Los mayores desafíos de seguridad en la nube en 2022

Por Alejandro Botter, gerente de Ingeniería de Check Point para el sur de Latinoamérica

La adopción de la nube creció rápidamente

La adopción de la nube creció rápidamente en los últimos años. Si bien muchas organizaciones ya se estaban mudando a la nube, la pandemia de COVID-19 aceleró esta transición. Con la normalización del trabajo remoto, las empresas necesitaban poder continuar brindando servicios críticos a su fuerza laboral fuera del sitio.

Como resultado, más del 98 % de las organizaciones utilizan algún tipo de infraestructura basada en la nube y más de las tres cuartas partes (76 %) tienen implementaciones de varias nubes compuestas por servicios de dos o más proveedores. Estos entornos de nube albergan aplicaciones comerciales críticas y almacenan datos confidenciales de la empresa y los clientes.

Con el paso a la nube surge la necesidad de protegerla. Estas aplicaciones basadas en la nube deben estar protegidas contra ataques, y los datos alojados en la nube deben estar protegidos contra el acceso no autorizado de acuerdo con las reglamentaciones aplicables.

Sin embargo, los entornos en la nube difieren significativamente de la infraestructura local, lo que significa que las herramientas y los enfoques de seguridad tradicionales no siempre funcionan de manera efectiva en la nube. Como resultado, muchas organizaciones enfrentan desafíos importantes para proteger su nueva infraestructura.

Explore los mayores desafíos de seguridad en la nube en 2022

La adopción de la nube crece cada año, lo que significa que la importancia de la seguridad en la nube también aumenta. En los últimos años, muchas organizaciones adoptaron rápidamente infraestructura basada en la nube para satisfacer las necesidades comerciales, pero los esfuerzos para proteger esta infraestructura no fueron a la par. En 2022, muchas organizaciones buscan corregir estos problemas, pero enfrentan desafíos importantes, como los siguientes:

#1. Desafíos de nubes múltiples

La mayoría de las empresas tienen una implementación de múltiples nubes. Esto les permite aprovechar al máximo los beneficios únicos de diferentes entornos de nube optimizados para casos de uso particulares. Sin embargo, también aumenta la escala y la complejidad de su infraestructura.

La mayor complejidad de los entornos de múltiples nubes contribuye a importantes desafíos de seguridad. Algunos de los principales desafíos incluyen:

• Protección de Datos y Privacidad: Al 57 % de las organizaciones les resulta difícil proteger adecuadamente los datos en entornos de múltiples nubes de acuerdo con la política corporativa y los requisitos reglamentarios. Los diferentes entornos tienen diferentes herramientas y controles de seguridad incorporados, lo que dificulta lograr una protección constante.
• Acceso a habilidades en la nube: El 56 % de las organizaciones luchan por obtener acceso a las habilidades necesarias para implementar y administrar una seguridad uniforme en entornos de múltiples nubes. Hacerlo requiere una experiencia profunda en cada entorno, lo que se vuelve más difícil a medida que aumenta la cantidad de entornos.
• Integración de la solución: Los entornos de múltiples nubes involucran soluciones dispares de múltiples proveedores. El 50% de las organizaciones tienen dificultades para comprender cómo funcionan juntas las soluciones de seguridad.
• Pérdida de visibilidad y control: Lograr visibilidad y control es difícil en la nube, ya que el modelo de responsabilidad compartida implica que el cliente se debe hacer responsable de proteger lo que hay en la nube que está en constante cambio y por otro lado, hay una dependencia de la infraestructura controlada por el proveedor. El 46% de las organizaciones citan esto como un gran desafío cuando trabajan en entornos de múltiples nubes.

#2. Proveedores de la nube

Más de las tres cuartas partes de las organizaciones (76 %) utilizan dos o más proveedores de servicios en la nube y casi una cuarta parte (24 %) utiliza más de cinco. Esta complejidad de la infraestructura de la nube hace que sea difícil monitorear y proteger de manera consistente estos entornos. Además, más de la mitad de las organizaciones (54 %) cree que las ofertas de seguridad integradas de sus proveedores de la nube no son tan eficaces como las soluciones de un proveedor externo.

