Las malas prácticas en la nube ponen en riesgo los datos: F5

Palabras clave

F5
Contenido patrocinado: 
Ninguna industria queda fuera, desde gobiernos a proveedores de servicios
Autor:
F5 identifica las consecuencias que sufren las organizaciones, y a su vez las personas que las representan, por malas prácticas de seguridad en la nube
Seguridad en la nube

Investigadores de F5 Labs rastrearon la lista de organizaciones cuyos recursos en la nube han estado expuestos desde 2017 a causa de inseguridad intencional. El incremento de 2017 a 2018 fue un alarmante 200 por ciento. En 2019, a la fecha, con un promedio de 2.5 brechas por cada mes, se esperaría a ver un total de 30 brechas hasta el final de este año. Pero la cifra de crecimiento de los años anteriores dice que la estimación es, probablemente, demasiado baja.

Si ese 200 por ciento de incremento se mantiene, se espera ver al menos 90 brechas de seguridad en la nube durante 2019. “Y lo que es peor: estamos seguros que nuestras listas compiladas de organizaciones están solamente raspando la parte superior del barril”, señalan Lori Mac Vittie y Sara Boddy de F5.

Ninguna industria queda fuera de la lista que crece. Desde gobiernos a proveedores de servicios; desde manufactura a la política; desde las finanzas al entretenimiento, todas las industrias tienen una participación en el concurso “Quién puede perder más datos debido a malas prácticas de seguridad”. “Es un concurso que nadie debería querer ganar, o incluso participar, en primer lugar”.

¿Cómo solucionamos este problema?

Ambas especialistas apuestan por DevSecOps como disciplina para infundir buenas prácticas de seguridad en el desarrollo. Todos los equipos claramente deben ser incluidos en la conversación.

Sólo los informes de seguridad limitados están disponibles en implementaciones en la nube predeterminadas: no hay equipos confiables de ingeniería de redes o ingeniería de sistemas para solicitar una lista de subredes y ACL, y no hay grupos y permisos de Active Directory.

Te interesa leer: F5 Networks amplía portafolio de servicios en la nube

En la mayoría de las nubes públicas, las organizaciones necesitan comprar herramientas de auditoría de seguridad de la nube de terceros para producir los informes que el equipo de seguridad normalmente habría obtenido de sus homólogos internos.

“Sí, la seguridad es difícil. Sí, la seguridad a veces ralentiza las cosas. Pero ignorar intencionalmente o degradar la seguridad porque es más conveniente o acelera el proceso es simplemente inaceptable y posiblemente muy poco ético. Las personas reales pueden ser impactadas y no solo financieramente. Eso es gente real, no sólo las encarnaciones digitales que confían a las empresas a diario”.

Los profesionales de InfoSec necesitan expresar estas prácticas deficientes con más firmeza. Tal vez con un recordatorio de que las prácticas de seguridad deficientes afectan a las personas y no sólo a los procesos que se utilizan para evitar o eludir.

Contenido relacionado: