La caída de sistemas global causada por un fallo en la actualización de contenido de la plataforma de seguridad de CrowdStrike y que afectó hace unos días a millones de dispositivos con sistema Windows de Microsoft puso a múltiples empresas, proveedores de servicios cloud y de infraestructuras críticas en una situación crítica y ha puesto el foco en lo dominante que se ha vuelto la cuota de mercado de la empresa de seguridad, que ostenta aproximadamente el 24% del mercado de detección y respuesta de dispositivos finales.
Esa posición de liderazgo y el actual impulso hacia enfoques de plataforma para proteger los datos son los principales impulsores de la inclusión de CrowdStrike en la lista de las 10 empresas de ciberseguridad más poderosas de CSO. Pero la interrupción también ha suscitado dudas sobre las estrategias empresariales en la nube y ha reavivado el debate sobre el software con excesivos privilegios, en un contexto en el que los responsables de TI buscan conclusiones del desastroso incidente. Además, por otro lado, pone de relieve los inconvenientes que conlleva el riesgo de concentración.
¿Qué es el riesgo de concentración?
En el sector, CrowdStrike está considerado por muchos como el ‘estándar’ del mercado de la protección de dispositivos finales (EDR, en sus siglas en inglés) y antimalware. Su solución Falcon emplea un agente en cada dispositivo final para supervisarlos continuamente y responder a ciberamenazas como el ransomware y el malware. Este enfoque basado en agentes, junto con un fallo en el proceso de validación de contenido de respuesta rápida de la compañía de seguridad, han sido determinantes para la aparición de las pantallas azules de la muerte (BSOD) que muchas empresas han tenido que solventar.
Una vez que las empresas afectadas han logrado poner en marcha sus sistemas, sus equipos de liderazgo de TI deben enfrentarse a preguntas sobre cómo se han visto afectados y cuál es su verdadera exposición a este tipo de incidentes. A pesar de los esfuerzos por aumentar la resistencia en los últimos años, a raíz del incidente de CrowdStrike, todo el mundo se va a sentir un poco más vulnerable.
De cara al futuro, los responsables de TI deben centrarse más en el ‘riesgo de concentración’ y en cómo gestionar mejor estos desafíos de la cadena de suministro. Un riesgo que, según la FCA (la Autoridad de Conducta Financiera de Estados Unidos), se deriva “de la solidez o el alcance de las relaciones o la exposición directa de una empresa a un único cliente o grupo de clientes vinculados”. En definitiva: de poner todos los huevos en la misma cesta. Así que deberíamos esperar que esta sencilla definición se aplique y los reguladores le presten atención.
Regulación
Tras el llamado ‘mayor apagón informático del mundo’, los reguladores se verán presionados para tomar medidas que eviten que esta situación se repita en el futuro. En este sentido, un objetivo cada vez más importante será abordar el riesgo de concentración en los entornos de nube.
La mayoría de las empresas siguen avanzando en su viaje hacia la nube pública, y son muchas las grandes instituciones que adoptan el mantra de ‘cloud first’ (la nube primero). Estas transformaciones suelen comenzar con un único proveedor de cloud y van integrando gradualmente proveedores de nube adicionales, según sea necesario para casos de uso específicos y para cumplir los requisitos de soberanía de datos.
El riesgo de concentración en la nube surge ahora cuando estas empresas confían de forma preocupante en un único proveedor de servicios en la nube para todas sus necesidades empresariales críticas. En efecto, esto ha desplazado la dependencia de su propio centro de datos para almacenar ahora todos los datos y ejecutar todas las aplicaciones en una única infraestructura de nube.
El riesgo de concentración en la nube se materializa cuando un incidente, como la interrupción de CrowdStrike, puede interrumpir toda la operación. Con empresas cada vez más dependientes de las mismas aplicaciones y proveedores de nube, esto puede ser devastador a gran escala, como hemos visto con esta crisis. Este escenario se extiende a las brechas de seguridad y otros eventos que pueden tener un impacto más sistémico en diversos países e industrias.
Matt Ryan, doctor del Instituto Cibernético de la UNSW (IFCYBER), explica que “durante un incidente de interrupción tecnológica importante, a las grandes instituciones financieras les resultará muy difícil simplemente cambiar de un proveedor de servicios en la nube a otro, ya que el coste de construir este nivel de resiliencia es demasiado alto para la mayoría de las organizaciones”. Pero, aun así, debemos hacerlo.
Entrar en el modelo ‘multicloud’
Para evitar los peligros del riesgo de concentración en la nube, es vital una estrategia multicloud, en la que las cargas de trabajo empresariales se distribuyan entre varios proveedores. Con una estrategia multicloud, cuando un proveedor tiene un problema, las operaciones en otras nubes pueden seguir funcionando.
La alternativa es adoptar un enfoque de nube híbrida, combinando nube pública y privada. De este modo, se tiene un mayor control sobre los datos confidenciales y privados, al mismo tiempo que se aprovechan todas las ventajas de la escalabilidad de la nube pública.
Pero cualquiera de estos enfoques, de multinube o de nube híbrida, tendrá mayores complejidades y desafíos que podrían afectar a la resiliencia si no se gestionan adecuadamente. Por desgracia, la complejidad que supone tener múltiples proveedores puede provocar incidentes y nuevos riesgos. Esto incluye errores de configuración de la nube y dificultades en la resolución de problemas.
Para el CIO, estos enfoques añaden complejidad a la gestión de proveedores, lo que requiere una administración a través de diferentes acuerdos de nivel de servicio y procesos de soporte. Deberán implantar metodologías FinOps, que combinan operaciones financieras y en la nube, para gestionar los costes entre los distintos proveedores de la nube en su entorno multicloud, así como los contratos. Internamente, el CIO debe gestionar sus políticas de seguridad a través de estos proveedores de nube, así como cualquier tercero que los propios proveedores de nube utilicen.
Tolerancia al riesgo de concentración
En el futuro, comprender el nivel exacto aceptable de riesgo de concentración de su organización será una preocupación clave para el CIO. Los consejos de administración querrán que los equipos de gestión midan este riesgo para poder definir cuál debe ser su tolerancia.
La Cloud Security Alliance tiene algunas ideas buenas sobre este tema. Recomienda formas de desarrollar procesos para transformar las evaluaciones de tolerancia al riesgo, las clasificaciones de datos/activos y los requisitos empresariales en políticas, objetivos de control y controles técnicos de la empresa.
Yo recomendaría empezar por identificar y documentar todas las operaciones críticas para la empresa. Una vez definidas, los equipos tecnológicos pueden empezar a identificar todos los componentes tecnológicos subyacentes y los proveedores que dan soporte a esas operaciones. Es en esta fase cuando las organizaciones pueden empezar a realizar pruebas e identificar puntos únicos de fallo en el proceso que puedan requerir un tratamiento adicional o redundancia.
Read More from This Article: Los CIO deben reconsiderar el riesgo de concentración en ‘cloud’ tras el incidente de CrowdStrike
Source: News