Las empresas no pueden seguir el ritmo de adaptación de la nube
El 93% informa de problemas al mantener las pestañas en todas las cargas de trabajo en la nube.
Symantec Corp, compañía referente en ciberseguridad, ha anunciado un nuevo estudio que revela que las empresas se esfuerzan en mantener su seguridad al día frente a la rápida expansión de la nube dentro de sus negocios.
Después de encuestar a 1.250 responsables de seguridad en todo el mundo, el nuevo Informe de amenazas de seguridad en la nube de Symantec ofrece información importante sobre el cambiante panorama de la seguridad en la nube, al haber encontrar que las empresas alcanzan un punto de inflexión: más de la mitad de toda su carga de trabajo de computación se ha migrado en la nube. No obstante, las prácticas de seguridad tienen difícil seguir este ritmo, con más de la mitad de las empresas reconociendo que la seguridad en la nube de su organización no puede mantenerse al día ante la rápida expansión de las aplicaciones cloud.
Nico Popp, vicepresidente senior de Cloud & Information Protection, dijo que: “La adopción de nueva tecnología casi siempre ha generado brechas en la seguridad, pero hemos descubierto que la brecha creada por la computación en la nube representa un peligro mayor del que pensábamos, dada la cantidad de datos confidenciales y críticos para el negocio almacenados en la nube. De hecho, nuestro estudio muestra que el 69% de las organizaciones creen que sus datos ya están a la venta en la web oscura, y piensan que el riesgo de que se produzca una violación de datos es aún mayor debido a su traslado a la nube”.
Las empresas se encuentran en plena lucha de modernización de sus procedimientos de seguridad, al mismo ritmo que adoptan la nube. El 73% experimentó un incidente de seguridad debido a prácticas poco consolidadas. La falta de visibilidad de las cargas de trabajo en la nube es la causa principal: la gran mayoría de los encuestados informa de problemas a la hora de mantener un control de todas las cargas de trabajo en la nube. Los datos de CSTR muestran que el 65% de las organizaciones no implementan MFA en las configuraciones de IaaS y el 80% no usa cifrado.
La adopción de la nube supone una mayor complejidad en la forma en la que se implementan las TI y en el lugar en el que se deben de proteger los datos. Los equipos TI están sobrecargados. Por eso no sorprende que el CSTR revele que el 25% de las alertas de seguridad en la nube no se atienden.
La mayoría de los incidentes de seguridad se producen en la nube, y más de la mitad de los encuestados admiten que no pueden ocuparse de todos ellos.
Uno de los mayores desafíos para los equipos de seguridad que intentan controlar la nube, es el comportamiento alocado y sin control de los usuarios. Según los encuestados por el CSTR, casi uno de cada tres empleados muestra un comportamiento de riesgo en la nube, y los datos propios de Symantec muestran que el 85% no sigue buenas prácticas de seguridad.
Como resultado de estos comportamientos de riesgo, los datos confidenciales con frecuencia se almacenan de manera inadecuada en la nube, lo que hace que las empresas sean más susceptibles a una violación. El 93% de los encuestados por el CSTR afirma que el intercambio excesivo es un problema, y estima que más de un tercio de los archivos en la nube no deberían estar allí.
Además, la nube no es inmune a los comportamientos de riesgo que se prodigaron en tecnologías pasadas: los encuestados comentan la existencia de usuarios con contraseñas débiles, sin hábitos de seguridad, que usan aplicaciones en la nube no autorizadas y que se conectan con dispositivos personales, como prácticas de riesgo más habituales.
Aunque la nube aporta nuevas eficiencias y capacidades a la empresa, el CSTR revela que hay un número elevado de empresas que no se está enfrentando a los riesgos de seguridad que ha introducido la adopción de la nube, incluido un mayor riesgo de que tengan lugar brechas de datos.
La inversión en plataformas de ciberseguridad en la nube, que se benefician de la automatización y la inteligencia artificial para complementar la visibilidad y la realidad de unos equipos sobrecargados, es una forma clara de automatizar las defensas y hacer cumplir los principios de gobernabilidad de los datos.
Sin embargo, a medida que las consecuencias de la ciberseguridad tienen un impacto mayor en el éxito empresarial, también es hora de redefinir la cultura y adoptar las mejores prácticas de seguridad en lo que a las personas se refiere.