.
El valor de la nube
En cierto modo, existe un paralelismo entre los proveedores de análisis y la computación en la nube: uno subcontrata el trabajo (y el riesgo) de la información, mientras que el otro lo hace por la tecnología. Las ventajas de la nube son bien conocidas: la infraestructura general es superior a un pequeño centro de datos; se pueden crear grandes cantidades de servidores de forma rápida y programática, lo que permite una mejor automatización de procesos; El poder de la computación en la nube es elástico y puede ajustarse de cerca a las necesidades y modificarse sin muchas molestias.
Pero a medida que los procesos se aceleran y el alcance de la gestión aumenta, se abren brechas operativas en las que pequeñas pero críticas configuraciones incorrectas de la nube dejan los datos de producción expuestos al público.
Las fugas en la nube son posibles en cualquier entorno de nube (Amazon Web Services, Microsoft Azure, IBM Bluemix) y cualquier infraestructura alojada en Internet donde la información empresarial confidencial se pueda hacer pública por accidente, descuido o error. Este punto es fundamental: casi todos los dispositivos en la nube, incluidos los enumerados anteriormente, son privados de forma predeterminada. Esto significa que, en algún momento, los permisos predeterminados se modificaron para permitir el acceso público. Las fugas en la nube no son el resultado de una vulnerabilidad de software específica de la plataforma , sino de procesos que carecen de los controles necesarios para garantizar un resultado seguro.
El proceso determina la seguridad
La forma en que se maneja la información difiere de un lugar a otro y, a menudo, de una persona a otra. Existen pautas generales, por ejemplo, si estás en una industria regulada y debes seguir estándares como PCI DSS, HIPAA o FERPA. Pero el trabajo diario que finalmente determina si se producirá una fuga en la nube varía mucho entre organizaciones y dentro de ellas.
Considera este escenario: un administrador de sistemas está administrando el almacenamiento para una empresa de análisis que utiliza el servicio en la nube S3 de Amazon. El administrador del sistema necesita mover algunos archivos, por lo que los datos de producción se copian temporalmente en una instancia S3 no utilizada mientras se modifican las otras instancias. Una vez que el administrador del sistema finalmente ha reparado todos los cubos, los datos de producción están en su lugar y todo está listo para funcionar. Excepto que el administrador del sistema olvidó eliminar las copias de los datos del depósito S3 temporal, y ese depósito S3 está configurado con acceso público completo.
Esto podría parecer un error humano. Alguien simplemente se olvidó de hacer algo. A todos nos pasa, ¿no? No exactamente. El verdadero problema aquí no es que una persona haya cometido un error, eso es una eventualidad garantizada, el problema es que no se hizo nada estructuralmente para evitar el error, o al menos detectarlo de inmediato para que pudiera solucionarse.
Las fugas en la nube no son el resultado de piratas informáticos y no son culpa de los empleados de TI individuales. Son el resultado de procesos comerciales frágiles incapaces de manejar la complejidad y la escala de las operaciones en la nube y que dependen de la suerte para compensar la diferencia. La seguridad a través de la oscuridad está muerta.
Por ejemplo, la idea de que una instancia en la nube es segura porque nadie más conoce la URL es falsa y producto de un pensamiento erróneo. Cuando la información es tan valiosa como lo es hoy y las operaciones empresariales globales son lo suficientemente frágiles como para simplemente abrir los datos a navegadores de Internet anónimos, se desarrollarán y se han desarrollado técnicas para explotar la situación. Esta es la razón por la cual la resiliencia debe integrarse en el trabajo de procedimiento que crea, administra y mantiene la tecnología de la información.
¿Qué se filtra?
En una fuga en la nube, esta es la información que se filtra:
Información del cliente
El tipo más común de información expuesta en una fuga en la nube son los datos de los clientes. Estos datos difieren de una compañía a otra, pero generalmente hay algunos factores comunes involucrados:
- Información de identidad: nombre, dirección, número de teléfono, dirección de correo electrónico, nombre de usuario, contraseña.
