Más allá de la perfección de la configuración: Redefinición de la "seguridadCloud

20 de marzo de 2025

Durante años, la definición de "seguridadcloud " ha girado en torno a la corrección de errores de configuración de los recursos y la aplicación del acceso con menos privilegios. Estas prácticas tienen un sentido intuitivo: al fin y al cabo, si una cloud se configura correctamente teniendo en cuenta el mínimo privilegio, debe ser segura, ¿no?

Pero, ¿y si este enfoque nos lleva por mal camino?

En realidad, la obsesión por la perfección de la configuración puede no ser tan impactante como pensamos. Aunque remediar los errores de configuración es valioso, también puede crear una falsa sensación de seguridad y gastar mucha energía, desviando la atención de abordar holísticamente el riesgo cloud .

La trampa oculta de "pensar rápido" en la seguridad de Cloud

¿Y si nuestros instintos sobre la seguridad cloud nos han llevado en la dirección equivocada?

Comprender la tendencia del cerebro a confiar en la intuición es crucial para mitigar los errores en la toma de decisiones basadas en el riesgo. Como demuestra el trabajo de Daniel ^Kahneman1, la intuición puede conducir a menudo a una falsa confianza, especialmente peligrosa cuando se gestiona un entorno complejo de seguridad cloud .

Observo que muchas organizaciones actúan por instinto, creyendo que los errores de configuración y la búsqueda del acceso con menos privilegios definen el alcance de las actividades de seguridad cloud . Este instinto visceral "parece correcto" y es un ejemplo de lo que Kahneman denomina pensamiento del Sistema 1: rápido, intuitivo y a menudo erróneo.

Aunque centrarse en solucionar los errores de configuración de los recursos parece natural, este enfoque puede crear puntos ciegos en la estrategia de seguridad. Un exceso de confianza en este método puede llevar a pasar por alto otros controles críticos.

Por qué "Postura Perfecta" sienta tan bien

Solucionar los errores de configuración de cloud crea un bucle de retroalimentación inmediata. Cada problema resuelto da una sensación de progreso, similar al golpe de dopamina de completar una tarea en una lista de comprobación. Los equipos de seguridad se sienten productivos y los cuadros de mando muestran tendencias a la baja, lo que refuerza la creencia de que el riesgo está disminuyendo.

Medir algo no lo convierte automáticamente en algo significativo. La seguridad Cloud va más allá de las correcciones de configuración: exige una comprensión más profunda de la evolución del panorama de las amenazas, la ampliación de la superficie de ataque y las tácticas que utilizan los adversarios. En última instancia, estos esfuerzos deben servir a un propósito mayor: minimizar el riesgo cibernético real de la organización, no sólo marcar casillas de cumplimiento.

El problema del sesgo de confirmación

¿Sólo tenemos en cuenta los datos que apoyan lo que ya creemos?

El sesgo de confirmación lleva a los equipos de seguridad a centrarse en actividades que coinciden con las creencias existentes. Cuando las organizaciones asumen que abordar las configuraciones erróneas y esforzarse por conseguir el mínimo privilegio son las únicas actividades necesarias para una cloud segura, pueden pasar por alto otras oportunidades de reducción de riesgos, como una buena gobernanza de cloud , la capacidad de recuperación o la respuesta a incidentes.

Este sesgo se ve reforzado por los informes anuales de tendencias del sector, las herramientas de seguridad y las listas de comprobación del cumplimiento que priorizan el trabajo definido por el proveedor frente a abordar el riesgo cibernético con controles variables: un enfoque de cinturones y tirantes.

Como resultado, los equipos de seguridad pueden dedicar un tiempo excesivo a remediar problemas menores, hiperenfocándose en la larga cola de la remediación mientras dejan otras funciones de su organización inmaduras y sin preparación para un incidente de seguridad cloud .

Cuando las métricas nos engañan

Las métricas pretenden responder a la pregunta "¿cómo lo estamos haciendo?", pero también pueden reforzar los sesgos, especialmente cuando miden el progreso en una tarea concreta en lugar de compararlo con un objetivo más amplio. Del mismo modo, los cuadros de mando a menudo destacan la reducción de los errores de configuración abiertos o las mejoras en las puntuaciones de cumplimiento, pero estas cifras no se correlacionan necesariamente con la reducción del riesgo en el mundo real.

Por ejemplo, una herramienta CSPM puede mostrar un descenso significativo de las desconfiguraciones a lo largo del tiempo, pero esto no indica si los atacantes tienen menos oportunidades de explotar el entorno. Sin el contexto adecuado, estas métricas pueden ser engañosas.

Correlación ≠ Causalidad: Informes anuales de seguridad Cloud

¿Cuántas estadísticas de seguridad se sacan de contexto?

