10 de abril de 2023
Por Rodman Ramezanian - Global Cloud Threat Lead, Skyhigh Security
- Esto es lo que puede hacer al respecto
Con cambios globales masivos que sacuden el statu quo de cómo las organizaciones operan y aseguran los datos, no es de extrañar que en 2022 se vieran algunos cambios bastante enormes en muchas de las métricas de seguridad clave que rastreamos en nuestro informe anual: El dilema de los datos: adopción de la nube e informe de riesgos.
Empecemos por echar un vistazo general a las tendencias que impulsan estos cambios y al importante cambio de paradigma que se está produciendo en la actualidad.
La adopción de la nube se acelera
Aunque el cambio hacia los datos y los flujos de trabajo basados en la nube lleva en marcha al menos una década, la pandemia sirvió sin duda de catalizador que obligó a las organizaciones a adoptar entornos de trabajo híbridos y remotos más rápido de lo que muchas estaban preparadas. Esto ha tenido consecuencias notables en la seguridad. A raíz de estos cambios globales, muchas organizaciones se encuentran en una pronunciada curva de aprendizaje para abordar los problemas de seguridad que han surgido.
Surge un nuevo paradigma
La seguridad consiste fundamentalmente en proteger los datos. Ahora que los datos están en todas partes, residiendo fuera de la red corporativa tradicional, se ha vuelto aparentemente imposible protegerlos utilizando los medios tradicionales. Prueba de ello es que el 90% de las organizaciones de nuestro informe experimentaron una o más brechas de seguridad, el 89% sufrieron amenazas a la seguridad y el 80% sufrieron robos de datos. Además, la friolera del 75% de las organizaciones encuestadas experimentaron los tres problemas de seguridad combinados en 2022.
Lo que está claro ahora es que el enfoque estándar centrado en la protección de los datos sólo en su origen se está invirtiendo radicalmente. Está surgiendo un nuevo paradigma que se centra en proteger los datos en sí, en lugar del perímetro donde se almacenan. El concepto de una arquitectura de confianza cero es una parte importante de este cambio de paradigma y aborda muchos de los problemas que han surgido de esta transformación digital masiva.
Las organizaciones se enfrentan a un sinfín de problemas de seguridad
Las conclusiones de nuestro informe indican que son muchas las complejidades y los retos que plantea la seguridad de los datos en la nube. Los problemas de seguridad sobre los que informan las organizaciones en nuestro estudio incluyen:
- Las suposiciones y los errores de comunicación entre los miembros del equipo sobre quién es responsable de qué datos son habituales.
- Una media del 51% de los servicios SaaS en uso se ponen en marcha sin la supervisión de TI, y la falta de visibilidad de los datos afecta al 46% de esos servicios SaaS.
- Existe una falta de controles de seguridad adecuados o coherentes para los datos, acompañada de problemas de gestión.
- Una enorme avalancha de datos sensibles se está almacenando en la nube, con una media del 61% de los datos sensibles almacenados en la nube pública, lo que supone un aumento con respecto al 48% de nuestro último informe.
- Los riesgos de las TI en la sombra preocupan al 75% de las organizaciones, aunque el 60% de ellas permite a sus empleados descargar datos confidenciales en dispositivos personales, presumiblemente por motivos de productividad.
- La unión de soluciones puntuales no integradas genera complejidad en la gestión y lagunas en la seguridad.
- Los equipos de seguridad no dan abasto en un entorno de contratación difícil.
Con tantos problemas diferentes en juego, no es de extrañar que tantas organizaciones estén denunciando violaciones, amenazas y robos de datos. Los ciberdelincuentes están ansiosos por aprovecharse de la proliferación de datos sensibles que se almacenan en la nube.
