Hasta el 81 % de las organizaciones han experimentado un incidente de seguridad relacionado con la nube en los últimos 12 meses, y casi la mitad (45 %) sufrió al menos cuatro incidentes. El 81% de las empresas tuvo un incidente de seguridad en la nube en el último año.
Así lo revela un estudio de Venafi. Se trata de un proveedor de gestión de identidades de máquinas, que ha evaluado la complejidad de los entornos en la nube y su impacto en la ciberseguridad.
El problema subyacente de estos incidentes de seguridad es el aumento drástico de la seguridad y la complejidad operativa relacionada con las implementaciones en la nube. Y dado que las organizaciones en este estudio actualmente albergan dos quintas partes (41 %) de sus aplicaciones en la nube pero esperan aumentar al 57 % en los próximos 18 meses, esta complejidad seguirá aumentando.
Más de la mitad (51 %) de los responsables de la toma de decisiones de seguridad (SDM) en el estudio creen que los riesgos de seguridad son mayores en la nube que en las instalaciones. Citan para ello varios problemas que contribuyen a esos riesgos. Los incidentes de seguridad relacionados con la nube más comunes que han experimentado los encuestados son los siguientes.
- Incidentes de seguridad durante el tiempo de ejecución (34%).
- Acceso no autorizado (33%).
- Configuraciones incorrectas (32 %).
- Principales vulnerabilidades que no han sido remediadas (24%).
- Una auditoría fallida (19%).
El 81% de las empresas tuvo un incidente de seguridad en la nube en el último año
Las principales preocupaciones operativas y de seguridad que tienen los SDM en relación con el cambio a la nube son estos.
- Secuestro de cuentas, servicios o tráfico (35%).
- Malware o ransomware (31%).
- Problemas de privacidad/acceso a datos, como los del RGPD (31 %).
- Acceso no autorizado (28%).
- Ataques a estados nacionales (26%).
Kevin Bocek, vicepresidente de estrategia de seguridad e inteligencia de amenazas de Venafi, dijo lo siguiente. “Los atacantes ahora están de acuerdo con el cambio de las empresas a la computación en la nube».
El estudio también investigó cómo se asigna actualmente la responsabilidad de proteger las aplicaciones basadas en la nube entre los equipos internos. Esto varía ampliamente entre las organizaciones. Los equipos de seguridad empresarial (25 %) son los que tienen más probabilidades de administrar la seguridad de las aplicaciones en la nube. Van seguidos de los equipos de operaciones responsables de la infraestructura de la nube (23 %), un esfuerzo de colaboración compartido entre varios equipos (22 %). Desarrolladores que escriben aplicaciones en la nube (16 %) y equipos DevSecOps (10 %). Sin embargo, la cantidad de incidentes de seguridad indica que ninguno de estos modelos es efectivo para reducir los incidentes de seguridad.
¿Quién le pone el cascabel al gato?
Cuando se preguntó quién debería ser responsable de la seguridad de las aplicaciones basadas en la nube, nuevamente, no hubo un consenso claro. La opción más popular comparte la responsabilidad entre los equipos de operaciones de infraestructura en la nube y los equipos de seguridad empresarial (24 %). Las siguientes opciones más populares son compartir la responsabilidad entre varios equipos (22 %), dejar la responsabilidad con los desarrolladores que escriben aplicaciones en la nube (16 %) y los equipos DevSecOps (14 %).
Los desafíos relacionados con los modelos de responsabilidad compartida es que los equipos de seguridad y los equipos de desarrollo tienen metas y objetivos muy diferentes. Los desarrolladores deben moverse rápido para acelerar la innovación. Mientras tanto, los equipos de seguridad a menudo no tienen visibilidad de lo que están haciendo los equipos de desarrollo. Sin esta visibilidad, los equipos de seguridad no pueden evaluar cómo se comparan esos controles con las políticas de seguridad y gobernanza.