Intel Security ha dado a conocer su segundo informe anual sobre seguridad en la nube, “Construyendo Confianza en un Cielo Nublado”, para el que ha encuestado a más de 2000 profesionales TI. Este estudio describe el estado actual de la adopción de la nube, las principales preocupaciones relacionadas con los servicios en la nube privada y pública, las implicaciones en materia de seguridad y la evolución del impacto del Shadow TI.
“Actualmente, la estrategia ‘Cloud First’ está presente en la arquitectura de muchas organizaciones en todo el mundo”, afirma Raj Samani, CTO en EMEA de Intel Security. “El deseo de avanzar rápidamente hacia la computación en la nube está en la agenda de la mayoría de las organizaciones. Este año, los encuestados señalan que el tiempo medio que van a tardar en destinar el 80% de sus presupuestos a Cloud es de 15 meses. Este dato indica que el ‘Cloud First’ está progresando y es un objetivo prioritario para muchas empresas.”
Aumento de la confianza en la nube
La confianza en los servicios de la nube pública mejora año tras año. Así pues, muchas organizaciones consideran tanto o más seguros los servicios en la nube pública que los de la privada. También destacan de la primera los costes más bajos en la propiedad y la visibilidad global de los datos. En este sentido, observamos que aquellos que confían en la nube pública superan en más del doble a los que desconfían de ésta.
La mejora de esta confianza y una mayor comprensión de los riesgos por parte de los altos directivos, está animando a más organizaciones a almacenar datos confidenciales en la nube. De acuerdo al estudio, la información personal de los clientes son los datos más comunes almacenados en las nubes públicas, así lo manifiesta el 62% de los encuestados.
Los riesgos también aumentan: Shadow TI y falta de talento en ciberseguridad
La escasez de habilidades en seguridad afecta al despliegue en la nube. Así lo reconoce casi la mitad de las organizaciones encuestadas, que afirman que la falta de talento en ciberseguridad ha frenado la adopción o el uso de servicios en la nube, contribuyendo, en cierta medida, al aumento de las actividades asociadas al Shadow IT. Por el contrario, el 36% reconoce que, aunque estén experimentando esa escasez de habilidades en ciberseguridad, continúan con sus actividades en la nube. Por último, sólo el 15% de los encuestados considera que no sufre escasez de talento en ciberseguridad.
La facilidad en la contratación de soluciones cloud ha supuesto que casi el 40% de los servicios en la nube se contraten sin tener en cuenta a los departamentos IT. Como consecuencia, la visibilidad de los servicios Shadow IT ha caído del 50% en 2016, a un 47% este año. Además, el 65% de los profesionales IT piensa que este fenómeno está dificultando su capacidad para mantener la nube segura. Esta situación, en realidad, no es sorprendente si tenemos en cuenta la cantidad de datos sensibles que se guardan en la nube pública; más de la mitad (un 52%) de los encuestados asegura que ha detectado un malware a través de una aplicación SaaS en la nube.
El avance de los centros de datos
El número de organizaciones que utiliza la nube privada ha caído del 51% al 24% en el último año, mientras que el uso de nubes híbridas ha aumentado del 19% al 57 %. Este paso hacia una arquitectura de nube híbrida, privada o pública, requiere que los centros de datos evolucionen, a su vez, hacia una infraestructura altamente virtualizada y en la nube. De media, el 52% de los servidores de los ‘data center’ de las empresas están virtualizados, el 80% usa otros almacenamientos y la mayoría espera que la conversión a un centro de datos tenga lugar en los próximos dos años.
Recomendaciones:
Los atacantes buscan objetivos fáciles, independientemente de si son públicos, privados o híbridos. En este sentido, la mejor defensa es la implementación de soluciones de seguridad integradas, que proporcionan visibilidad en todos los servicios de la organización.
Las credenciales de usuario, especialmente para los administradores, son uno de los objetivos de ataque más frecuentes. Por ello, las organizaciones deben asegurarse de que están utilizando las mejores prácticas de autenticación; tales como, contraseñas distintas, autenticación por múltiples factores e incluso datos biométricos.
Las técnicas de seguridad como la prevención de pérdida de datos, el cifrado y los CASB son recursos infrautilizados. La integración de estas herramientas en un sistema de seguridad aumenta la visibilidad, permite identificar servicios en la sombra y proporciona opciones para la protección automática de datos sensibles, en reposo o en movimiento, en cualquier tipo de entorno.
Las organizaciones tienen que evolucionar hacia un enfoque de gestión de riesgos en cuanto a la seguridad de la información. En este sentido, deberían considerar la puesta en marcha de una estrategia de ‘Cloud First’ para fomentar la adopción de servicios en la nube, reducir costes, aumentar la flexibilidad y disponer de operaciones de seguridad proactivas en lugar de reactivas.
Metodología de la encuesta
En otoño de 2016, Intel Security encuestó a 2000 profesionales de IT procedentes de diferentes industrias, países y organizaciones de diferentes tamaños. La muestra está formada por profesionales técnicos senior de pequeñas, medianas y grandes organizaciones ubicadas en Australia, Brasil, Canadá, Francia, Alemania, Japón, México, Arabia Saudí, Singapur, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.
Fotografía (c) Mikhail Hoboton Popov vía Shutterstock
Lea el informe completo (requiere registro)
