El modelado de amenazas consiste en identificar cuáles son las posibles amenazas para la organización y en particular para cada carga de trabajo en la nube. Se analiza cuales actores podrían tener interés en dañar la confidencialidad, integridad o disponibilidad de los sistemas, cuales serían sus potenciales caminos de ataque y metodología, y finalmente cuantificar el potencial impacto de cada amenaza si logra materializarse.
En la nube es posible alcanzar niveles de seguridad muy superiores a los que podemos lograr on-prem, y sugerimos a los analistas de seguridad en enfocarse más en lo que podemos hacer para reforzar la seguridad que en concentrarnos en el miedo por todo lo malo que podría llegar pasar. Es decir, los departamentos de seguridad deben transicionar del “departamento del NO” hacia un aliado de los equipos que buscan la innovación, mitigando los riesgos. (ver https://www.optimism-otter.com/culture.html)
Se recomienda analizar el blog de Cloud Security Alliance sobre los principales desafíos de seguridad en la nube:
https://cloudsecurityalliance.org/blog/2020/02/18/cloud-security-challenges-in-2020
y la matríz de mitre att&ck para AWS