La complejidad de proteger los entornos de varias nubes puede dificultar el logro de los principales objetivos de seguridad de las organizaciones, incluidos:

• Prevención de errores de configuración en la nube: Con muchas configuraciones de seguridad específicas de cada fabricante, garantizar que todas sean correctas es complejo.
• Protección de las principales aplicaciones en la nube que ya están en uso: Los cambios rápidos a la nube debido a COVID-19 dejaron a muchos equipos de seguridad tratando de ponerse al día.
• Alcanzando el cumplimiento normativo: La rápida transformación digital y un panorama regulatorio en expansión hacen que el cumplimiento sea complejo.
• Defensa contra malware: A medida que las empresas cambian su enfoque a la nube, también lo hacen los actores de amenazas cibernéticas, lo que hace que la gestión de malware sea una prioridad en la nube.

#3. Automatización y Orquestación

A medida que las organizaciones hacen la transición a implementaciones complejas de múltiples nubes, la automatización y la orquestación son esenciales para mantener la seguridad a escala. Las organizaciones utilizan varias herramientas de seguridad para ayudar a implementar controles y procesos de seguridad, que incluyen:

• Infraestructura como código (IaC) y seguridad como código (Terraform o AWS Cloud Formation) 48 %
• Tecnologías serverless (funciones Lambda o Azure): 44%
• Complementos de integración y entrega continua (CI/CD) (Jenkins o TeamCity): 44 %
• Herramientas de Seguridad  para Orquestación, Automatización y Respuesta de incidentes (SOAR): 41%
• Herramientas de orquestación de configuración (Chef o Ansible): 41%
• Firewalls de aplicaciones web (WAF): 5 %

#4. Ciclo DevOps

Posicionar e integrar la seguridad en una etapa temprana del ciclo de vida de desarrollo de software (SDLC) puede reducir drásticamente los costos y los impactos de las vulnerabilidades o el código que viola los requisitos de cumplimiento normativo. Las organizaciones implementan las pruebas de seguridad y cumplimiento de DevOps en varias etapas del SDLC, que incluyen:

• Pruebas y Producción del Sistema: 52%
• Desarrollo de funcionalidades y pruebas unitarias: 42 %
• Staging (entorno identico al productivo): 42%
• Sin pruebas: 10%
• Otros: 27%

#5. Seguridad Operacional

Asegurar la nube puede ser un desafío, especialmente en entornos complejos de varias nubes. Algunos de los mayores desafíos que enfrentan las organizaciones cuando intentan asegurar sus cargas de trabajo en la nube incluyen:

• Falta de Personal Calificado: La industria de la ciberseguridad se enfrenta a una importante escasez de habilidades, y los conjuntos de habilidades especializadas son aún más difíciles de encontrar. Como resultado, menos de la mitad de las organizaciones (45%) encuentran personal calificado para desempeñar roles críticos de seguridad en la nube.
• Cumplimiento: La mayoría de las organizaciones están sujetas a muchas regulaciones de cumplimiento diferentes, y el panorama regulatorio se está expandiendo rápidamente. A medida que las organizaciones cambian a la nube, el 39% afirma que alcanzar, mantener y demostrar el cumplimiento normativo en este entorno de TI tan diferente es un desafío importante.
• Falta de visibilidad de la seguridad de la infraestructura: Las implementaciones en la nube operan bajo el modelo de responsabilidad compartida donde la responsabilidad de la seguridad se divide entre el proveedor de la nube y el cliente. Sin visibilidad y control en las capas inferiores de su pila de infraestructura y la incapacidad de implementar soluciones de seguridad tradicionales, el 35% de las organizaciones luchan por lograr una visibilidad crítica de su infraestructura de seguridad subyacente.
• Dificultad para identificar errores de configuración: Cada plataforma en la nube tiene su propio conjunto exclusivo de configuraciones de seguridad y la mayoría de las organizaciones trabajan con varios proveedores de la nube. Para el 33% de las organizaciones, la complejidad de sus entornos en la nube hace que sea difícil
• Establecimiento de políticas de seguridad consistentes: Con múltiples entornos de nube, las organizaciones se enfrentan a una variedad de diferentes herramientas y configuraciones de seguridad integradas. Como resultado, el 32% de las empresas afirma que mantener políticas de seguridad coherentes en toda su infraestructura en la nube es un desafío importante.
• Automatización de la seguridad en la nube: Controles de seguridad continuos y automatizados son esenciales para minimizar el riesgo y el impacto de los ataques cibernéticos contra los recursos basados ​​en la nube. Sin embargo, el 31% de las organizaciones tienen dificultades para implementar estos controles automatizados.
• Cumplimiento de seguridad automatizado: El alcance de los entornos de múltiples nubes hace que sea inviable configurar manualmente y aplicar la seguridad en todo el entorno de una organización. La aplicación automatizada es esencial, pero se cita como un gran desafío para el 28% de las organizaciones.

