“Pasa a la nube” ha sido la respuesta vez más común en los últimos años para abordar el problema de cómo manejar cantidades masivas de datos. Por un lado, es comprensible, usar infraestructura propiedad de un tercero con equipos dedicados a implementar la seguridad desde su diseño, pruebas continuas y la validación suena atractivo.

Sin embargo, lo que muchos no toman en cuenta si bien la infraestructura de terceros está protegida y se prueba con regularidad, la implementación del entorno no lo está necesariamente. Tomemos como ejemplo AWS, uno de los proveedores de infraestructura y servicios en la nube más populares. Trabajan en un Modelo de Responsabilidad Compartida. Su backend (AWS) está protegido, pero el cliente es responsable de la configuración de su propio entorno, servicios e incluso la configuración de cifrado.

DevOps Experience

Si miramos el Informe de investigación de violación de datos de Verizon 2020 (DBIR), vemos que las configuraciones incorrectas vieron un aumento del 4.9% con respecto al informe de 2019. Y ha ido en aumento desde 2017.

2020 Verizon Data Breach Investigations Report Actions in Breaches over time

Reporte y acciones derivados de la investigación 2020 Verizon Data Breach

Si sigue algún medio de información sobre filtración de datos, es muy probable que se haya encontrado con al menos una base de datos con acceso no autorizado debido a que no se requiere contraseña. ¿Cómo se les pudo pasar algo así?

Nos remonta al modelo de responsabilidad compartida que tienen prácticamente todos los proveedores en la nube.

¿Se ha entrenado al equipo de implementación sobre los requerimientos de configuración para seguridad?

¿Alguien ha comprobado cuál es la configuración predeterminada o cómo se debe implementar?

¿Se ha realizado una evaluación de impacto de protección de datos (DPIA)?

¿Se ha hecho una evaluación de seguridad durante la fase de prueba?

Las implementaciones en la nube no reducen su responsabilidad (Read more...)