En la aviación, los pilotos utilizan listas de comprobación previas al vuelo para evitar fallos catastróficos derivados de errores humanos y configuraciones incorrectas. En el ámbito de la ciberseguridad, se producen constantemente graves violaciones de la seguridad del almacenamiento en la nube debido a configuraciones incorrectas. Los profesionales de la ciberseguridad pueden aprender de la aviación e implementar una lista de comprobación de seguridad para el almacenamiento en la nube con el fin de evitar estos costosos errores, cuyo ejemplo más reciente probablemente se deba a un depósito de almacenamiento protegido de forma incorrecta.
Las tendencias en materia de transformación digital y migración a la nube han impulsado la adopción de infraestructuras y sistemas de almacenamiento en la nube pública, como Amazon Web Services (AWS), Microsoft Azure y Google Cloud . A medida que las organizaciones transforman sus aplicaciones locales en servicios en la nube, los valiosos datos empresariales también se han trasladado al almacenamiento en la nube.
En lo que respecta a la protección de los datos empresariales en una nube pública, la mayoría de los proveedores de servicios en la nube han adoptado un «modelo de responsabilidad compartida», que ofrece un marco para garantizar que las responsabilidades en materia de seguridad estén claramente definidas entre el proveedor de almacenamiento en la nube y la organización que utiliza el servicio de almacenamiento.
Por ejemplo, Amazon asume la responsabilidad de la «seguridad de Cloud», pero espera que sus clientes se hagan cargo de la «seguridad en la Cloud». Microsoft Azure define su modelo de responsabilidad compartida de manera similar. En términos generales, el proveedor de servicios en la nube se hace cargo del alojamiento físico, la red, los recursos informáticos y el centro de datos, mientras que se espera que sus clientes se hagan cargo de sus aplicaciones, datos, dispositivos finales, cuentas e identidades que se ejecutan en la nube.
Por desgracia, hay muchas organizaciones que no se dan cuenta de que esto es así. Quizás exista una falta de comunicación entre departamentos, quizás los administradores se hayan vuelto complacientes, o quizás se trate simplemente de un caso de «no sabes lo que no sabes», o tal vez de una confianza excesiva en el prestigio de las grandes empresas de la nube.
La realidad es muy sencilla y tiene que ver con el riesgo de terceros, es decir, al utilizar la nube para aplicaciones o almacenamiento de datos, en realidad estás utilizando «los ordenadores y la infraestructura de otra persona» y debes verificar que estén correctamente configurados y sean seguros.
Sea cual sea el caso, incluso una simple configuración errónea del almacenamiento en la nube puede dejar a una organización expuesta a sufrir una filtración. En 2021, un depósito de almacenamiento de Amazon S3 mal configurado dejó al descubierto la información de identificación personal de más de 3 millones de personas mayores de EE. UU. En otro caso, se descubrió que una lista de vigilancia de terroristas de EE. UU. con más de 1,9 millones de registros estaba expuesta en un almacenamiento en la nube no seguro. Hay docenas de ejemplos como estos, la mayoría de ellos no publicados, pero todos ellos resultado de una configuración incorrecta.
Hacer una lista y revisarla dos veces
La historia de las listas de comprobación en la aviación es increíblemente fascinante. En 1935, el comandante «Peter» Hill, piloto jefe de pruebas del Ejército de los Estados Unidos, tenía previsto probar el Boeing 299, un prototipo de bombardero de cuatro motores. El comandante Hill era un piloto experimentado, que había pilotado casi 60 tipos diferentes de aviones a lo largo de su carrera. Sin embargo, durante el vuelo de prueba del Boeing 299, el comandante Hill estrelló el avión inmediatamente después del despegue y murió calcinado. La causa del accidente no fue un fallo estructural ni mecánico, sino que el comandante Hill no había desbloqueado los controles del avión, lo que hizo imposible pilotarlo.
Tras el accidente, Boeing introdujo la lista de comprobación como herramienta obligatoria para sus pilotos. A pesar de esta tragedia, Boeing seguiría fabricando más de 12 000 bombarderos B-17 para su uso en la Segunda Guerra Mundial, y el Ejército de los Estados Unidos continuaría formando a sus pilotos civiles con estas listas de comprobación.
Lista de comprobación de un bombardero de la Segunda Guerra Mundial
Más allá de la casilla de verificación: OPSWAT Secure
La buena noticia es que la ciberseguridad no suele ser una cuestión de vida o muerte, por mucho que el estrés del trabajo nos haga creer lo contrario. Pero no hay razón para que los profesionales de la ciberseguridad no puedan abordar la seguridad del almacenamiento en la nube con el mismo ímpetu y energía que un piloto de caza para garantizar la seguridad de sus datos, especialmente cuando almacenan información de carácter personal (financiera, sanitaria y de otro tipo) de clientes, socios y de su propia empresa.
La implementación de una lista de comprobación de seguridad para el almacenamiento en la nube puede ayudar a garantizar que las organizaciones sigan las mejores prácticas, como el principio del «privilegio mínimo», que se ha convertido en un principio rector de los modelos de seguridad «Zero Trust». Automatizar este proceso mediante la tecnología puede ayudar a evitar errores manuales que requieren mucho tiempo y resultan costosos.
MetaDefender Storage Security mejora su solución de seguridad para el almacenamiento en la nube con una lista de comprobación de seguridad integrada, de modo que los profesionales de la ciberseguridad puedan garantizar que el almacenamiento en la nube de su organización no esté mal configurado en el momento de su aprovisionamiento, lo que incluye las fases de desarrollo y producción del almacenamiento en la nube. MetaDefender va MetaDefender la lista de comprobación, MetaDefender ofrece Multiscanning antivirus Multiscanning archivos para detectar amenazas conocidas, así como Deep Content Disarm and Reconstruction CDR) para prevenir ataques de día cero ocultos en los archivos. La prevención proactiva de la pérdida de datos (DLP) proporciona una capa adicional de mitigación de riesgos de cumplimiento normativo al identificar y enmascarar la información de identificación personal (PII) y otros datos confidenciales en los archivos almacenados.
Si estás listo para poner en práctica tu lista de comprobación de seguridad del almacenamiento en la nube, ya puedes dar por completado el primer punto: ¡ponte en contacto con OPSWAT hoy mismo para saber cómo podemos ayudarte!