- Información de actividad: historial de pedidos y pagos, hábitos de navegación, detalles de uso.
- Datos de la tarjeta de crédito: números de tarjeta, códigos CVV, fechas de vencimiento, códigos postales de facturación.
Además, cualquier información que sea específica de la empresa también suele estar expuesta. Esto puede ser información financiera para bancos y grupos de inversión, registros médicos para hospitales y aseguradoras, y para entidades gubernamentales, la información del cliente puede incluir cualquier cantidad de documentos y formularios confidenciales.
Información de la empresa
Pero la información del cliente no es el final de la historia. Hay varios otros tipos de datos que presentan un riesgo significativo cuando se exponen en una fuga en la nube. La información corporativa también puede filtrarse. Esto puede incluir:
- Comunicaciones internas: memorandos, correos electrónicos y documentos que detallan las operaciones de la empresa.
- Métricas: estadísticas de rendimiento, proyecciones y otros datos recopilados sobre la empresa.
- Estrategia: detalles de mensajes, hojas de ruta y otra información comercial crítica.
La exposición de este tipo de información puede obstaculizar los proyectos de la empresa, dar a los competidores una idea de las operaciones comerciales y revelar la cultura interna y las personalidades. Cuanto más grande es la empresa, más interés hay en este tipo de datos.
Secretos comerciales
Pero el tipo más peligroso de datos de la empresa que se exponen en una fuga en la nube son los secretos comerciales. Esta es información crucial para el negocio en sí mismo, y su secreto es lo que le da al negocio la capacidad de competir y, a menudo, es el objetivo del espionaje industrial. Los secretos comerciales pueden incluir:
- Planes, fórmulas, diseños: información sobre productos y servicios existentes o futuros.
- Código y software: tecnología patentada que la empresa vende o crea para uso interno.
- Métodos comerciales: Estrategias de mercado y contactos.
Obviamente, estos datos solo son ventajosos cuando se mantienen en secreto de los competidores. Una exposición de este tipo puede ser desastrosa para una empresa, deshaciendo años de investigación y trabajo, devaluando los productos y servicios que ofrece la empresa.
Analítica
Finalmente, el análisis se basa en grandes conjuntos de datos compuestos por múltiples fuentes de información con el fin de revelar tendencias, patrones y trayectorias generales. A pesar de lo poderoso que puede ser el análisis para informar las decisiones comerciales, los datos necesarios para realizar dichos análisis también son un vector de riesgo cuando están expuestos. Algunos datos de este tipo incluyen:
- Datos psicográficos: preferencias, atributos de personalidad, datos demográficos, mensajes.
- De comportamiento: información detallada sobre cómo alguien usa un sitio web, por ejemplo.
- Datos modelados: atributos pronosticados basados en otra información recopilada.
Esta información es extremadamente poderosa en su capacidad para comprender a las personas como un conjunto de puntos de datos y luego predecir con un alto grado de precisión otros puntos de datos en relación. Por más abstracto que pueda parecer, considera que este es el tipo de información recopilada sobre los votantes que ayuda a las campañas políticas a persuadir de manera más efectiva a escala.
Todo
El negocio está digitalizado. Cualquier cosa es algún tipo de información, y esa información se puede filtrar en la nube sin los controles de proceso adecuados. Los ejemplos anteriores enumeran algunos tipos de información delicada y peligrosa, pero en realidad todo está en juego. Cualquier aspecto de los negocios de la empresa (y de la vida personal, para el caso) tiene su conjunto de información. Cuando decimos que las fugas en la nube son un problema comercial, queremos decir que la información y la tecnología son tan críticas para la empresa moderna que sus riesgos se han vuelto existenciales.
