Symantec realizó una nueva investigación acerca de la seguridad de los datos alojados en la nube. En ella revela que las empresas tienen dificultades para mantener la confidencialidad de sus datos en ese ámbito, lo cual afecta sus actividades comerciales.
Es el Reporte de las amenazas a la seguridad en la nube (Cloud Security Threat Report o CSTR), en el que Symantec revela información que permite comprender mejor el panorama cambiante de la seguridad en la nube, donde las empresas han alcanzado un punto crítico.
Filtración de datos
La investigación de Symantec es contundente: muestra que los datos de muchas empresas alojados en la nube quizá ya estén en manos de alguien más, es decir, en la web clandestina.
La adopción de tecnología nueva casi siempre ha ocasionado brechas en la seguridad, pero […] la brecha creada por la nube supone un riesgo mayor […] dado el gran valor de los datos confidenciales y esenciales para el negocio que se almacenan en la nube.
Nico Popp, Vicepresidente Senior de Protección de la Nube y de la Información de Symantec.
Es un problema que se ha hecho internacional, no por la migración a la nube en sí, sino por la falta de seguridad especializada o adecuada para este nuevo entorno.
Symantec afirma que en México, 81% de las empresas experimentaron un incidente de seguridad, 8% más que en el resto del mundo.
Sin embargo, en general, el 90% de los encuestados dijo tener problemas para monitorear y mantenerse al día con las cargas de trabajo de la nube.
Medidas de seguridad adecuadas
El panorama presentado por Symantec exige adoptar medidas de seguridad modernas ante la migración de datos a la nube, para evitar filtración de datos.
Las prácticas de seguridad actuales de muchas empresas difícilmente pueden adaptarse a este cambio: 54% indica que su seguridad no es capaz de adaptarse a la rápida expansión de las aplicaciones de nube, por tanto, no les es posible monitorear los procesos que se realizan en este espacio.
Un paquete de seguridad óptimo evitaría exponer a las empresas a mayores riesgos por amenazas infiltradas, un problema que los encuestados calificaron como la tercera mayor amenaza a la infraestructura de nube.
Por eso, Symantec recomienda:
- Monitorear todas las cargas de trabajo en la nube.
- Usar configuraciones eficientes y emplear cifrado o autenticación de múltiples factores (MFA, por sus siglas en inglés).
- Implementar MFA en configuraciones de infraestructura como servicio (IaaS, por sus siglas en inglés). 80% de las empresas no utilizan cifrado.
Atención deficiente
Por otra parte, el CSTR reveló que 25% de las alertas de seguridad en la nube quedan sin atenderse. Por eso:
- Es imprescindible atender todas las alertas de seguridad en la nube.
A esto se suman los procesos complejos de la nube, que dificultan la forma en que se implementan las TI, ya sea en la nube pública, la nube privada, entornos híbridos o en las instalaciones. Por lo tanto, se ven rebasados por los incidentes de seguridad. De esta manera, Symantec recomienda otra medida:
- Establecer procesos que permitan actuar de manera efectiva ante los incidentes de seguridad en la nube.
Comportamientos riesgosos
Por otro lado, la investigación de Symantec menciona que uno de cada tres empleados exhibe comportamientos riesgosos en la nube, y que el 85 % de ellos no aplica las mejores prácticas de seguridad. De esta manera, otra medida es:
- Capacitar a los usuarios para evitar prácticas riesgosas en la nube. Los comportamientos de riesgo comunes son usar contraseñas débiles (37%), emplear prácticas deficientes de protección de contraseñas (34%), utilizar aplicaciones de nube no autorizadas (36%) o conectarse con dispositivos personales (35%).
Estos comportamientos riesgosos incluyen almacenar de manera indebida datos confidenciales en la nube, lo cual vuelve a las empresas más susceptibles a las fugas de datos.
En porcentajes
En resumen, el Reporte de las amenazas a la seguridad en la nube de Symantec revela que:
- 73% de los encuestados experimentaron un incidente de seguridad debido a prácticas de seguridad inadecuadas.
- 93% informó tener problemas para monitorizar todas las cargas de trabajo en la nube.
- 83% considera que no tiene procesos establecidos que le permitan actuar de manera efectiva ante los incidentes de seguridad en la nube, y 25% de las alertas de seguridad en la nube quedan desatendidas.
- 93% indica que la difusión excesiva es un problema; calcula que más de una tercera parte de los archivos que hay en la nube no deberían estar ahí.
- En México, tan solo el 17% de las alertas de seguridad en la nube no son atendidas, mucho menos que el promedio mundial.
El camino a seguir
Symantec concluye que la nube ha introducido nuevas eficiencias y capacidades en las empresas, pero también nuevos riesgos. Uno de ellos es la fuga de datos.
Invertir en plataformas de ciberseguridad de nube que aprovechen la automatización y la inteligencia artificial para complementar la visibilidad y aliviar la carga excesiva impuesta sobre los recursos humanos es una forma evidente de automatizar las defensas y hacer cumplir los principios de gobernanza de los datos.
Sin embargo, a medida que las consecuencias de la ciberseguridad influyen cada vez más en el éxito de los negocios, también es momento de recalibrar la cultura empresarial y adoptar las mejores prácticas de seguridad en el ámbito humano.