Mientras yo caminaba Esta semana en los pasillos del enorme Centro de Convenciones de Boston para AWS re:Inforce, el evento anual de seguridad de la división, hablé con varios proveedores y un tema fue claro: la seguridad en la nube realmente es una responsabilidad compartida.
Esa idea ha existido durante algún tiempo, pero me llegó particularmente a casa esta semana cuando escuché a varios ejecutivos de seguridad de AWS hablar sobre ella en el discurso de apertura del evento y a través de las conversaciones posteriores que tuve durante la semana.
En un nivel muy alto, el proveedor de la nube tiene el primer nivel de responsabilidad por la seguridad. Tiene que asegurarse de que los centros de datos que ejecuta sean seguros en la medida en que esté bajo su control. Sin embargo, en algún momento, existe una zona gris entre la empresa y el cliente. Claro, el proveedor puede proteger el centro de datos, pero no puede evitar que el cliente deje un depósito S3 expuesto, sea cual sea el motivo.
La seguridad es una tarea tan compleja que ninguna entidad puede ser responsable de mantener un sistema seguro, especialmente cuando el error del usuario en cualquier nivel puede dejar un sistema vulnerable a piratas informáticos inteligentes. Tiene que haber canales de comunicación en todos los niveles de la organización, con los clientes y con terceros interesados.
Cuando un evento externo como la vulnerabilidad de Log4J o el exploit de Solarwinds afecta a toda la comunidad, no es un problema de un solo proveedor. Es problema de todos.
La idea es que todos tengan que comunicarse cuando surjan problemas, compartir las mejores prácticas y unirse como comunidad en la medida de lo posible para prevenir o mitigar los eventos de seguridad.