Cómo se han explotado las fugas en la nube
Al examinar los tipos de información anteriores, algunas amenazas obvias probablemente se presenten de inmediato. Estos vectores han existido durante algún tiempo, y ya sea que la información se filtre a través de la nube o se obtenga a través de un correo electrónico de pirateo o phishing, muchas de las consecuencias son familiares. Echaremos un breve vistazo a cómo se explota comúnmente este tipo de información, luego pasaremos a usos más sofisticados y lo que depara el futuro.
Fraude de tarjeta de credito
El primer y más obvio ejemplo de un delito que explota los datos filtrados es el fraude con tarjetas de crédito. Al hacer un pedido en línea, las personas pasan los detalles de su tarjeta de crédito a través de Internet y de los sistemas de cualquier negocio que estén patrocinando. Se ha prestado mucha atención al proceso de transacción y a la protección de la información, pero se ha prestado mucha menos atención a lo que sucede después de que se almacenan los datos.
Los datos se copian repetidamente para diversos fines, y los datos de las tarjetas de crédito no son una excepción. Los skimmers pueden obtener cien tarjetas de crédito al día, pero una base de datos involucrada con una fuga en la nube puede contener millones y no requiere el esfuerzo de instalar y configurar un skimmer de malware.
Ventas en el mercado negro
A menudo, quienes obtienen los datos y quienes los usan son partes separadas. Ha crecido una economía en torno al comercio de información del mercado negro, donde los datos que han sido violados se ofrecen a la venta al mejor postor en la red oscura, utilizando criptomonedas difíciles de rastrear como Bitcoin.
En este caso, los recuperadores de información se especializan en obtener los datos, desde una instancia de nube no segura, desde una base de datos vulnerable, a través de la ingeniería social, mientras que los compradores de información se especializan en usar esa información, esquemas de tarjetas de crédito, SSN y fraude de identidad, operaciones de spam y phishing.
Extorsión/Humillación
A veces, la información expuesta se mantiene sobre la cabeza de la empresa, ya sea por rescate o simplemente para humillar a esa empresa ante el público. Los ataques de ransomware como WannaCry bloquean los activos y los datos, pero las fugas en la nube revelan esos datos a cualquiera que esté buscando.
Los activistas que buscan socavar una empresa con la que no están de acuerdo pueden encontrar ventajoso compartir su estructura salarial, comunicaciones internas o planes comerciales. Cualesquiera que sean los detalles, el hecho es que las fugas en la nube dan a los posibles adversarios una increíble cantidad de influencia.
Ventaja competitiva
Aparte de los actores criminales, los competidores podrían aprovechar fácilmente la información expuesta en una fuga en la nube. Todo, desde listas de clientes hasta secretos comerciales, brinda a otras empresas acceso a recursos y estrategias. La información competitiva es algo en lo que todas las empresas trabajan como parte de sus operaciones de marketing, y la información expuesta en las filtraciones en la nube hace que esa información sea mucho más nítida.
Cómo se podrían explotar las fugas en la nube
Ingeniería social
Anteriormente mencionamos los ataques de phishing. El ataque de phishing más efectivo se conoce como spearphishing, porque el correo electrónico falso se enfoca con láser en su destinatario, utilizando información conocida para hacerse pasar mejor por una figura de autoridad o un ejecutivo. La eficacia de los ataques de phishing depende de cuán convincentes sean para la persona que los lee. Muchos, llenos de errores tipográficos y que usan formatos extraños o HTML, son bastante fáciles de detectar, pero los mejores parecen reales a primera vista.
La información expuesta en las filtraciones en la nube, especialmente los datos psicográficos y otros análisis de comportamiento, son exactamente el tipo de información para agudizar la ingeniería social, lo que le da al atacante la capacidad de usar información sobre un objetivo que de otro modo no debería conocer.
Orientación
La información de identificación personal se puede usar para más que fraudes con tarjetas de crédito. Obtener la información personal de alguien y publicarla en contra de su voluntad es una práctica conocida como «doxxing» y se realiza por varias razones, pero siempre deja a la persona expuesta a la depredación de una cantidad desconocida de personas anónimas. En casos de extremismo político, vendetta, acoso o acecho, la exposición de PII puede provocar daños reales contra las personas.
