En el cambiante panorama de TI, las implementaciones en la nube se han arraigado profundamente en las operaciones comerciales, lo que presenta oportunidades sin precedentes y desafíos significativos. La adopción generalizada de tecnologías en la nube ha creado un entorno complejo y dinámico, que a menudo abarca múltiples proveedores y regiones geográficas, cada una con sus propias leyes, regulaciones y estándares. Desde entornos fragmentados hasta desafíos de control de acceso, vulnerabilidades de API, problemas de interoperabilidad y prácticas de monitoreo desafiantes, las amplias implementaciones en la nube de hoy pueden generar brechas en la cobertura de seguridad e inconsistencias en la protección de datos. De hecho, estas complejidades han sido la causa principal de varios incidentes de seguridad de TI a lo largo de los años. El uso y las implementaciones en la nube se han convertido rápidamente en partes cruciales de las operaciones comerciales y, en algunos casos, en la base del negocio en sí. Hemos visto un cambio significativo de estrategias locales a estrategias predominantemente en la nube para muchas organizaciones. He tenido el privilegio de ser parte de varias de estas transiciones a lo largo de los años. Un caso notable involucró a una empresa multinacional de servicios financieros cuya función de gestión de riesgos había adoptado estrategias de nube híbrida y multicloud. Si bien estas estrategias tenían sus ventajas, también presentaban amenazas significativas. Esta organización en particular utilizó una nube pública para el modelado avanzado de riesgos y una nube privada local para almacenar datos financieros confidenciales a fin de cumplir con los requisitos normativos. Sin embargo, las diferentes tecnologías, servicios de seguridad e implementaciones dieron lugar a medidas de seguridad inconsistentes. Durante una auditoría de rutina, descubrimos que se habían expuesto datos financieros confidenciales de manera inadvertida debido a configuraciones incorrectas de control de acceso en la nube pública. Varios factores contribuyeron a esto. En primer lugar, la diversidad y complejidad del entorno de la nube había permitido un amplio acceso a través de llamadas API y otras tecnologías. En segundo lugar, el conjunto de habilidades dentro de la organización era una limitación. El equipo manejaba varios planos de tecnología con sus componentes de seguridad, pero carecía de las habilidades especializadas para mantener de manera sostenible una seguridad de alto nivel en todos estos entornos. La vulneración que se produjo puso en duda la integridad del modelo de riesgo y planteó un grave riesgo reputacional para la organización. Este incidente es un gran ejemplo de las vulnerabilidades inherentes a los entornos de nube complejos y los desafíos críticos que enfrentan muchas organizaciones. Cada proveedor de la nube opera con herramientas, interfaces e implementaciones de seguridad únicas, lo que genera posibles inconsistencias y vulnerabilidades. La adopción generalizada de la nube crea un entorno multifacético que requiere una gestión meticulosa y medidas de seguridad sólidas para prevenir las exposiciones. Para abordar estos desafíos, se deben considerar conjuntos de herramientas específicos que ayuden a consolidar y obtener visibilidad en diversas implementaciones de la nube. Uno de esos conjuntos de herramientas es una solución de detección y respuesta administradas (MDR). Junto con un sólido centro de operaciones de seguridad (SOC) 24×7, esto puede centralizar datos de varias fuentes, conjuntos de herramientas, tecnologías e infraestructuras de nube en todo el panorama de TI de la organización. Esta centralización permite que los ojos experimentados del SOC vean esos flujos de datos, mejorando los tiempos de respuesta, reduciendo la fatiga de alertas y ayudando a la organización a obtener una mejor visibilidad y comprensión de su entorno. Cultura de seguridad Pero optimizar el conjunto de herramientas y el conjunto de habilidades por sí solo no es suficiente. Sin la mentalidad o la cultura adecuadas establecidas dentro de una organización, el impacto del conjunto de herramientas y el conjunto de habilidades mejorados será de corta duración. La administración juega un papel crucial en esto. La seguridad y el riesgo deben ser uno de los principales impulsores de la cultura organizacional, influyendo en cómo se toman las decisiones y los procesos. Establecer estructuras de gobernanza efectivas para los datos, la seguridad, el cumplimiento y la gestión de riesgos es crucial. Estos no deberían ser meros documentos, sino prácticas que impregnen a toda la organización. Deben implementarse y comunicarse sistemas básicos como la respuesta a incidentes y programas de resiliencia efectivos. Las prácticas de gestión de identidades y acceso también deben tomarse en serio. Abordar estos desafíos no solo mejorará la postura de seguridad de la organización, sino que también facilitará el logro de los objetivos comerciales principales. Reduce la complejidad y los inconvenientes de las diversas implementaciones de tecnología y mitiga los riesgos asociados. A medida que la complejidad de los entornos de nube continúa creciendo, impulsada por los avances en inteligencia artificial y aprendizaje automático, los desafíos que enfrentan las organizaciones solo se intensificarán. La naturaleza dinámica de los entornos de nube, caracterizada por el suministro y desaprovisionamiento continuo de recursos, introduce complejidades que requieren soluciones de seguridad avanzadas capaces de adaptarse a estos cambios. Garantizar políticas de seguridad consistentes en diversas plataformas de nube sigue siendo un desafío importante, que requiere soluciones que puedan seguir el ritmo del panorama en evolución. Temi Akinlade es asesor de vCISO en Armor Security, especializado en guiar a los clientes a través del desarrollo de estrategias de riesgo y seguridad de la infraestructura. Actualmente radicado en Londres, llegó al Reino Unido en 2023 después de trabajar en el área de riesgos y cumplimiento normativo en la consultora cibernética Kumbie Technologies en Canadá y Sudáfrica. Tiene una licenciatura en informática de la Universidad de Sudáfrica y también es voluntario en el Consejo de Ciberseguridad del Reino Unido.