#6. Cumplimiento de la nube

El cumplimiento de diversas normas de protección de datos y estándares de la industria es imprescindible para la mayoría de las organizaciones. Sin embargo, diseñar e implementar políticas de cumplimiento para entornos en la nube es muy diferente de los sistemas locales. Algunos de los mayores desafíos de cumplimiento de la nube que enfrentan las organizaciones incluyen:

• Falta de conocimiento y experiencia del personal: El cumplimiento de la nube requiere conocimientos y experiencia especializados porque requiere no solo el conocimiento de los controles necesarios, sino también cómo implementarlos en entornos de nube. Más de la mitad (55%) de las organizaciones señalan que la falta de este conocimiento combinado de las normas y la nube es su mayor desafío de cumplimiento de la nube.
• Entornos cambiantes: El cumplimiento de la nube es una lucha constante, ya que tanto los requisitos normativos como los entornos de la nube cambian con regularidad. Mantener el cumplimiento continuo a pesar de los cambios en los entornos de nube es un desafío mencionado por el 43 % de las organizaciones.
• Auditorías Complejas: Las auditorías de cumplimiento y las evaluaciones de riesgos pueden ser abrumadoras en las instalaciones donde la organización posee y controla toda su infraestructura. Hacerlo en la nube con acceso limitado a la infraestructura subyacente es un desafío planteado por el 42 % de las organizaciones.
• Supervisión del cumplimiento: Mantener el cumplimiento requiere una visibilidad profunda de los sistemas y controles de seguridad de una organización. Dado que la visibilidad es difícil de lograr en la nube, el 42 % de las organizaciones encuentran complicado el monitoreo del cumplimiento en su infraestructura basada en la nube.
• Requisitos cambiantes: En los últimos años, se están adoptando rápidamente nuevas reglamentaciones y se están actualizando las normas existentes. Mantenerse al día con los requisitos en evolución es un desafío importante para el 36% de las empresas.
• Gestión de vulnerabilidades en la nube: Con la expansión de la infraestructura de múltiples nubes viene una expansión de la superficie de ataque digital de una organización. El monitoreo de aplicaciones y servicios en la nube en busca de vulnerabilidades es esencial para prevenir violaciones de datos e incumplimiento normativo.
• Automatización del cumplimiento: Mantener e informar manualmente el cumplimiento de múltiples regulaciones en entornos de múltiples nubes es complejo e inescalable. El 27 % de las organizaciones afirma que escalar y automatizar el cumplimiento es uno de sus mayores desafíos en la nube.

Seguridad en la nube con Check Point

La infraestructura basada en la nube puede brindar beneficios significativos a una organización. Ofrece una mayor flexibilidad y escalabilidad, y la capacidad de reducir costos y gastos generales al subcontratar la administración de gran parte de la infraestructura de una organización al proveedor de la nube.

Sin embargo, estos beneficios también vienen con un costo. A medida que las organizaciones hacen la transición de las estructuras tradicionales a la infraestructura basada en la nube, necesitan integrar sus implementaciones en la nube a sus políticas y arquitectura de seguridad existentes. Las diferencias significativas entre la infraestructura local y la basada en la nube pueden hacer que esto sea todo un esfuerzo y presente numerosos desafíos de seguridad.

Para obtener más información sobre los desafíos que enfrentan las organizaciones en 2022 mientras trabajan para proteger su infraestructura en la nube, consulte el 2022 Cloud Security Report. Luego, para ver cómo su organización puede eliminar la complejidad y lograr la seguridad y el cumplimiento normativo en la nube, se puede registrar para obtener una demostración gratuita de Check Point CloudGuard Cloud Security.