Documentos de Académico
Documentos de Profesional
Documentos de Cultura
para la nube de
Oracle y KPMG
2020
Abordando las configuraciones de seguridad
en medio de un estado de constante cambio
02
Contenido
03 Resumen ejecutivo 13 La brecha en la preparación 28 La gestión de la configuración 42 Las altas expectativas del
de la seguridad en la nube de la nube través de DevSecOps machine learning
11 Destaque: Están surgiendo las verdaderas 20 Los desafíos y las ramificaciones de 35 Vista previa: La misión del CISO centrado 50
implementaciones de nube híbrida la gestión de configuración de la nube en la nube Apéndice
21 El consumo de la nube está creando puntos 51 Metodología de investigación
ciegos en la visibilidad
22 Las organizaciones no están siguiendo la
36 Ciberataques y el fraude 51 Demografía de los participantes
en los negocios
regla del mínimo privilegio
La adopción de la
nube se expande
y diversifica
Los diversos usos de servicios y
plataformas en la nube definen los
entornos de multinube híbrida
Volver al contenido 07
Las aplicaciones críticas de negocios se están trasladando hacia las nubes públicas
El hecho de que casi 9 de cada 10 que son la columna vertebral de ¿Qué porcentaje de tus aplicaciones de negocios críticos
empresas que participaron en el estudio sus operaciones de negocios — son SaaS? ¿Cómo esperas que esto cambie en los
de este año están utilizando Software planificación de recursos empresariales
próximos 24 meses? (Porcentaje de encuestados)
como servicio (SaaS) no cuenta toda la (ERP), gestión de relaciones con clientes
historia de la adopción de SaaS. Detrás de (CRM), gestión de capital humano
esta estadística, está el uso generalizado (HCM), gestión de servicio de TI (ITSM),
de SaaS para la productividad y y más — ahora están en proceso de
colaboración de oficina y, en particular, trasladarse hacia la nube.
un aumento planificado en SaaS para
las aplicaciones críticas para el negocio.
La expansión de SaaS como un modelo La expansión de SaaS como
de consumo y mecanismo de entrega
incluye la pila completa de aplicaciones un modelo de consumo
críticas para el negocio, desde interfaces
de front-office de contacto con el y mecanismo de entrega
cliente, pasando por procesamiento de incluye la pila completa de
transacciones de middle-office, hasta
operaciones de back-office. aplicaciones críticas para el
A la hora de consumir las aplicaciones
negocio, desde interfaces
críticas para el negocio como servicio (i.e. de front-office de contacto
vía SaaS), las organizaciones mencionan,
en promedio, un aumento del 9% durante con el cliente, pasando
los próximos 24 meses. Este cambio a
SaaS para aquellas aplicaciones que son por procesamiento de
verdaderamente de misión crítica, es
otro indicador de que las empresas están
transacciones de middle-
cada vez más cómodas con la postura de office, hasta operaciones
seguridad de los proveedores de servicios
de nube. De hecho, las aplicaciones de back-office.
Volver al contenido 10
Los términos "nube híbrida" y "multinube" siguen ¿Alguna de las cargas de trabajo de tu empresa actualmente se ejecuta en este modo híbrido?
fomentando la confusión. Sin embargo, para la mayoría (Porcentaje de encuestados, N=750)
de las organizaciones, los entornos de multinube híbrida
son en efecto, el rostro de los centros de datos modernos.
Ya que las definiciones están en orden, para fines del
informe de este año, los entornos de multinube son
simplemente aquellos que utilizan los servicios de más
de un proveedor de servicios en nube. Aunque una nube
híbrida podría simplemente significar tener tanto un centro
de datos gestionado por el cliente como una huella en
una plataforma IaaS pública, podremos observar nubes
híbridas a nivel de aplicaciones, en las cuales los niveles de
una aplicación se implementan tanto en un entorno on-
premises como en una nube pública.
La brecha en la preparación
de la seguridad en la nube
Al no estar preparadas para la velocidad de uso de la
nube, las organizaciones luchan con el reequipamiento
Volver al contenido 14
Las herramientas
especiales están
aumentando la
necesidad de seguridad
La brecha en la preparación de la seguridad en la nube
se manifiesta en diversos desafíos para los encuestados,
incluyendo diferencias de entornos, siendo que el
78% señaló que las diferencias entre las aplicaciones e
infraestructuras residentes en la nube y on-premises,
requieren un conjunto diferente de políticas y procesos
de seguridad. Dichas diferencias de entornos han
conducido directamente a la adquisición de nuevos
controles discretos, lo que presenta una complejidad
adicional. En este punto, el 70% de los participantes en
nuestra encuesta dijeron que se necesitan demasiadas
herramientas especializadas para proteger su huella de
nube pública.