Lo que hace que las fugas en la nube sean especialmente peligrosas es que no requieren ninguna habilidad técnica especial para explotarlas, simplemente ve y obtén los datos. Esto amplía significativamente el grupo de posibles descubridores.
Vigilancia e Influencia
Cuando se trata de datos psicográficos, los usos potenciales son ilimitados. El propósito mismo de obtener datos psicográficos es predecir mejor cómo reaccionará la gente y moldear sus reacciones. Las campañas políticas lo utilizan para ganar votos. Las empresas lo utilizan para ganar clientes. Solo dados los casos de uso normales para este tipo de análisis, es fácil ver cómo un tercero motivado, otro estado o empresa privada, podría obtener estos datos a través de una fuga en la nube y usar la información para sus fines.
Cuando un contratista de la RNC filtró los datos de de casi todos los votantes estadounidenses registrados, no fue solo una violación de la privacidad, sino un nuevo vector de posible manipulación.
Ruptura
Finalmente, las fugas en la nube arrojan una llave en las operaciones comerciales al exponer información no examinada directamente al público. Como hemos visto, la información expuesta en una fuga en la nube puede tener consecuencias drásticas para las empresas e incluso los gobiernos. Los ataques disruptivos no son nuevos; un ataque de denegación de servicio busca como objetivo simplemente evitar que se utilice un recurso. La interrupción de la información es una nueva clase de este tipo.
Cuando la información de la empresa está expuesta en la nube, presenta una oportunidad para que esa empresa se descarrile. Los motivos detrás de estos ataques pueden ser cualquier cosa, desde activismo hasta ganancias, pero al igual que con un escenario de extorsión, exponer estos datos al mundo le da a terceros desconocidos una influencia drástica sobre los intereses comerciales.
Preguntar por qué importan las fugas en la nube es muy parecido a preguntar por qué importan los datos. La respuesta es la misma: la información da poder a las personas ya las organizaciones. La exposición inadvertida de esos datos al público da a otros la oportunidad de ejercer ese poder contra el propietario de los datos. Describimos algunas de las manifestaciones conocidas y posibles de esto. Pero independientemente de cómo se exploten los datos, mientras nuestra economía, nuestras comunicaciones y nuestra sociedad estén digitalizadas, los datos serán valiosos.
Cuando se trata de datos de clientes, la razón principal por la que las fugas en la nube son importantes es que los datos representan a personas reales que a menudo tienen que soportar las repercusiones de la fuga. Las empresas que recopilan datos y los utilizan para mejorar su negocio tienen la responsabilidad de manejarlos con cuidado.
Cómo se pueden prevenir las fugas en la nube
Cuando examinamos las diferencias entre infracciones, ataques, hackeos y filtraciones, no fue solo un ejercicio académico. La forma en que pensamos sobre este fenómeno afecta la forma en que reaccionamos ante él. En pocas palabras: las fugas en la nube son un problema operativo, no un problema de seguridad. Las fugas en la nube no son causadas por actores externos, sino por brechas operativas en el trabajo diario del manejador de datos. Los procesos mediante los cuales las empresas crean y mantienen el almacenamiento en la nube deben tener en cuenta el riesgo de exposición pública.
Validación
El almacenamiento en la nube proporciona velocidad, escalabilidad y automatización para las operaciones de TI. Las empresas mueven conjuntos de datos de producción dentro y fuera del almacenamiento en la nube según sea necesario, a menudo reutilizando el mismo cubo para múltiples tareas. Sin el cuidado adecuado, es fácil que un conjunto de datos confidenciales se traslade a un depósito no seguro. Esta es la razón por la que las configuraciones de almacenamiento en la nube deben validarse en el momento de la implementación y durante todo el tiempo que dure el alojamiento de los datos de producción.
