Según una investigación de Kaspersky Lab, 35% de las empresas admite no tener certeza si ciertas piezas de información corporativa estén almacenadas en servidores de la empresa o en los de sus proveedores de la nube.
Dado que los servicios en la nube permiten que las empresas aprovechen tecnologías esenciales para respaldar operaciones cotidianas y planes de crecimiento sin preocuparse por el mantenimiento o el elevado precio, no resulta sorprendente que 78% de las empresas ya esté utilizando al menos una plataforma basada en software como servicio (SaaS). La misma cantidad (75%) también tiene intenciones de trasladar más aplicaciones a la nube en el futuro. Respecto a la infraestructura como servicio (IaaS), casi la mitad (49%) de las grandes empresas y 45% de las pequeñas y medianas empresas busca subcontratar infraestructura de TI y procesos.
Sin embargo, para muchas organizaciones la velocidad de adopción y el atractivo de los costos y ahorros operativos han causado un detrimento en la seguridad, dado a que muchas utilizan servicios en la nube sin contar con una estrategia definida para la protección de su información. La incertidumbre sobre quién es responsable de la seguridad de los datos en la nube a menudo puede ser la razón detrás de esta situación.
La investigación de Kaspersky Lab encontró que 70% empresas que utilizan SaaS y proveedores de servicios en la nube no tiene un plan claro para lidiar con incidentes de seguridad que podrían afectar a sus socios. Una cuarta parte admite que ni siquiera verifica las credenciales de cumplimiento de su proveedor de servicios, sugiriendo que suponen que el proveedor tendrá que lidiar con las consecuencias en caso de que algo salga mal.
Sin embargo, tomando en cuenta que 42% de las empresas siente que no están protegidas adecuadamente contra incidentes que afectan a su proveedor de servicios en la nube y que una cuarta parte (24%) ha experimentado un incidente de seguridad que ha afectado la infraestructura de TI alojada por terceros en los últimos 12 meses, confiar solo en los proveedores de la nube para proporcionar protección completa podría ser una estrategia arriesgada.
Esta falta de planificación y responsabilidad de quienes adoptan la nube para la seguridad de su información podría tener graves consecuencias para las compañías, ocasionando un impacto financiero promedio para las grandes empresas de US$1.2 millones por incidente de seguridad relacionado con la nube, mientras que para las pymes es de US$100 mil.
Cuando los datos se han visto comprometidos como resultado de un incidente en que intervienen terceros, los tres principales tipos de datos afectados han sido:
• Información del cliente altamente sensible (experimentada por 49% de las pymes y 40% de las grandes empresas)
• Información básica de los empleados (35% de las pymes, 36% de las grandes empresas)
• Correos electrónicos y comunicación interna (31% de las pymes, 35% de las grandes empresas)
Por lo tanto, las empresas deben encontrar formas de controlar el zoológico que puede parecer la nube. Cada paquete de datos necesita estar protegido donde quiera que esté en un momento dado. Para hacerlo, las empresas requieren detectar anomalías dentro de sus infraestructuras de nube, y eso solo se puede lograr a través de una combinación de técnicas que incluyen aprendizaje automático y análisis de comportamiento. Esta capacidad de identificar y defenderse contra amenazas desconocidas es fundamental para la seguridad de la infraestructura en la nube. Además de eso, habilitar la visibilidad del ecosistema de la nube y su capa de seguridad cibernética dará a las empresas una visión clara de dónde residen los datos y si su estado de protección actual cumple con las normas de seguridad corporativas. Solo así las empresas podrán lograr el control total del zoológico de la nube, sin importar cuánta información se almacena y dónde lo hace.
Más información
El informe completo en https://www.kaspersky.com/blog/cloud-zoo/
