Symantec, la compañía de ciberseguridad líder en el mundo, reveló una nueva investigación en la que se evidencian las dificultades de las empresas para mantener el ritmo de la rápida expansión de la nube dentro de sus actividades comerciales.
El Reporte de Amenazas a la Seguridad en la Nube (CSTR, por sus siglas en inglés), realizó un sondeo a 1.250 encargados de tomar decisiones de seguridad alrededor del mundo, el cual reveló información que permite comprender mejor el panorama cambiante de la seguridad en la nube y muestra que las empresas han alcanzado un punto crítico: el 53% de toda la carga de trabajo de cómputo empresarial ha migrado a la nube. Sin embargo, las prácticas de seguridad difícilmente siguen el ritmo de este cambio: más de la mitad (54%) de las empresas admiten que es un desafío mantenerse a la vanguardia de las mejores prácticas de seguridad en la nube.
“La adopción de tecnología nueva casi siempre ha ocasionado brechas en la seguridad, pero hemos descubierto que la brecha creada por el cómputo en la nube supone un riesgo mayor del que percibimos, dado el gran valor de los datos confidenciales y esenciales para el negocio que se almacenan en la nube. De hecho, nuestra investigación muestra que el 69% de las organizaciones consideran que sus datos ya están en venta en la web oscura, y temen que el riesgo de las filtraciones de datos se incremente debido a su migración a la nube”, afirma Nico Popp, vicepresidente senior de Protección de la Nube y de la Información de Symantec.
“Las fugas de datos pueden tener un impacto evidente sobre las finanzas de las empresas, y los equipos de seguridad están desesperados por prevenirlas. No obstante, nuestro CSTR de 2019 muestra que no es la tecnología subyacente a la nube lo que ha complicado el problema de las fugas de datos, sino las prácticas de seguridad inmaduras, la carga excesiva impuesta sobre el personal de TI y los comportamientos riesgosos de los usuarios finales que hay en torno a la adopción de la nube”.
La modernización de la seguridad no va al ritmo de la nube
Las compañías están teniendo dificultades para modernizar sus prácticas de seguridad al mismo ritmo con el que adoptan la nube: el 73% de los encuestados, experimentaron un incidente de seguridad debido a prácticas inmaduras. La causa principal es la falta de visibilidad hacia el interior de las cargas de trabajo en la nube. Una abrumadora mayoría de los encuestados (93%) informaron tener problemas para monitorizar todas las cargas de trabajo en la nube. Por ejemplo, la investigación de Symantec mostró que, aunque las compañías calculan que usan en promedio 452 aplicaciones de nube, la cantidad real es casi cuatro veces mayor: 1.807.
Por su parte, Daryan Reinoso, Gerente de Ingeniería para América Latina de Symantec asegura que “a pesar de que las empresas entienden que el fenómeno de adopción en la nube es imparable, existe una necesidad de asegurar esta nueva forma de hacer negocios. Sin embargo, no están completamente claros de cómo hacerlo”.
La complejidad tiene efectos negativos
La adopción de la nube ha introducido mayor complejidad en la forma en que se implementan las TI, la experiencia y los conocimientos generales de los profesionales informáticos se enfrentan a la falta de visibilidad entre las aplicaciones, el almacenamiento de datos y las cargas de trabajo que se distribuyen en toda la nube. Según los encuestados, el almacenamiento de datos se ubica en más de un entorno, distribuyéndose entre sistemas de infraestructura como servicio (IaaS) privados (18%) y públicos (18%), sistemas en los servidores locales (18%) y SaaS (17%). Siendo una necesidad proteger los datos en donde quiera que estos se encuentren, se ha impuesto una carga excesiva sobre los equipos de TI.
En vista de ello, no es de sorprender que el CSTR revelara que el 25% de las alertas de seguridad en la nube quedan sin atenderse. Una proporción mayoritaria (64%) de los incidentes de seguridad ocurren en el ámbito de la nube, y más de la mitad de los encuestados admiten verse rebasados por los incidentes de seguridad. Aún más, el futuro se ve brumoso: el 83% consideran que no tienen procesos establecidos que les permitan actuar de manera efectiva ante los incidentes de seguridad en la nube.
Los comportamientos riesgosos se extienden de manera rampante
Uno de los mayores retos a los que se enfrentan los equipos de seguridad en su intento por tener control sobre la nube es el comportamiento riesgoso generalizado entre los usuarios. De acuerdo con los encuestados del CSTR, casi uno de cada tres empleados exhibe comportamientos riesgosos en la nube, y los propios datos de Symantec muestran que el 85% de ellos no aplican las mejores prácticas de seguridad. Como resultado de estos comportamientos riesgosos, a menudo se almacenan de manera indebida datos confidenciales en la nube, lo cual torna a las empresas más susceptibles a las fugas de datos: 93% de los encuestados del CSTR indican que la difusión excesiva representa un problema, y calculan que más de una tercera parte de los archivos que hay en la nube no deberían estar ahí. Además, la nube no es inmune al comportamiento riesgoso que invadió las tecnologías pasadas: los encuestados informan tener usuarios cuyos comportamientos de riesgo comunes incluyen usar contraseñas débiles (37%), emplear prácticas deficientes de protección de contraseñas (34%), utilizar aplicaciones de nube no autorizadas (36%) o conectarse con dispositivos personales (35%).
El camino a seguir
Para Daryan Reinoso una de las recomendaciones más relevantes consiste en promover un modelo de responsabilidad compartida, donde el proveedor del servicio como el usuario final sean responsables de los datos y la información que está custodiada.
Aunque la nube ha introducido nuevas eficiencias y capacidades en las empresas, el CSTR revela que muchas compañías no están atacando los riesgos de seguridad que la adopción de la nube ha traído consigo, lo cual incluye un mayor riesgo de que ocurran fugas de datos.
Invertir en plataformas de ciberseguridad de nube que aprovechen la automatización y la inteligencia artificial para complementar la visibilidad y aliviar la carga excesiva impuesta sobre los recursos humanos es una forma evidente de automatizar las defensas y hacer cumplir los principios de gobernanza de los datos. Sin embargo, a medida que las consecuencias de la ciberseguridad influyen cada vez más en el éxito de los negocios, también es momento de recalibrar la cultura empresarial y adoptar las mejores prácticas de seguridad en el ámbito humano.
Metodología
En el Reporte de las amenazas a la seguridad en la nube de 2019 de Symantec se comparan y contrastan las percepciones con respecto a las realidades de la seguridad en la nube; para ello se empleó de manera combinada un estudio de mercado externo en el que participaron 1.250 encargados de tomar decisiones de TI de 11 países de todo el mundo, y los resultados de este estudio se compararon con varios parámetros de telemetría de seguridad que Symantec rastrea en orígenes de datos de nube, correo electrónico, servicios de seguridad web, inteligencia sobre amenazas y otros orígenes de datos administrados de manera interna.