Malas configuraciones de la nube o de la red son los principales errores que cometen los encuestados por Tenable para la elaboración de su estudio Perspectiva de seguridad en la nube 2024, lo que pone de manifiesto los obstáculos que las organizaciones enfrentan para proteger sus entornos de nube de forma eficaz.
En colaboración con la firma de encuestas independiente Global Surveyz, la muestra incluyó a 600 empleados a tiempo completo, 200 de Norteamérica (Estados Unidos, Canadá) y 400 de Europa (Francia, Alemania, España, Reino Unido), y se centró en los responsables de la seguridad en la nube.
El comercio minorista es el que reporta más exposición de datos confidenciales (72%), apenas después del sector tecnológico (73%), y muy por encima de otros como el de manufactura (57%), banca (53%) o sector público (38%).
“Hay muchas empresas que requieren interactuar con el usuario final, como el sector financiero, las telco o el comercio minorista. Esa infraestructura hoy es más rápida implementarla en la nube. Pero al mismo tiempo, muy pocos clientes tienen una claridad de quién entró a la nube, otorgan demasiados privilegios en el acceso a los datos o dan permisos riesgosos”, declaró en entrevista el gerente de Soluciones corporativas de Tenable, Juan Carlos Carrillo.
Además, el ejecutivo comentó que ante las caídas recientes de sistemas que se han registrado en sitios minoristas y otros casos de filtraciones de datos, hoy más que nunca se requiere de ciber resiliencia, y la necesidad de llevar a cabo auditorías se vuelve más urgente.
“Cada vez más habrá mayor necesidad de tener los datos almacenados en dos nubes cuando se habla de alta disponibilidad”, añadió Carrillo.
La nube es segura, pero las configuraciones no
La velocidad de adopción de los entornos de nube a los que se enfrentan los profesionales IT, mientras se ven obligados a mantener los sistemas on premises y atender el resto de sus responsabilidades, es en parte la explicación de los errores que cometen los encuestados.
Se almacenan datos en la nube sin los controles, la clasificación y la protección adecuada, de acuerdo con Carrillo, además de que existe todavía desconocimiento en esta área.
Casi todos los encuestados (99 %) confirmaron que las filtraciones de datos estaban relacionadas con las identidades y los permisos. Este hallazgo pone de manifiesto el papel fundamental que desempeña el gobierno de acceso en los entornos cloud.
El estudio de Tenable subraya el importante grado de incertidumbre en torno a quién es responsable de la seguridad en la nube.
Este hallazgo enfatiza la necesidad de que las organizaciones identifiquen y aprovechen mejor la responsabilidad de la seguridad en la nube que comparten dentro de sus organizaciones.
“Las iniciativas de este tipo son esenciales para impulsar la madurez de la seguridad en la nube y requieren herramientas que estén diseñadas para ofrecer gran facilidad de uso, visibilidad y colaboración entre los equipos de seguridad y desarrollo o DevOps”, se lee en el documento.
El impacto de la falta de experiencia
Se preguntó a los encuestados si la falta de experiencia en las áreas de infraestructura en la nube, o la administración de acceso e identidades (IAM por sus siglas en inglés) en dicha tecnología, afectaba los esfuerzos de su organización para proteger su infraestructura: 95% reconoció verse afectado por la falta de experiencia y 67 % señaló que esta carencia los ponía en riesgo.
Esta notable respuesta destaca la gravedad de la falta de experiencia en seguridad en la nube. Evidencia el papel fundamental de la tecnología para superar las brechas de personal capacitado y la necesidad imperiosa de herramientas que no solo sirvan como potenciadores de la fuerza al contribuir a que los equipos existentes sean más productivos, sino que también llenen el vacío que crea la falta de experiencia humana, se explica en la encuesta.
Existe una necesidad crítica de soluciones que permitan que las organizaciones adopten las prácticas recomendadas de seguridad y se adapten a la demanda de plataformas completas para desplazarse con eficacia por el intrincado panorama de la seguridad en la nube.
“Un rol trascendental en este tema es la auditoría y control interno. ¿Quién está hoy auditando la nube? Te aseguro que es menos de 5% de las organizaciones”, afirmó Carrillo en torno a estos riesgos.
Falta de estrategia, no hablar al negocio en su idioma
En la experiencia del entrevistado, quien fuera director de ciberseguridad, privacidad y forense en PwC, “el reto no es técnico, sino cómo el CISO establece los controles para que no haya riesgos. Y es también una falta de estrategia para hablarle al negocio en su idioma y obtener el presupuesto adecuado para las herramientas necesarias”, sentenció.
La plataforma de protección de aplicaciones nativas de nube (CNAPP) de Tenable puede monitorar las tres nubes principales, y en cada una analizar continuamente los recursos para encontrar los riesgos más importantes, las amenazas desconocidas y las combinaciones tóxicas en temas de seguridad, para ofrecer acciones inmediatas de remediación.
“Cuando defines en términos de negocio la necesidad de proteger las aplicaciones de nube como un todo, a través de una herramienta que te dé la visibilidad unificada del riesgo a lo largo de múltiples entornos de nube y se lo muestras a la alta dirección, entonces puede entender la necesidad de invertir en esos controles”, concluyó Carrillo.