La validación continua mantiene el riesgo visible e incluso puede notificar de manera proactiva a los administradores si se permite el acceso público.
Un ejemplo de por qué la validación de procesos es la clave para evitar fugas en la nube es el hecho de que el almacenamiento S3 de Amazon es privado por defecto. Esto significa que se debe producir un cambio en el conjunto de permisos en algún momento para que el depósito se exponga al mundo. Ese cambio, agregar acceso a los grupos Todos los usuarios o Usuarios autenticados, solo podría ocurrir sin darse cuenta si no existe un control para validar que los permisos son precisos.
Del mismo modo, si los datos confidenciales se mueven a un depósito que ya es público, no existe ningún control de proceso sobre el manejo de datos para verificar los permisos como parte del movimiento.
No es un error humano lo que provoca fugas en la nube. Es error de proceso. La gente comete errores en todo. La TI empresarial es extremadamente complicada, lo que exacerba nuestra tendencia natural a equivocarnos ocasionalmente. Es exactamente por eso que se deben implementar controles a nivel de proceso (validación estructural y automatizada) para verificar el trabajo que se está realizando. Las operaciones que deben repetirse y que cuando se realizan de forma incorrecta corren el riesgo de poner en peligro a la empresa, deben controlarse para limitar al máximo ese riesgo.
Automatización
A escala empresarial, la validación solo se puede lograr si cabe dentro de un flujo de trabajo de alta velocidad. Cuando la validación de la configuración se convierte en un cuello de botella para un proceso, es mucho menos probable que se aplique debidamente. Si depende de que alguien verifique manualmente cada configuración, no solo no se puede lograr lo suficientemente rápido, sino que sufre la misma capacidad de error humano que la configuración original. Las computadoras son mucho mejores que nosotros para mantener la uniformidad entre una serie.
Los controles de procesos automatizados deben actuar como documentación ejecutable, donde se pueden detallar estándares importantes, como garantizar que todo el almacenamiento en la nube sea privado, y luego compararlos con el estado real de cualquier instancia de almacenamiento en la nube para asegurarse de que cumplan.
Por ejemplo, si estamos aprovisionando depósitos de S3 en la empresa, en lugar de crear manualmente un depósito en la consola de AWS y revisar una lista de verificación, debemos automatizar la creación programática de depósitos utilizando la API de Amazon e implementar un paso de validación en el proceso después que el cubo se crea para verificar configuraciones críticas como la exposición a Internet. De esta manera, cuando se necesita crear una instancia de almacenamiento en la nube, un administrador puede simplemente iniciar un script y asegurarse de que el depósito recién creado esté a la altura.
La automatización también permite que la validación de la configuración se realice de forma continua, a lo largo de la vida útil del activo. Esto asegura la visibilidad de los activos en todo momento. El cambio dentro de un centro de datos empresarial es constante; un buen proceso valida que los cambios no violen los estándares básicos y alerta a las personas de inmediato cuando lo hacen.
Riesgo de terceros
Lo que oscurece aún más el problema es la distancia a la que a menudo se producen fugas en la nube: un proveedor externo que realiza el procesamiento de la información expone accidentalmente la información en la nube. Como el conjunto de datos está asociado con la empresa principal en la mente de sus clientes, serán tan responsables de la fuga como si hubieran sido sus propios servidores. Esto hace que evaluar y optimizar el riesgo cibernético de terceros sea tan importante como la resiliencia interna.
Asociarse con otra empresa para manejar información confidencial siempre debe implicar una evaluación de las prácticas de esa empresa, de modo que se pueda comprender el riesgo que representan al manejar esos datos. No tiene sentido gastar millones en ciberseguridad interna solo para subcontratar los mismos datos a alguien que los deja expuestos en la nube. Los proveedores deben seleccionarse y evaluarse con el mismo cuidado que una empresa tiene para proteger sus activos e información internos.