Los CIOs y el personal de TI que se deciden optar por la implementación de la nube deben implementar controles para asegurar la privacidad de la información y las aplicaciones contra el posible asedio de los usuarios maliciosos y los hackers.
Eso explica por qué se prevé que el mercado de servicios de seguridad para la nube alcance los 3,100 millones de dólares para 2015. Esta lucha cibernética determinará el futuro del comercio electrónico y de los servicios de TI en la nube. Parte de los bienes más preciados de las empresas son los datos de sus clientes, la información financiera y la propiedad intelectual.
Cuidado con los Caballos de Troya
Después de darse cuenta de que las murallas de Troya no podían traspasarse, Odiseo construyó un caballo gigante, ocultando a los atacantes en su interior, como un regalo de victoria para los troyanos. Éstos aceptaron el regalo y llevaron el caballo dentro de las murallas de Troya sólo para despertarse y descubrir que la ciudad estaba siendo saqueada. Este caso es equivalente a los modernos ataques de phishing a través del correo electrónico.
Actualmente utilizamos el término “Troyano” para describir el código malicioso que obtiene acceso privilegiado a un sistema o aplicación. Los investigadores de la Universidad de Wisconsin han mostrado cómo el software en una parte de la nube puede utilizarse para espiar a los habitantes de otra parte del mundo. Para detectarlo, las organizaciones pueden usar software de gestión de acceso, que puede identificar las actividades anómalas y elsoftware de control de acceso privilegiado para manejar las cuentas administrativas y a los súper usuarios de los sistemas y aplicaciones. Al aplicar el acceso adaptable, las organizaciones pueden reducir considerablemente su superficie de ataque con un ROI de 106 por ciento en 12 meses.
Proteja el Talón de Aquiles
Aquiles, el máximo héroe de la guerra, es famoso por ser invulnerable, excepto por el talón. Para muchos sistemas y aplicaciones en la nube, las contraseñas son el talón de Aquiles. 80 por ciento de los ataques se dirigen a las contraseñas débiles y ese es un problema pues 40 por ciento de los usuarios no utiliza contraseñas robustas. Las contraseñas son una causa y blanco frecuentes cuando las bases de datos se comprometen porque las contraseñas que se hurtan pueden ser utilizadas en futuros ataques. De acuerdo con mi estimación de múltiples fuentes, hasta ahora se han robado más de 60 millones de contraseñas de las aplicaciones de nube. La debilidad se agrava por la transmisión de contraseñas en texto legible detrás del firewall donde suponemos que están seguras. Este problema puede resolverse fácilmente con algunos controles sencillos como cambiar regularmente la contraseña, políticas para implementar contraseñas robustas, autenticación mediante el uso de múltiples factores y reforzar la autenticación. De acuerdo con Verizon, 76 por ciento de las intrusiones a las redes se aprovechan de las credenciales débiles o que han sido robadas.
Preste Atención a las Advertencias
Casandra, la princesa de Troya, advirtió a los troyanos de no introducir el caballo a la ciudad, y fue ignorada. El término Casandra se ha vuelto una metáfora cuando no se creen o se ignoran las advertencias válidas, y muchos profesionales de la seguridad conocen esa sensación. En muchos ciberataques la evidencia estaba a plena vista sólo para perderse en las minucias de los datos. Por ejemplo, en 96 por ciento de las brechas la organización que ha sido víctima fue notificada del ataque por un tercero. Pero, a pesar de estas estadísticas, 35 por ciento de las organizaciones que adoptan aplicaciones SaaS no evalúan la seguridad de las aplicaciones. Con algunas soluciones sencillas, las organizaciones pueden recuperar el control. La combinación de Oracle Audit Vault y Database Firewall pueden reunir eventos de auditoría de las bases de datos, de las aplicaciones y de los sistemas para ofrecer una vista compuesta de los eventos de auditoría. Esta vista compuesta puede aumentar la visibilidad y la respuesta a la actividad maliciosa.
Proteja las Joyas de la Corona
El incentivo de los atacantes cibernéticos es económico. Los hackers toman los datos que pudieran ser de valor económico como los números de tarjetas de crédito y de seguridad social así como la propiedad intelectual. La seguridad perimetral ya no es suficiente. Para la mayoría de las organizaciones, 66 por ciento de los datos más valiosos reside en las bases de datos. A pesar de esto, un estudio reciente de PWC demostró que 53 por ciento de las organizaciones no cifra las bases de datos. Al mismo tiempo, 43 por ciento de los ataques más serios son ataques de SQL Injection dirigidos a las bases de datos relacionales. Esa es una receta para el desastre. La solución de Oracle es una suite completa de seguridad de bases de datos con soluciones preventivas, de investigación y administrativas para asegurar sus bienes más valiosos. De acuerdo con una reciente previsión de Gartner, el cifrado puede reducir el costo de la seguridad de la nube en 30 por ciento.
No Desperdicie Recursos
Si el costo de asegurar la nube pesa más que los beneficios económicos obtenidos, el caso de negocio será un fracaso. La seguridad de la nube requiere un buen gobierno de identidad y acceso y seguridad de la base de datos.
La moraleja de esta historia es que el éxito del viaje de TI a la nube depende de una seguridad confiable. La buena noticia es que 97 por ciento de los riesgos para la seguridad pueden prevenirse y con algunos controles aplicados adecuadamente, los entornos de nube pueden hacerse más seguros que las torres de Ilión.
Columna redactada por Rex Wang, Vice Presidente de Marketing de Productos en Oracle
—