Hasta el 81 % de las organizaciones han experimentado un incidente de seguridad relacionado con la nube en los últimos 12 meses. Casi la mitad (45 %) sufrió al menos cuatro incidentes. La importancia de la ciberseguridad: el 81% de las compañías han tenido un incidente en el último año.
Así lo revela un estudio de Venafi. Se trata de un proveedor de gestión de identidades de máquinas, que ha evaluado la complejidad de los entornos en la nube y su impacto en la ciberseguridad.
El problema subyacente de estos incidentes de seguridad es el aumento drástico de la seguridad y la complejidad operativa relacionada con las implementaciones en la nube. Y dado que las organizaciones en este estudio actualmente albergan dos quintas partes (41 %) de sus aplicaciones en la nube pero esperan aumentar al 57 % en los próximos 18 meses, esta complejidad seguirá aumentando.
La importancia de la ciberseguridad: el 81% de las compañías han tenido un incidente en el último año
Más de la mitad (51 %) de los responsables de la toma de decisiones de seguridad (SDM) en el estudio creen que los riesgos de seguridad son mayores en la nube que en las instalaciones, citando varios problemas que contribuyen a esos riesgos. Los incidentes de seguridad relacionados con la nube más comunes que han experimentado los encuestados son los siguientes.
- Incidentes de seguridad durante el tiempo de ejecución (34%).
- Acceso no autorizado (33%).
- Configuraciones incorrectas (32 %).
- Principales vulnerabilidades que no han sido remediadas (24%).
- Una auditoría fallida (19%).
Las principales preocupaciones operativas y de seguridad que tienen los SDM en relación con el cambio a la nube son estas.
- Secuestro de cuentas, servicios o tráfico (35%).
- Malware o ransomware (31%).
- Problemas de privacidad/acceso a datos, como los del RGPD (31 %).
- Acceso no autorizado (28%).
- Ataques a estados nacionales (26%).
Kevin Bocek, vicepresidente de estrategia de seguridad e inteligencia de amenazas de Venafi, dijo: “Los atacantes ahora están de acuerdo con el cambio de las empresas a la computación en la nube».
“El objetivo de ataque más maduro en la nube es la gestión de identidades, especialmente las identidades de las máquinas. Cada uno de estos servicios en la nube, contenedores, clústeres de Kubernetes y microservicios necesita una identidad de máquina autenticada, como un certificado TLS, para comunicarse de forma segura. Si alguna de estas identidades se ve comprometida o mal configurada, aumenta drásticamente los riesgos operativos y de seguridad”.
Una vez más, la falta de visibilidad es un problema
El estudio también investigó cómo se asigna actualmente la responsabilidad de proteger las aplicaciones basadas en la nube entre los equipos internos. Esto varía ampliamente entre las organizaciones, siendo los equipos de seguridad empresarial (25 %) los que tienen más probabilidades de administrar la seguridad de las aplicaciones en la nube. Van seguidos de los equipos de operaciones responsables de la infraestructura de la nube (23 %). Se trata de un esfuerzo de colaboración compartido entre varios equipos (22 %). Después tenemos los desarrolladores que escriben aplicaciones en la nube (16 %) y equipos DevSecOps (10 %). Sin embargo, la cantidad de incidentes de seguridad indica que ninguno de estos modelos es efectivo para reducir los incidentes de seguridad.
Cuando se preguntó quién debería ser responsable de la seguridad de las aplicaciones basadas en la nube, nuevamente, no hubo un consenso claro. La opción más popular comparte la responsabilidad entre los equipos de operaciones de infraestructura en la nube y los equipos de seguridad empresarial (24 %). Las siguientes opciones más populares son compartir la responsabilidad entre varios equipos (22 %), dejar la responsabilidad con los desarrolladores que escriben aplicaciones en la nube (16 %) y los equipos DevSecOps (14 %).
Los desafíos relacionados con los modelos de responsabilidad compartida es que los equipos de seguridad y los equipos de desarrollo tienen metas y objetivos muy diferentes. Los desarrolladores deben moverse rápido para acelerar la innovación, mientras que los equipos de seguridad a menudo no tienen visibilidad de lo que están haciendo los equipos de desarrollo. Sin esta visibilidad, los equipos de seguridad no pueden evaluar cómo se comparan esos controles con las políticas de seguridad y gobernanza.