Los desafíos y
las ramificaciones
de la gestión de
configuración
de la nube
Muchos no están siguiendo las mejores
prácticas, lo que conduce a la pérdida de
datos y a la necesidad de reestructurar.
Volver al contenido 21
Destaque: Los secretos de la Mencionaste que tu organización descubrió secretos de nube sin
protección (ej., contraseñas, claves API, claves de cifrado, credenciales
nube desprotegida aumentan la de administrador). ¿Dónde se ubican estos secretos? (Porcentaje de
encuestados N=226, se admitieron varias respuestas)
vulnerabilidad de los negocios
De los tipos de servicios en nube mal configurados que fueron informados por
nuestros encuestados, uno es de particular preocupación: los secretos de la nube sin
protección (i.e., contraseñas, claves API, claves de cifrado y credenciales de cuenta de
administrador y servicio). Conectemos algunos descubrimientos de esta investigación.
El servicio en nube mal configurado que se cita más frecuentemente, las cuentas
con privilegios en exceso, está relacionado directamente con los secretos de la
nube sin protección. Es evidente que estas credenciales son buscadas por los
atacantes, debido al alto porcentaje de las organizaciones que informaron ataques
de phishing de objetivo definido, diseñados para robar credenciales privilegiadas de
nube. Las credenciales de nube privilegiadas pueden usarse para obtener acceso a
más secretos de nube y, desde allí, a una amplia variedad de servicios en nube que
incluyen almacenes de datos, como bases de datos y almacenes de objetos.
La protección de las ¿Qué de lo siguiente es resultado directo de los problemas que su organización sufrió
con la mala configuración de los servicios en la nube? (Porcentaje de encuestados)
configuraciones de
la nube requieren un
enfoque en la identidad
Los servicios en la nube mal configurados sirvieron
como catalizador para que muchos iniciaran la
reorganización de sus procesos y controles de seguridad
en la nube, con un enfoque en proteger el perímetro
humano a través de fuertes medidas de gestión de
identidad y acceso. En ese punto, el principal resultado
directo de servicios en nube mal configurados, como
los citó más de la mitad (51%) de los encuestados, fue la
adopción de la autenticación de múltiples factores (MFA)
para sus cuentas de nube más críticas.
Volver al contenido 27
Necesitamos pensar en estas cuentas uso moderado de la MFA para proteger ¿Para cuál de los siguientes tipos de servicios y sistemas en la nube tu
y credenciales como el equivalente en el acceso a repositorios de gestión de organización utiliza o piensa utilizar la autenticación multifactor (MFA)?
la nube de aquellos que proporcionan código fuente (SCM).
(Porcentaje de encuestados N=695, se admitieron varias respuestas)
acceso privilegiado a controladores de
dominio on-premises. Dado el daño que Pero la MFA realmente debería ser vista
se puede hacer con el acceso irrestricto a como algo esencial. Afortunadamente,
las credenciales privilegiadas de la nube nuestros encuestados están de acuerdo
como medio para poner en riesgo los y están haciendo más para proteger el
servicios esenciales de la nube, el informe elemento humano que la mera aplicación
de este año tiene una clara llamada a de la MFA para bloquear el acceso a
la acción: todas las cuentas de nube los servicios en la nube. Casi la mitad
que requieran el uso de credenciales de estas organizaciones también están
privilegiadas deben ser protegidos implementando una solución de analítica
mediante el uso de la MFA. de comportamiento de entidad de
usuario (UEBA). Y todo esto se conecta
¿Cómo nos va con la MFA cuando se a través de la autenticación adaptativa
trata de proteger cuentas críticas de que representará un desafío secundario
nube? Menos de la mitad de nuestras en el caso de que una solución UEBA
organizaciones participantes están detecte actividad anómala, un abordaje
utilizando la MFA para acceder a consolas que debería aplicarse a algo más que las
de gestión de nube, herramientas de cuentas privilegiadas.
orquestación de DevOps y cuentas de
administración para sus aplicaciones de
negocios SaaS. También tiene que ver un
La gestión de la configuración
de la nube través de DevSecOps
DevSecOps
• C
olaboración: El 40% dijo que DevSecOps
se admitieron tres respuestas) fomenta un alto nivel de colaboración entre
desarrollo, gestión de infraestructura, propietarios
Para que la seguridad no se quede fuera del proceso de desarrollo, de aplicaciones y profesionales de ciberseguridad,
integración y entrega de software, debe integrarse en la automatización un pilar de la cultura de DevOps.
