Oracle: La adopción de la nube sigue creciendo, pero las brechas de seguridad persisten

Un estudio de la empresa estadounidense y KPMG encuentra que la confusión sobre las responsabilidades de seguridad en la nube y la falta de visibilidad complican la seguridad corporativa.

Kyle York, vicepresidente de estrategia de productos de Oracle Cloud Infrastructure.

Las compañías continúan trasladando las cargas de trabajo críticas para el negocio y sus datos más confidenciales a la nube, pero aún existen desafíos de seguridad, según el Informe de Amenazas en la Nube de Oracle y KPMG 2019,  publicado recientemente.

El informe encontró que el 72% de los encuestados considera que la nube pública es más segura que lo que pueden ofrecer en su propio centro de datos y están trasladando los datos a la nube, pero siguen existiendo brechas de visibilidad que pueden dificultar a las empresas entender dónde y cómo los datos críticos se manejan en la nube.

La encuesta también encontró un aumento proyectado de 3.5 veces en el número de organizaciones con más de la mitad de sus datos en la nube de 2018 a 2020, y el 71% de las organizaciones indicó que la mayoría de estos datos son confidenciales, frente al 50% del año anterior. Sin embargo, la gran mayoría (92%) señaló que les preocupa que los empleados sigan las políticas de la nube diseñadas para proteger esta información.

El informe encontró que la naturaleza crítica de los servicios en la nube ha hecho de la seguridad un imperativo estratégico. Los servicios en la nube ya no son elementos de IT terciarios, sino que cumplen funciones esenciales para todos los aspectos de las operaciones comerciales. El informe de 2019 identificó varias áreas clave en las que el uso del servicio en la nube puede presentar desafíos de seguridad para muchas organizaciones.

  • La confusión sobre el modelo de seguridad de responsabilidad compartida ha resultado en incidentes de ciberseguridad. El 82% de los usuarios de la nube han experimentado eventos de seguridad debido a la confusión sobre el modelo de responsabilidad compartida. Mientras que el 91% tiene metodologías formales para el uso de la nube, el 71% confía en que los empleados estén violando estas políticas, lo que lleva a instancias de malware y datos comprometidos.
  • El director de seguridad de la información está demasiado a menudo al margen de la seguridad en la nube. El 90% de los CISO (chief information security officer) encuestados están confundidos acerca de su función de asegurar un Software como Servicio (SaaS) frente al entorno del proveedor de servicios en la nube.
  • La visibilidad sigue siendo el principal desafío de seguridad. El principal desafío de seguridad identificado en la encuesta es detectar y reaccionar ante incidentes de seguridad en la nube, y el 38% de los encuestados lo nombran hoy como su mayor desafío. El 30% mencionó la incapacidad de los controles de seguridad de red existentes para proporcionar visibilidad de las cargas de trabajo de los servidores residentes en la nube como un desafío de seguridad.
  • El uso inadecuado de las aplicaciones en la nube y la falta de controles de seguridad ponen los datos en riesgo. El 93% de los encuestados indicaron que todavía están lidiando con “IT en las sombras”, en la que los empleados utilizan dispositivos personales no autorizados y un software de almacenamiento o de intercambio de archivos para datos corporativos. La mitad de las organizaciones mencionaron la falta de controles de seguridad y configuraciones erróneas como razones comunes para el fraude y la exposición de datos. El 26% de las organizaciones mencionó el uso no autorizado de los servicios en la nube como su mayor desafío de seguridad cibernética en la actualidad.

“Las cargas de trabajo más importantes del mundo se están trasladando a la nube, lo que aumenta la necesidad de una estrategia de seguridad coordinada, integrada y en capas”, dijo Kyle York, vicepresidente de estrategia de productos de Oracle Cloud Infrastructure.

“Comenzando con una plataforma en la nube creada para la seguridad y aplicando Inteligencia Artificial para salvaguardar los datos al mismo tiempo que se elimina la carga de las tareas administrativas y complejidad de aplicar los parches. Esto ayuda a las organizaciones a proteger su activo más crítico: sus datos”.

“A medida que las organizaciones continúan con la transición de pensar la gestión de la seguridad cibernética estrictamente con un enfoque en el manejo del riesgo a uno con foco en la innovación y el crecimiento empresarial, es importante que los líderes de las empresas alineen sus estrategias de negocio y seguridad cibernética”, dijo Tony Buffomante, Líder Servicios de Ciberseguridad de KPMG para  EE.UU.

“Al convertirse los servicios en la nube en una parte integral de las operaciones comerciales, existe una necesidad intensificada de mejorar la seguridad de la nube e integrar la seguridad en la nube en los planes de mitigación de riesgos estratégicos más amplios de la organización”.