Hay más datos sensibles en juego
En general, se ha producido un aumento del 50% en el número medio de servicios de nube pública en uso por parte de las organizaciones participantes en la encuesta. El número pasó de 20 en 2019 a 30 en 2022. Casi la mitad de los encuestados afirmaron que están almacenando datos de la competencia, información personal de clientes y/o documentación interna en estos servicios. Más de un tercio está almacenando información personal del personal, propiedad intelectual patentada y/o información de identificación gubernamental. Y cerca de una cuarta parte de los encuestados está almacenando información de tarjetas de pago, contraseñas de red y/o registros sanitarios en estos servicios de nube pública.
El robo de estos datos podría dañar la reputación de una empresa, su capacidad para operar y su posición financiera, especialmente si los reguladores multan a la empresa por no proteger los datos. Los requisitos de cumplimiento van en aumento junto con las ciberamenazas, por lo que es más importante que nunca que las organizaciones den prioridad a la seguridad.
Para reforzar aún más esto, para 2024, Gartner predice que el 75% de la población mundial tendrá sus datos personales cubiertos por las normativas de privacidad.
Las organizaciones están aumentando las inversiones en ciberseguridad
Para combatir estos problemas, las organizaciones están recurriendo a diversas soluciones, que van desde la formación de los empleados en ciberseguridad (52%) y la creación de planes de recuperación ante desastres/DLP (47%) hasta el aumento de la inversión en ciberseguros (47%). El 41% afirmó que planea avanzar hacia un modelo de seguridad de confianza cero y el 39% hacia un enfoque de microservicios.
En concreto, el 42% de las organizaciones de nuestro estudio utilizan soluciones cloud access security broker (CASB), el 28% soluciones de pasarelas web seguras (SWG) y el 23% medidas de data loss prevention (DLP) y cifrado una vez descubierta la TI en la sombra.
Más de la mitad de las organizaciones (56%) tienen previsto aumentar la inversión en ciberseguridad. Aunque todo esto está muy bien, no deja de ser indicativo de que las inversiones actuales en ciberseguridad son incapaces de manejar las complejidades de mantener los datos seguros en la nube. Los datos de la encuesta lo corroboran.
Nuestra conclusión
Los nuevos retos exigen nuevos enfoques y soluciones.
Como alternativa a las complejidades y posibles lagunas de seguridad derivadas de los productos puntuales, recomendamos una solución de borde de servicio seguro (SSE) que combine las soluciones CASB, SWG y DLP con zero trust network access (ZTNA) y la protección de aplicaciones nativas de la nube (CNAPP) en una plataforma integrada. Al simplificar e integrar la seguridad en una solución de un único proveedor, la seguridad puede gestionarse de forma centralizada desde un único panel de control. Una solución SSE aborda la mayoría de los problemas de seguridad descubiertos en nuestro informe, al tiempo que maximiza la eficacia y la productividad de los equipos de seguridad.
Según se desprende de la encuesta, una media de dos funciones por organización son responsables de la seguridad de los datos en la nube. Entre ellos se encuentran los directores de tecnología (48%), los directores de informática (37%), los directores de seguridad informática (35%), los directores de redes informáticas (29%), los directores de informática (28%), los directores de sistemas de información (22%) y los arquitectos informáticos (6%). Tener varias personas responsables de lo mismo puede hacer que la propiedad de las tareas sea confusa y dar lugar a suposiciones peligrosas. Una plataforma de SSE simplificaría enormemente la designación de funciones y responsabilidades entre los miembros del equipo, de modo que no se deje nada al azar y se cubran las lagunas de seguridad pertinentes.
El trabajo de asegurar los datos es más desafiante que nunca. Pero, con una plataforma SSE como base de una arquitectura de confianza cero, ese trabajo puede ser más fácil, y se puede disfrutar de las ventajas de la nube -escalabilidad, ahorro de costes y agilidad- sin sacrificar la seguridad.
Obtenga todos los detalles descargando el El dilema de los datos: Informe sobre adopción de la nube y riesgos.
Skyhigh Security, Blog sobre el informe de riesgos del dilema de los datos, elaborado por Mary Karlton, Envision Technology Marketing, 22 de marzo de 2023, V1
Volver a Blogs