Los informes del sector destacan con frecuencia estadísticas alarmantes, como:

"El 61% de las organizaciones tienen un usuario root o propietario de cuenta sin MFA".
"El 82% de los usuarios de AWS Sagemaker tiene un portátil expuesto a Internet".

‍

‍

Estas afirmaciones implican que las organizaciones corren un riesgo importante. Sin embargo, el contexto importa.

Los usuarios raíz sin MFA configurado pueden ser el patrón seguro de una organización de AWS bien gobernada. Un servicio expuesto públicamente puede tener controles adicionales basados en la identidad o detectives que mitiguen el riesgo de un endpoint expuesto.

‍

El peligro de las muestras de datos volátiles en los informes sobre amenazas

Los equipos de seguridad suelen reaccionar a los cambios en los informes del sector sin cuestionar su importancia estadística. Una técnica clasificada como el 46º vector de ataque más común un año puede saltar al 4º lugar al siguiente, disparando la alarma y la movilización de recursos.

Sin embargo, los datos que sustentan estas clasificaciones suelen basarse en una muestra limitada de la base de clientes de un único proveedor de seguridad. Además, si el número de clientes analizados cambia significativamente año tras año, la tendencia puede ser engañosa.

Incluso informes ampliamente respetados, como el Data Breach Investigations Report (DBIR) de Verizon, reconocen las limitaciones de las fuentes de ^datos2, citando la fluctuación de la participación año tras año. En consecuencia, las organizaciones deben evaluar críticamente las tendencias extraídas de fuentes de datos inestables antes de utilizarlas para tomar decisiones en materia de seguridad.

Tomar decisiones sobre seguridad Cloud pensando despacio

Para tomar decisiones sostenibles para su organización de seguridad, debe pasar a lo que Daniel Kahneman describe como pensamiento del Sistema 2: lento, deliberado y lógico.

A diferencia del Sistema 1, rápido, subconsciente y propenso a errores, el Sistema 2 permite una toma de decisiones compleja, consciente, esforzada y fiable. En lugar de reaccionar a cada alerta de error de configuración con una respuesta del Sistema 1, las organizaciones deben dar un paso atrás y activar el Sistema 2 para evaluar el riesgo de forma holística.

Es decir:

Implicar consciente y deliberadamente a todas las funciones de su organización de seguridad, desde la gobernanza a la detección, pasando por la respuesta y la recuperación.
Priorizar los esfuerzos teniendo en cuenta la probabilidad y el impacto de las amenazas mediante un análisis del esfuerzo.
Al pasar de una mentalidad reactiva a un enfoque estratégico, los equipos de seguridad pueden tomar decisiones más informadas y fiables que se ajusten a los riesgos del mundo real.

‍

El coste de oportunidad de dar prioridad a la perfección postural

Toda decisión tiene un coste de oportunidad, lo que no es menos cierto a la hora de priorizar esfuerzos en una organización de seguridad. Cuando se dedica una excesiva capacidad intelectual a la corrección de errores de configuración y a los privilegios mínimos, puede que se disponga de menos capacidad para:

Detección de amenazas y respuesta a incidentes.
Automatización y orquestación de la seguridad.
Gobernanza y gestión de riesgos.

Más allá de la postura perfecta

Las organizaciones deben reconocer los rendimientos decrecientes de cualquier enfoque único de la seguridad cloud . La búsqueda incesante de la perfección en la configuración debe equilibrarse con una perspectiva más amplia.

No se fíe de las métricas que refuerzan los prejuicios existentes, como el mero recuento de errores de configuración corregidos. En su lugar, elabore métricas que midan la reducción general del riesgo y la resistencia, reflejando su postura de seguridad.

Para orientar la asignación de recursos y la toma de decisiones en entornos complejos, aproveche marcos establecidos como el Marco de Ciberseguridad del NIST, garantizando un enfoque holístico de la seguridad. Además, evite crear un equipo aislado de seguridad en Cloud nube sobre el que recaiga una carga excesiva. En su lugar, fomente una cultura de responsabilidad compartida, implicando a toda la organización en la propiedad del riesgo de cloud .

Referencias

_{[1]: Daniel Kahneman Pensamiento: Rápido y Lento:}_{https://www.goodreads.com/book/show/11468377-thinking-fast-and-slow}

_{[2]: Verizon Data Breach Report -2024: https://www.verizon.com/business/resources/reports/2024-dbir-data-breach-investigations-report.pdf}

‍

¿Quiere saber más?

Vectra® es el líder en detección y respuesta a amenazas cloud híbrida basadas en IA de seguridad. La plataforma y los servicios de Vectra cubren la cloud pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como cloud. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la apropiación de identidades y otros ciberataques que afectan a su organización.

Si quiere saber más, póngase en contacto con nosotros y le mostraremos exactamente cómo lo hacemos y qué puede hacer para proteger sus datos. También podemos ponerle en contacto con uno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.

Contáctenos