1 de cada 4 organizaciones que utilizan la nube pública ha sido víctima de robo de datos
Un nuevo estudio señala que la mala visibilidad es el mayor obstáculo a superar para la adopción en la nube.
McAfee, la compañía de ciberseguridad del dispositivo en la nube, ha dado a conocer su tercer informe anual sobre adopción y seguridad en la nube, "Navigating a Cloudy Sky: Practical Guidance and the State of Cloud Security". El informe describe el estado actual de la adopción del cloud, las principales preocupaciones respecto a los servicios públicos y privados de la nube, las implicaciones de seguridad y el impacto del Shadow IT para los más de 1400 profesionales de TI encuestados.
La falta de visibilidad y control son los mayores obstáculos a superar para la adopción en la nube. No obstante, el valor de negocio de la nube –Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) y Infrastructure-as-a-Service (IaaS)- es tan convincente que algunas organizaciones están avanzando en la adopción cloud. Afortunadamente, las modernas prácticas y herramientas cloud no requieren que las organizaciones tomen esa difícil decesión entre la velocidad del negocio y la seguridad de los datos.
"A pesar del predominio de incidentes de seguridad en la nube, la adopción del cloud por parte de las empresas sigue adelante", afirma Rajiv Gupta, Vicepresidente de la Unidad de Negocio de Seguridad en la Nube de McAfee. "Gracias a la implementación de medidas de seguridad que permiten a las organizaciones recuperar la visibilidad y el control de sus datos, las empresas pueden aprovechar la nube para acelerar su negocio y mejorar la seguridad de sus datos".
Servicios en la nube casi omnipresentes
Casi todas las organizaciones están bien posicionadas respecto a la adopción cloud. De acuerdo al informe, el 97% de los profesionales de TI de todo el mundo está utilizando algún tipo de servicio en la nube y, al mismo tiempo, trabajando en cuestiones relacionadas con la visibilidad y el control.
La combinación de nube pública y privada también se ha convertido en la arquitectura más popular. En este sentido, el 59% de los encuestados señala que está utilizando un modelo cloud híbrido. Si bien el uso privado es prácticamente similar en organizaciones de todos los tamaños, el uso del modelo híbrido crece acorde al tamaño de la organización. De esta forma, varía desde un 54% en organizaciones de hasta 1.000 empleados a un 65% en empresas con más de 5.000 empleados.
Cloud First es la estrategia de la mayoría de las organizaciones, pero parece estar en declive
Cloud-First es una estrategia TI que establece que los nuevos proyectos deberían considerar el uso de la tecnología cloud en lugar de servidores o software locales. De acuerdo al informe, Cloud-First es la estrategia TI principal para muchas organizaciones. No obstante, algunas compañías están apostando por un enfoque más prudente. De esta forma, el número de organizaciones con una estrategia Cloud-First ha descendido de un 82% a un 65% este año. A pesar de los incidentes de seguridad registrados, los encuestado que cuentan con una estrategia Cloud-First aún creen que la nube pública es más segura que la nube privada; entienden los riesgos y, sin embargo, cuanto más saben, más seguros están estos profesionales IT de que quieren seguir una estrategia Cloud-First.
Datos confidenciales almacenados en la nube
La mayoría de las organizaciones almacena algunos o todos sus datos confidenciales en la nube pública, sólo un 16% afirma que no almacena datos confidenciales en la nube. Los diferentes tipos de datos almacenados comprenden toda la gama de información sensible y confidencial. Así pues, el 61% de las compañías señala que la información personal de cliente es, con diferencia, la más común. Además, alrededor del 40% de los encuestados también almacena documentación interna, información de tarjetas de pago, datos de los trabajadores o datos de identificación del gobierno. Finalmente, en torno a un 30% almacena datos referentes a la propiedad intelectual, registros de atención médica, inteligencia competitiva y tarjetas de acceso a la red en la nube.
Gestionar el riesgo de almacenar datos confidenciales en la nube pasa por asegurarse de que la organización tenga visibilidad y control de estos datos. Un enfoque basado en la gobernanza de los datos y en llevar a cabo ciertos pasos tecnológicos, que pueden tener que ver con requerir a los departamentos y al personal que participen en la identificación, clasificación y rendición de cuentas en lo referente a los activos, ayuda a generar esta visibilidad. La integración de la prevención de pérdida de datos con los proveedores de la nube, incluido el uso de Cloud Access Security Brokers, la clasificación de datos manual o automatizada y otros pasos tecnológicos, ayudarán a reducir el riesgo de que la información confidencial se vea comprometida a través de los servicios en la nube.
Incidentes de seguridad
Una de cada cuatro organizaciones que usan IaaS o SaaS ha sido víctima de robo de datos. Asimismo, una de cada cinco empresas ha experimentado un ataque avanzado contra su infraestructura de nube pública. A medida que las organizaciones se preparan para el nuevo Reglamento General de Protección de Datos (GDPR), que entrará en vigor el próximo 25 de mayo, van a aumentar los esfuerzos por cumplir esta nueva normativa. Las organizaciones que más confían en la capacidad de sus proveedores de servicios cloud tienen más probabilidades de planificar un aumento de sus inversiones generales en la nube el próximo año. Por otra parte, aquellas empresas con menos confianza en sus proveedores en la nube mantendrán sus inversiones al nivel actual. De esta forma, menos de un 10% de las organizaciones anticipa una reducción de su inversión en la nube a causa del GDPR.
El malware sigue siendo una preocupación para todo tipo de organizaciones. Así pues, el 56% de los profesionales encuestados señalan que han monitorizado una infección de malware cuyo origen se encuentra en una aplicación en la nube, frente al 52% que lo hizo en 2016. Respecto a cómo ha llegado el malware a esta empresas, el 25% de los encuestados afirma que sus infecciones de malware en la nube fueron causadas por el phishing.
Disminuye la escasez de habilidades en ciberseguridad
La escasez de habilidades en ciberseguridad y su impacto en la adopción de la nube continúa disminuyendo. De esta forma, el dato de aquellos que informaron que no hay escasez de habilidades ha aumentado de un 15% a un 24% este año. Respecto a aquellas organizaciones que aún señalan que existe una escasez de habilidades en ciberseguridad, sólo un 40% ha disminuido su adopción en la nube, frente al 49% del año pasado. Las tasas de adopción cloud son más altas en aquellas organizaciones que reportaron los niveles más altos de habilidades y formación en ciberseguridad.
Best Practices y recomendaciones
En base a las conclusiones del informe, McAfee recomienda algunas prácticas que todas las organizaciones deberían poner en marcha de forma activa:
• DevOps y DevSecOps han demostrado mejorar la calidad del código y reducir los exploits y vulnerabilidades. Integrar los procesos de desarrollo, calidad y seguridad dentro de la unidad de negocio es fundamental para operar a la velocidad de las demandas actuales del mercado empresarial.
• Incluso los profesionales de seguridad con más experiencia encuentran dificultades para mantenerse al día respecto al volumen y ritmo de sus propias implementaciones. La automatización que encontramos en herramientas como Chef Puppet o Ansible es un elemento imprescindible en las operaciones de TI modernas y no es diferente con la adopción en la nube.
• Las múltiples herramientas de gestión hacen que resulte muy sencillo que algo se nos escape. Un sistema de gestión unificado a través de múltiples nubes con un tejido de integración abierto, reduce los costes, la complejidad y aumenta la seguridad.