La nube es segura, pero tenga cuidado con los riesgos sistémicos

Si bien la tecnología en la nube existe desde hace casi 30 años, muchas organizaciones todavía la consideran "nueva tecnología". La nube promete reducir costos y aumentar la eficiencia operativa al proporcionar capacidades de almacenamiento y administración para grandes almacenes de datos y sistemas que, en teoría, son menos costosos de mantener y más fáciles de proteger. Ahora, debido a que cada vez más empresas quieren migrar sus negocios a la nube, varios políticos estadounidenses están pidiendo, y como era de esperar, una regulación para esta tecnología disruptiva.

El año pasado, Katie Porter, Representante Demócrata de California (D-CA) y Nydia Velázquez, Representante Demócrata de Nueva York (D-NY), instaron al Consejo de Supervisión de Estabilidad Financiera (FSOC) a considerar los servicios en la nube como componentes esenciales de la banca moderna. sistema y someterlos a un marco regulatorio obligatorio. El llamado a esta vigilancia se produjo después de un importante robo de datos en Capital One: un empleado de la institución financiera había logrado robar más de 100 millones de solicitudes de crédito de clientes al explotar un firewall configurado incorrectamente en operaciones alojadas en Amazon Web Services (AWS).

El estudio publicado hoy por Carnegie Endowment for International Peace tiene como objetivo brindar a los legisladores y reguladores una mejor comprensión de lo que está sucediendo en el ámbito de la nube, especialmente la seguridad de estos vastos depósitos de información. En el libro titulado "Cloud Security: A Primer for Policymakers", los autores Tim Maurer, codirector de Cyber ​​Policy Initiative en Carnegie Endowment, y Garrett Hinck, estudiante de doctorado en la Universidad de Columbia y ex asistente de investigación de Carnegie Endowment, argumentan que "El debate sobre la seguridad en la nube sigue siendo vago" y "las implicaciones de las políticas públicas no se comprenden bien". Desde una perspectiva de política pública, "la imagen de la nube oscurece la comprensión tanto como la explica", afirma el informe. "Una imagen más matizada surge cuando la nube se presenta en términos de sus diversas capas, desde los centros de datos físicos y el cableado de red que forman su base, hasta los entornos de software virtual y las aplicaciones con las que los usuarios interactúan a diario".

Un riesgo de seguridad sistémico

Pero, según este informe, los servicios en la nube se concentran en manos de unos pocos proveedores de "hiperescala" como AWS, Microsoft Azure y Google Cloud, y empresas como Alibaba Cloud y Tencent, que desempeñan un papel similar en China. El costo creciente de los ataques cibernéticos muestra que la mayoría de las organizaciones no pueden defenderse de manera efectiva, por lo que "es mejor dejar su seguridad a los equipos de seguridad de estas empresas externas". Sin embargo, esta solución plantea otro problema, el de un "riesgo sistémico resultante de un enfoque centralizado". “No entendemos qué es realmente la nube y cómo pensar en ciberseguridad”, dijo Maurer al respecto.

Preocupaciones sobre la política de seguridad

Si bien el informe Carnegie Endowment evita hacer recomendaciones de política pública, sí pide un reequilibrio de dos preocupaciones principales. “Cuando pensamos en la seguridad y la nube, nos vienen a la mente dos desafíos de política pública distintos”, dijo Maurer. “El primero se refiere al conocido problema actual de la ciberseguridad. La mayoría de las empresas todavía luchan por protegerse eficazmente contra los piratas informáticos ”. Y pocas empresas pueden competir con los niveles de seguridad “Fort Knox” de Google, Amazon o Microsoft, por lo que parece mejor si confían su seguridad a estos gigantes. “Para estas empresas, una migración a la nube puede mejorar su ciberseguridad, ya que pueden subcontratar y delegar su protección a los equipos de seguridad altamente remunerados de los principales proveedores de seguridad”, explicó Maurer. Pero estas empresas también deben configurar adecuadamente sus instalaciones en la nube para evitar la exposición accidental de datos, que según el informe es uno de los eventos de interrupción del servicio en la nube más comunes.

Por otro lado, los proveedores de la nube también representan un riesgo para el sistema. De hecho, confiar el almacenamiento de tal cantidad de datos a estos gigantes podría causar eventos raros pero catastróficos. Como ejemplo, el informe Carnegie Endowment cita un estudio de 2018 de Lloyds of London que estimó en ese momento que cerrar un importante proveedor de nube durante tres a seis días podría resultar en pérdidas. ahorros de hasta $ 15 mil millones. Además, como en el caso de la bóveda de Fort Knox, los servicios en la nube podrían convertirse en objetivos muy jugosos para los atacantes debido a la cantidad de riqueza que contienen. “Cada vez más representantes del Congreso de EE. UU., Pero también de otros políticos en otras partes del mundo, comienzan a preocuparse de que cuanto más empresas y gobiernos muevan sus datos a la nube, más se concentra el riesgo y mayor es la migración a la nube. plantea un riesgo sistémico ”, dijo Maurer. "Si un incidente importante afecta a un proveedor de servicios en la nube, podría afectar a toda una industria y tener un impacto más amplio en toda la industria".

La nube, más segura que local

Aún así, cuando se trata de seguridad, el riesgo sistémico no debería eclipsar los beneficios de la nube. “Estamos en un punto en el que demasiadas personas podrían preocuparse por el riesgo sistémico y perder de vista el hecho de que pasar a la nube puede ayudar a resolver el problema actual de ciberseguridad”, dijo Maurer. Según un CISO citado por Maurer, "Una migración a la nube hace que la empresa sea diez veces más segura que si tuviera que depender únicamente de su equipo de seguridad". El informe también aborda brevemente otras preocupaciones, como el dominio de los proveedores de servicios de nube estadounidenses en el extranjero. “La seguridad no es la única preocupación de los gobiernos. También está la cuestión de la ubicación de los datos, las leyes antimonopolio y el hecho de que muchos países quieren desarrollar sus propias industrias tecnológicas y aprobar leyes para restringir el acceso de los proveedores de servicios en la nube de EE. UU. A sus mercados nacionales. ".

Un enfoque colaborativo de la seguridad

“La seguridad en la nube se volvería más efectiva si los proveedores de nube dominantes adoptaran un enfoque colaborativo”, dijo Maurer. La feroz competencia entre estos gigantes, dijo, socava la efectividad de la protección contra las amenazas que afectan a todos. “El nivel actual de madurez y cultura en la industria de la tecnología es tan hipercompetitivo que los proveedores rara vez se comunican entre sí y rara vez discuten problemas de seguridad que podrían afectarlos a todos”, agregó. “Si bien un enfoque colaborativo de la seguridad en la nube puede plantear problemas de monopolio, existen modelos similares en otras industrias, como las financieras y aeroespaciales”, dijo Maurer. “Las industrias altamente competitivas, como las financieras y aeroespaciales, han formado consorcios industriales específicos para lidiar con la seguridad porque creen que los riesgos afectan a toda la industria y no solo a las empresas individuales. Mañana, los principales proveedores de servicios en la nube tendrán un interés real en reunirse para compartir y comparar su información ... y posiblemente datos sobre los actores de la amenaza a los que podrían ser objetivo ”, declaró el Sr. Maurer. "Debería ser más rentable que un marco regulatorio, en desarrollo".