La información confidencial almacenada en la nube, la colaboración SaaS y los errores de configuración IaaS / PaaS, junto con las amenazas a la nube, están en un punto crítico, según alerta McAfee.
McAfee ha presentado su Informe sobre Adopción y Riesgos en la Nube, que ha analizado miles de millones de incidentes en el uso de la nube de clientes anónimos para evaluar el estado actual de las ejecuciones y descubrir sus riesgos. El informe ha revelado que casi una cuarta parte de los datos en la nube pueden clasificarse como confidenciales, lo que compromete a la empresa en caso de robo o divulgación de la información.
Esto, junto con el hecho de que el intercambio de datos confidenciales en la nube aumenta un 53% cada año, hace que aquellos que no adopten una estrategia que incluya la protección de pérdida de datos, auditorías de configuración y controles de colaboración, pondrán en peligro la seguridad de los datos, el activo más valioso de las compañías, y tendrán un mayor riesgo de incumplir las regulaciones internas y externas.
El estudio ha puesto de manifiesto que, si bien las empresas utilizan la nube pública de forma agresiva para crear nuevas experiencias digitales para sus clientes, hay un promedio que experimenta más de 2.200 incidentes de configuración incorrecta por mes en su infraestructura como servicio (IaaS) y en su plataforma como servicio (PaaS). Los proveedores de servicios en la nube solo cubren la seguridad en sí, no los datos del cliente o el uso de la infraestructura y las plataformas por parte de los clientes. Las empresas son las responsables de proteger sus datos desde cualquier lugar, por lo que necesitan implementar soluciones de seguridad en la nube que abarquen todo el espectro, desde SaaS (software como servicio) hasta IaaS y PaaS.
“Operar en la nube ahora es lo normal, por lo que los empleados no se piensan dos veces el almacenar y compartir datos sensibles en ella,” ha asegurado Rajiv Gupta, vicepresidente de Cloud Security Business en McAfee. “El intercambio accidental, los errores de colaboración en los servicios de la nube SaaS, los errores de configuración en los servicios de nube IaaS / PaaS y las amenazas están aumentando. Las empresas necesitan una forma nativa y sin fricciones para proteger sus datos y defenderse de las amenazas en todo el espectro SaaS, IaaS y PaaS”.
El 21% de todos los archivos en la nube contienen datos confidenciales, con un aumento constante año tras año»
Colaboración en la nube
Los servicios en la nube ofrecen una valiosa oportunidad a las empresas. Box y las suites de productividad como Office 365 se utilizan para aumentar la fluidez y la eficacia de la colaboración. Sin embargo, colaborar significa compartir, y compartir sin control puede exponer datos confidenciales. Los hallazgos demuestran que:
- El 22% de los usuarios de la nube comparten archivos externamente, un crecimiento del 21% con respecto al año anterior.
- El intercambio de datos confidenciales con un enlace abierto y de acceso público, se ha incrementado en un 23%
- Los datos confidenciales enviados a una dirección de correo electrónico personal también aumentaron en un 12%
Para proteger los datos confidenciales en la nube, el uso compartido de archivos y las aplicaciones de colaboración, las compañías deben comprender primero qué servicios de la nube están en uso, conservar sus datos confidenciales, investigar cómo se comparten y con quién. Después, pueden aplicarse políticas de seguridad para prohibir que los datos confidenciales se almacenen en servicios en la nube no aprobados, y así proporcionar barreras de seguridad que eviten el intercambio de información, a través del correo electrónico personal o enlaces públicos.
IaaS y los riesgos de una mala configuración
Con SaaS, la protección de los datos, la identidad del usuario y el acceso a los datos es principalmente responsabilidad del cliente. Con IaaS, los clientes asumen una mayor responsabilidad en la seguridad de sus datos, identidad, acceso, aplicaciones, controles de red e infraestructura de host. Si bien esto brinda a los clientes la oportunidad de tener un mayor control sobre su infraestructura en la nube, también aumenta el área para los riesgos de seguridad. Los proveedores de IaaS, como Amazon Web Services (AWS), proporcionan servicios de infraestructura y plataforma, cada uno con una configuración de seguridad robusta y complicada.
El hecho de que las empresas utilicen múltiples proveedores de IaaS / PaaS que ejecutan varias instancias de cada proveedor aumenta el riesgo. El estudio de McAfee arroja que:
- El 94% del uso de IaaS / PaaS es AWS, pero el 78% de las organizaciones que usan IaaS / PaaS tienen AWS y Azure.
- Las empresas tienen un promedio de 14 instancias de IaaS / PaaS mal configuradas que se ejecutan a la vez, lo que genera más de 2.200 incidentes de configuración incorrecta al mes.
- El 5,5% de los grupos AWS S3 tienen permisos de lectura mundial, lo que los hace abiertos al público.
McAfee recomienda que las empresas auditen y monitoricen continuamente sus configuraciones de AWS, Azure, Google Cloud Platform y otras configuraciones IaaS / PaaS como una práctica de seguridad estándar, al tiempo que protejan los datos almacenados en las plataformas IaaS / PaaS. El uso de IaaS / PaaS es cada vez más una alternativa a los centros de datos locales. Las compañías deben cumplir con sus responsabilidades de seguridad – protección de datos y defensa de amenazas como lo harían con los servicios de nube SaaS y también con el cumplimiento de la configuración y la protección de los servicios de nube IaaS / PaaS, antes de experimentar un incidente de seguridad.
Fuente: computing.es