CI/CD. Los encuestados coinciden plenamente, la principal razón de
que las empresas que empleen o prevean emplear DevSecOps es • E
ficiencia: El 40% señaló que DevSecOps le
mejorar la postura de seguridad al incorporar la seguridad en cada permite obtener mayor eficiencia operativa
etapa de la cadena de herramientas de entrega continua con respecto a la automatización, siempre un
beneficio bienvenido dado que los equipos de
ciberseguridad cuentan con recursos limitados.
son inmutables.
Volver al contenido 33
Una revisión de las descripciones de trabajo del BISO en las bolsas de trabajo
revela un tema central para esta función: la integración de una cultura de la
seguridad en la empresa. Nuestros encuestados coinciden, más de la mitad ¿Qué tan verdaderamente involucrado ha estado el CISO en proyectos en la nube? ¿A las
señaló que la adición de un BISO encargado de colaborar con el CISO, fue un organizaciones les parece que su CISO añade valor estratégico de tal forma que les gustaría
catalizador para hacer que el CISO se involucre más en sus proyectos de nube. que se involucrara en más cosas? ¿Y qué pasa con el impacto de la brecha en la preparación
de la seguridad en la nube en la seguridad en el trabajo? ¿Los CISO son responsabilizados
por las fallas en la protección de datos y privacidad? ¿Las organizaciones contratan CISO
proclives a la nube que tienen más conocimientos acerca de la seguridad en la nube?
Una revisión de las descripciones de trabajo
del BISO en las bolsas de trabajo revela un La evolución del papel del CISO es un tema básico de seguridad en la nube que
exploraremos en otro informe de esta serie, La misión del CISO centrado en la nube.
tema central para esta función: la integración
de una cultura de la seguridad en la empresa.
36
Ciberataques y
el fraude en los
negocios
Los delincuentes ahora roban credenciales ¿Las cuentas privilegiadas de nube de algún miembro de su organización han estado en riesgo por un
privilegiadas mediante phishing selectivo, para acceder ataque de phishing diseñado para robar sus credenciales de nube? (Porcentaje de encuestados, N=236)
a los servicios críticos de nube de una organización,
así como a los datos asociados con dichos servicios.
Una lección clave del informe de este año, es que las
credenciales privilegiadas de nube son las nuevas
llaves de este reino. Por desgracia, un asombroso
59% de los entrevistados en la investigación dijeron
que credenciales de cuentas privilegiadas de nube
pertenecientes a miembros de su organización han
estado en riesgo debido a ataques de phishing.
Las credenciales
privilegiado de nube
son las nuevas llaves
de entrada al reino
Volver al contenido 39
Con base en las estadísticas compartidas por el FBI Internet Crime Center (IC3) en
su Informe de criminalidad en Internet de 2019, de casi 500.000 denuncias, el BEC
es claramente un buen negocio para los ciberdelincuentes. El informe señala que las
estafas BEC realizadas en 2019 rindieron US$1,8 mil millones para los perpetradores,
lo que es la mitad de los US$3,5 mil millones atribuidos a la ciberdelincuencia, un
notable incremento interanual de 500 millones de dólares en fraude BEC. Y siendo
que muchos casos BEC no son denunciados, estas estadísticas probablemente
subestiman el impacto financiero real de BEC y otros tipos de fraude cibernético.
