La tecnología de la nube ha tenido (y seguirá teniendo) un gran impacto en las empresas; la comodidad y facilidad con la que permite realizar operaciones escalables y trabajar desde cualquier sitio ha permitido aumentar la productividad en todas partes; sin embargo, los riesgos asociados todavía se perciben de manera tenue, y la mayoría de empresas aprenden sobre la marcha.
Errores en la nube; un problema que subsanar
Según un estudio de Cloud (In)Security, que analiza las estadísticas de trabajo en la nube de más de 260.000 millones de transacciones diarias en todo el mundo (mediante Zscaler), concluye que la mayoría del tejido empresarial tiene errores de configuración críticos para su infraestructura.
Según el informe, el 98,6% de las organizaciones tienen errores de configuración que provocan riesgos críticos para los datos y la infraestructura. Esta estadística es alarmante, ya que revela que la mayoría de los ciberataques en nubes públicas se deben a errores de configuración, más que a vulnerabilidades.
Los errores de configuración de las nubes relacionados con el acceso público a los buckets de almacenamiento, los permisos de las cuentas, el almacenamiento y la gestión de contraseñas, etc., han provocado la exposición de miles de millones de registros.
Errores Cloud peligrosos
Más allá de los errores cloud y vulnerabilidades, las cuentas comprometidas representan el 97,1% de las empresas que usan controles de acceso de usuarios sin la aplicación de la autenticación multi-factor.
Así, obtener acceso a datos en la nube se vuelve muy sencillo, y permite a los piratas informáticos eludir la detección y lanzar un sinfín de ataques; a pesar de los riesgos, muchas organizaciones siguen sin limitar adecuadamente los privilegios, acceso de usuarios y por supuesto, no aplican verificaciones multi-factor.
Además, el 59,4% de las organizaciones no aplican controles básicos de ransomware para el almacenamiento en la nube. Estas cifras muestran que las organizaciones tienen que asumir la responsabilidad de configurar y mantener su propio entorno de nube.
Algo que podría ayudar sería contar con un servicio de gestión de seguridad que identifique errores de configuración y, junto con la gestión de derechos de infraestructura, utilizarse para identificar problemas de permisos y evitar ataques de identidad y accesos no permitidos.
Sin embargo, dichos entornos están cubiertos por una responsabilidad compartida en materia de seguridad con el proveedor de servicios, y la adecuada configuración de estos entornos es responsabilidad de cada organización. En un espacio tan hostil como es Internet, los protocolos de seguridad deberían ser un pilar fundamental para evitar disgustos que desemboquen en catástrofe.