Los servicios en la nube ganan fuerza. ¿La seguridad se mantiene?
- Gestión de IT
Un investigador del Instituto SANS encuestó a expertos sobre sus preocupaciones sobre seguridad en la nube, listas de deseos y más. Descubra su conclusión sobre si la seguridad en la nube está mejorando.
Si hay una falta de seguridad de los datos en los entornos de la nube o no es un tema de acalorado debate. Para ayudar a despejar el ambiente, Dave Shackleford, un respetado consultor de seguridad e instructor del Instituto SANS, realiza una encuesta anual entrevistando a analistas de seguridad de una amplia gama de industrias, incluida tecnología, ciberseguridad, banca y finanzas, y gobierno.
El interés de Shackleford está bien fundamentado en base al rápido crecimiento de los servicios basados en la nube. "Gartner estima que 2017 verá un crecimiento del 18 por ciento en el gasto de servicios en la nube pública y que la adopción de la nube influirá en más del 50 por ciento del gasto de TI hasta 2020", escribe Shackleford en el documento Seguridad en la nube: Defensa en detalle si no en profundidad. Además, Deloitte Global predice que TI como un Servicio capturará más de la mitad de todos los gastos de TI para 2022.
¿Qué se está subiendo a la nube?
Desde el punto de vista de la seguridad, se trata de los datos: ¿qué se mueve a la nube? El gran cambio está en la información del cliente. "El porcentaje que dijo que sus organizaciones almacenan información de identificación personal (PII) de los clientes en la nube aumentó del 35 por ciento en 2016 al 40 por ciento este año", señala Shackleford.
¿Cuáles son las principales preocupaciones sobre la seguridad en la nube?
Con una cantidad cada vez mayor de datos confidenciales almacenados en la nube, Shackleford preguntó a los participantes de la encuesta si tenían algún problema de seguridad. Los dos mejores fueron:
- Acceso no autorizado a los datos por parte de terceros: 62%
- Los usuarios pueden evadir los controles de seguridad usando dispositivos digitales no administrados: 60%
Shackleford añade que "otras preocupaciones giran en torno al potencial de desastre creado por la incapacidad de investigar cuando alguien ha sido violado, la falta de higiene de los datos y el personal deshonesto en los proveedores de servicios en la nube".
Además de las preocupaciones, se les preguntó a los participantes si alguna de sus preocupaciones se concretaba o no.
"En 2016, el 45 por ciento de los encuestados indicaron que experimentaron algunos períodos de inactividad en la nube, y este número solo alcanzó el 18 por ciento en 2017", escribe Shackleford. "En 2016, muchos también declararon que experimentaron una falta de visibilidad en la nube (38 por ciento), y este número está muy por debajo en 2017 (10 por ciento)".
Shackleford sugiere que los encuestados podrían estar enfocándose en los métodos de ataque incorrectos. Como se mencionó anteriormente, a los participantes les preocupa sobre todo el "acceso no autorizado por parte de terceros".
Seguridad en la nube: panorama general
La encuesta examinó el estado general de la seguridad en la nube de las organizaciones participantes, y Shackleford reúne las siguientes conclusiones.
Falta de confianza: el 58% de los que respondieron no tenían confianza, pero consideraban que tenían cierta capacidad para mitigar el riesgo. "Esto puede indicar una frustración general por parte de estas organizaciones más que una verdadera impotencia", agrega Shackleford. "O puede ser el resultado de una falta de comprensión del modelo de responsabilidad compartida y la delineación de las responsabilidades del cliente y del proveedor de servicios comunes a la mayoría de los proveedores de la nube".
Mejora de la gobernanza: los encuestados han mejorado sus políticas de apoyo, con el 62% mencionando que cuentan con políticas de seguridad en la nube y buen gobierno (hasta un 48% en 2016).
Interna o externa: los resultados de la encuesta indican que las organizaciones continúan teniendo éxito en la externalización de los controles de seguridad en la nube, incluido algún movimiento desde la seguridad interna hacia la seguridad como servicio (SecaaS).
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.