En resumen: La cultura es
el catalizador para cerrar la
brecha en la preparación
Volver al contenido 49
La seguridad ha sido vista con demasiada frecuencia Ser un catalizador para lograr un cambio cultural
como un impuesto sobre el negocio, y torpemente pero en el seno de tu organización, de modo que el uso
literalmente, atada a los proyectos ya en producción. La de los servicios y las aplicaciones en la nube no esté
alarmante brecha de preparación de la seguridad en la nube en contradicción con tus objetivos de ciberseguridad.
que se ha expuesto en el informe de este año, revela que el
consumo de servicios en nube impulsados por la línea de
negocios, amenaza con hacer que las consideraciones de Conviértete en un experto del
seguridad estén aún más rezagadas. El incesante ciclo de modelo de responsabilidad
phishing, el malware, el aumento de los fraudes cibernético compartida de la seguridad en
y una gama de servicios de nube mal configurados, ponen la nube para eliminar cualquier
más presión en la ya desafiada ciberseguridad. ambigüedad sobre cómo tú y
tus proveedores de servicios
El imperativo de la seguridad en la nube de fusionar de nube dividen la protección
agendas en paralelo, que aprovechen los servicios en la del portafolio de tu empresa de
nube para obtener agilidad para el negocio y gestionar los servicios en la nube.
riesgos asociados, puede obtenerse al enfocarse en algunas
iniciativas críticas.
Aprovechar la automatización de DevSecOps como un
El informe de este año explora muchos temas importantes medio para implementar las mejores prácticas repetibles
mientras se reserva otras cuestiones igualmente críticas de gestión de configuración de nube, para proteger todo
para explorarlas en futuros informes que se publicarán en el ciclo de vida de las aplicaciones en la nube.
el transcurso de 2020. Concluimos el primero de una serie
de Informes de Amenazas para la Nube de Oracle y KPMG
de este año, ofreciendo un tema para todos los informes:
la cultura. Es esencial que compartamos mejores prácticas, Conviértete en experto sobre el fraude de
aprendizajes y consejos los unos con los otros para ayudar negocios cibernético para proteger mejor lo
a todas las organizaciones a proteger su recorrido hacia la que será el uso ampliado de las aplicaciones
nube, abordando las cuestiones tácticas, como la gestión SaaS en todas las áreas de tu negocio.
de configuración de nube, con una cultura de seguridad
primero.
50
Apéndice
Volver al contenido 51
Doug Cahill,
Vicepresidente y Director de Grupo de Enterprise Strategy
Group
Jon Oltsik
Analista Principal Sénior de Enterprise Strategy Group
Oracle es la empresa líder en innovación y soluciones de seguridad construidas sobre Mejorar el rendimiento de las empresas, convertir el riesgo y el cumplimiento de normas en
la infraestructura de Gen2 Oracle Cloud. Más información de cómo Oracle puede oportunidades, desarrollar estrategias y mejorar el valor, son cosas que están en el núcleo de lo
ayudarte a proteger tu recorrido hacia la nube y habilitar una experiencia digital segura. que hacemos para las organizaciones líderes. Más información en: http://read.kpmg.us/cyber
Copyright © 2020, Oracle y/o sus filiales. Todos los derechos reservados. Este documento se proporciona solamente con fines
informativos, y su contenido está sujeto a cambios sin previo aviso. Además, no se garantiza que esté libre de errores ni que esté sujeto
a cualquier otra garantía o condición, ya sea comunicada oralmente o implícita en la legislación, incluidas las garantías y condiciones
implícitas de comercialización o las garantías de adecuación para un fin particular. Negamos específicamente cualquier responsabilidad
con relación a este documento, que no supone ninguna obligación contractual, ya sea de manera directa o indirecta. Este documento
no se puede reproducir ni transmitir de ninguna forma ni por ningún medio, electrónico o mecánico, para ningún fin, sin nuestra
autorización previa por escrito. Oracle y Java son marcas comerciales registradas de Oracle y/o sus filiales. Otros nombres pueden ser
marcas comerciales de sus respectivos propietarios. VDL50794 200429
El nombre y el logotipo de KPMG son marcas comerciales o marcas registradas de KPMG International. La información aquí contenida
es de naturaleza general y no pretende abordar las circunstancias particulares de ningún individuo o entidad. Aunque nos esforzamos
en proporcionar información precisa y oportuna, no puede haber ninguna garantía de que dicha información sea exacta a partir de la
fecha en que se reciba, o de que seguirá siendo precisa en el futuro. Nadie debe actuar con base en dicha información sin la asesoría
profesional adecuada tras un examen minucioso de la situación particular.
La información contenida en esta publicación ha sido obtenida por fuentes que The Enterprise Strategy Group (ESG) considera
confiables, pero no está garantizada por ESG. ESG logo © 2020 by The Enterprise Strategy Group, Inc. Todos los derechos reservados.