Asegurando la Nube: Cómo Evitar una Tragedia Griega
Por: Rex Wang, Vice Presidente de
Marketing de Productos en Oracle
A principios de 2014, Oracle estrenó “Cloud Odyssey: A Hero’s Quest” – una película de ciencia ficción sobre el heroico viaje de un hombre
ordinario que adopta la nube. Si bien la película se desarrolla en el futuro,
el nombre de la película alude a la historia épica de Homero, “La Odisea”, que
hace la crónica del viaje de Odiseo, el rey de Ítaca, de regreso a casa de la
Guerra de Troya.
Como Odiseo, las organizaciones de TI que se preparan para adoptar las
soluciones de nube deben tener una estrategia y un plan de batalla para
asegurar la nube. Los héroes de la nube de hoy – los CIOs y el personal de TI
que se aventuran valientemente a la nube – deben implementar controles para
asegurar la información privada y las aplicaciones contra el posible asedio de
los usuarios maliciosos y los hackers. Eso explica por qué se prevé que el
mercado de servicios de seguridad para la nube alcance los $3,100 millones de dólares para 2015.
Si bien la Guerra de Troya de Homero se peleó para determinar el futuro
del comercio entre los Helesponto, conocidos hoy como los Dardanelos, la guerra
cibernética de hoy determinará el futuro del comercio electrónico y de los
servicios de TI en la nube. En la Ilíada el bien más valioso eran los metales
preciosos y las joyas; hoy nuestro bien más valioso son los datos de los
clientes, la información financiera y la propiedad intelectual. De hecho, hay
lecciones de la antigua Troya que pueden aplicarse en la actualidad para
asegurar la nube.
Cuidado con los Regalos con Griegos en su Interior
Después de darse cuenta de que las murallas de Troya no podían
traspasarse, Odiseo construyó un caballo gigante, ocultando a los atacantes en
su interior, como un regalo de victoria para los troyanos. Éstos aceptaron el
regalo y llevaron el caballo dentro de las murallas de Troya sólo para
despertarse y descubrir que la ciudad estaba siendo saqueada. Este caso es
equivalente a los modernos ataques de phishing a través del correo electrónico.
Actualmente utilizamos el término “Troyano” para describir el código
malicioso que obtiene acceso privilegiado a un sistema o aplicación. Los
investigadores de la Universidad de Wisconsin han mostrado cómo el software en una parte de la nube puede utilizarse para espiar a
los habitantes de otra parte del mundo. Para detectarlo, las organizaciones pueden usar software de gestión de acceso, que puede identificar
las actividades anómalas y el software de control de acceso privilegiado para manejar las cuentas administrativas y a los súper usuarios de los
sistemas y aplicaciones. Al aplicar el acceso adaptable, las
organizaciones pueden reducir considerablemente su superficie de ataque con un ROI de 106 por ciento en 12 meses.
Proteja el Talón de Aquiles
Aquiles, el máximo héroe de la guerra, es famoso por ser invulnerable,
excepto por el talón. Para muchos sistemas y aplicaciones en la nube, las
contraseñas son el talón de Aquiles. 80 por ciento de los ataques se dirigen a las contraseñas débiles y ese es un problema pues 40 por ciento de los usuarios no utiliza contraseñas robustas. Las contraseñas son una causa y blanco frecuentes cuando las bases de
datos se comprometen porque las contraseñas que se hurtan pueden ser utilizadas
en futuros ataques. De acuerdo con mi estimación de múltiples fuentes, hasta
ahora se han robado más de 60 millones de contraseñas de las aplicaciones de
nube. La debilidad se agrava por la transmisión de contraseñas en texto legible
detrás del firewall donde suponemos que están seguras. Este problema puede
resolverse fácilmente con algunos controles sencillos como cambiar regularmente
la contraseña, políticas para implementar contraseñas robustas, autenticación
mediante el uso de múltiples factores y reforzar la autenticación. De acuerdo
con Verizon, 76 por ciento de las intrusiones a las redes se aprovechan de las
credenciales débiles o que han sido robadas.
Preste Atención a las Advertencias de Cassandra
Casandra, la princesa de Troya, advirtió a los troyanos de no introducir
el caballo a la ciudad, y fue ignorada. El término Casandra se ha vuelto una
metáfora cuando no se creen o se ignoran las advertencias válidas, y muchos
profesionales de la seguridad conocen esa sensación. En muchos ciberataques la
evidencia estaba a plena vista sólo para perderse en las minucias de los datos. Por ejemplo, en 96 por ciento de las brechas la organización que ha sido víctima fue notificada del ataque por un
tercero. Pero, a pesar de estas estadísticas, 35 por ciento de las organizaciones que adoptan aplicaciones SaaS no
evalúan la seguridad de las aplicaciones. Con algunas soluciones sencillas, las organizaciones pueden recuperar
el control. La combinación de Oracle Audit Vault y Database Firewall pueden reunir eventos de auditoría de las bases de datos, de las
aplicaciones y de los sistemas para ofrecer una vista compuesta de los eventos
de auditoría. Esta vista compuesta puede aumentar la visibilidad y la respuesta
a la actividad maliciosa.
Proteja las Joyas de la Corona
Después de la caída de Troya, los ejércitos griegos saquearon la ciudad.
Hoy, el incentivo de los atacantes cibernéticos es económico. Los hackers toman
los datos que pudieran ser de valor económico como los números de tarjetas de
crédito y de seguridad social así como la propiedad intelectual. La seguridad
perimetral ya no es suficiente. Para la mayoría de las organizaciones, 66 por
ciento de los datos más valiosos reside en las bases de datos. A pesar de esto,
un estudio reciente de PWC demostró que 53 por ciento de las organizaciones no cifra las bases de datos. Al mismo tiempo, 43 por ciento de los ataques más serios son ataques de SQL Injection dirigidos a las bases de datos
relacionales. Esa es una receta para el desastre. La solución de Oracle es una
suite completa de seguridad de bases de datos con soluciones preventivas, de investigación
y administrativas para asegurar sus bienes más valiosos. De acuerdo con una
reciente previsión de Gartner, el cifrado puede reducir el costo de la seguridad de la nube en 30 por
ciento.
No Bote Miles de Barcos
La Guerra de Troya inició cuando Paris de Troya se robó a Elena, la
esposa de Menelao, quien era el rey de Esparta. Elena era famosa por su
belleza, tanto que su “rostro botó a miles de barcos”. Hoy ese tipo de exceso
está fuera de toda cuestión. Si el costo de asegurar la nube pesa más que los
beneficios económicos obtenidos, el caso de negocio será un fracaso. La
seguridad de la nube requiere un buen gobierno de identidad y acceso y
seguridad de la base de datos.
La moraleja de esta historia es que el éxito del viaje de TI a la nube
depende de una seguridad confiable. La buena noticia es que 97 por ciento de
los riesgos para la seguridad pueden prevenirse y con algunos controles
aplicados adecuadamente, los entornos de nube pueden hacerse más seguros que las torres de Ilión.
