Red Seguridad 098

26 red seguridad tercer trimestre 2022 monográfico cloud Gestión de identidades Precisamente, este es un tema de gran relevancia para Daniel Rodríguez, direc- tor general de Redtrust. “La principal ten- dencia en cuanto a seguridad cloud va enfocada en el área de Identity Access Managment (IAM). La securización y centralización de las identidades dentro de la empresa es un factor clave ante la gestión de riesgos y la respuesta ante incidentes”. Según el directivo, en este sentido ya se han dado muchos pasos en los últimos años, pero “estamos vien- do cómo ahora se aplica mayor robustez a los métodos de autenticación y gestión de las identidades digitales”, apunta. Esta estrategia, de hecho, es casi una obligación, habida cuenta de cómo está evolucionando este aspecto. “Al obser- var los datos y estadísticas sobre bre- chas de seguridad y ataques dirigidos en los últimos 12 meses, por ejemplo a través del informe Data Breach Investiga- tions 2022 de Verizon, se puede percibir un aumento considerable de los ataques que aprovechan vectores centrados en el robo de credenciales o vulnerabilida- des en la configuración de sistemas de provisión y manejo de identidades, así como en aplicaciones nativas en la nube debido a un sinnúmero de deficiencias en su configuración, vulnerabilidades y el uso de prácticas de seguridad que no se adhieren a los estándares o expecta- tivas de sus usuarios”, revela Fuentes, de Bitdefender. Por eso, en palabras de Rodríguez, de Redtrust, “hace ya tiempo que muchas empresas adoptan Hadware Security Module (HSM) en el cloud como solución para securizar sus claves criptográficas. Según el directivo, HSM es un dispositi- vo que asegura el almacenamiento, así como el uso de las claves. Dada la im- portancia de los HSM, la tendencia será sin duda a que desaparezcan de manera física en las empresas para migrarlos a la nube, y así poder alinear esta estrate- gia junto con el resto de las estrategias de externalización”, comenta. Y conti- núa: “Una vez se detecta el peligro, se hace indispensable tener herramientas que permitan custodiar y gestionar las identidades digitales, así como tener un control de los usuarios y de su uso”. Seguridad desde el diseño Queda claro, por tanto, la importancia que tiene la seguridad en el ámbito cloud como una de las tendencias más importantes en estos entornos. Así es hasta el punto de que, según García Cano, de Fortinet, “la seguridad en cloud debería seguir un modelo de seguridad definida desde el diseño, de tal manera que aprovechemos la capacidad de au- tomatización que nos ofrece para poder desplegar la seguridad de manera auto- matizada”, comenta. Para Pedroche, de Qualys, también resulta “clave la gestión de la postura de seguridad en la nube, así como ga- rantizar que la configuración del entorno cumple con los estándares de seguridad del mercado”. Y agrega: “Después, es esencial atender todo lo que se refiere a gestión de vulnerabilidades y análisis del riesgo en tiempo real. Por último, hay que señalar el lugar clave que ocuparía la práctica como tal de prevención y pro- tección de los workloads ”. Y es que, en tanto en cuanto los datos se encuentran cada vez más en la nube, “allí es donde hay que llevar la seguri- dad”, en palabras de Martos, de Netsko- pe. “Y si lo haces confiando en una solu- ción de seguridad nativa en cloud , mejor que mejor”, añade. Por tanto, continúa, se hace necesario un nuevo perímetro diseñado en la nube, que haga un se- guimiento de los datos y que los proteja, allá donde vayan. “Además de este en- foque, que sitúa la seguridad en la nube por diseño, es importante comprender los flujos de datos; esto es, saber dónde residen, conocer sus distintas categorías y entender el perfil de la aplicación en la nube para decidir qué controles son necesarios. Las organizaciones deben realizar evaluaciones de seguridad con- tinuas en torno a sus flujos de datos”. A partir de ahí, según Fuentes, de Bitdefender, se deben seguir una serie de recomendaciones como “conducir pruebas de penetración y evaluación de vulnerabilidades (Security Assesment y Pentesting) periódicamente dependien-