La gran mayoría de las organizaciones han sufrido al menos un incidente de ciberseguridad relacionado con la nube en los últimos 12 meses, afirma un nuevo informe de Venafi.
Descubrió que la creciente complejidad y la falta de claridad sobre de quién es realmente la responsabilidad de la seguridad en la nube son dos de los principales contribuyentes a estos incidentes.
Según Venafi, el 81% de las empresas experimentó al menos un incidente de este tipo en el último año. Casi la mitad (45%) sufrió hasta cuatro incidentes.
Seguridad y riesgos operacionales
La mayoría de las veces, experimentan incidentes de seguridad durante el tiempo de ejecución (34 %), acceso no autorizado (33 %), configuraciones incorrectas (32 %), vulnerabilidades importantes que no han sido reparadas (24 %) o auditorías fallidas (19 %).
Al mismo tiempo, solo el acceso no autorizado llegó a la lista de los cinco principales de las mayores preocupaciones operativas y de seguridad que tienen los tomadores de decisiones de seguridad. También hay piratería de cuentas, servicios y tráfico (35 %), malware y ransomware (31 %), problemas de privacidad (31 %) y ataques a estados nacionales (26 %).
“Los atacantes ahora están de acuerdo con el cambio de las empresas a la computación en la nube”, dice Kevin Bocek, vicepresidente de estrategia de seguridad e inteligencia de amenazas de Venafi. “El objetivo de ataque más maduro en la nube es la gestión de identidades, especialmente las identidades de las máquinas. Cada uno de estos servicios en la nube, contenedores, clústeres de Kubernetes y microservicios necesita una identidad de máquina autenticada, como un certificado TLS, para comunicarse de forma segura. Si alguna de estas identidades se ve comprometida o mal configurada, aumenta drásticamente los riesgos operativos y de seguridad”.
El estudio también ha demostrado que las empresas no saben realmente de quién es la responsabilidad de la seguridad en la nube. Los equipos de seguridad empresarial (25 %) son los que tienen más probabilidades de administrar la seguridad de las aplicaciones en la nube, justo antes que los equipos de operaciones (23 %). Para casi una cuarta parte (22 %) debería ser un esfuerzo de colaboración compartido entre varios equipos, mientras que el 16 % piensa que debería ser responsabilidad de los desarrolladores que escriben aplicaciones en la nube.
Venafi parece insinuar que no se deben adoptar modelos de responsabilidad compartida, ya que “los equipos de seguridad y los equipos de desarrollo tienen metas y objetivos muy diferentes”. Si bien los desarrolladores deben moverse rápido, crea problemas de visibilidad para los equipos de seguridad. “Sin esta visibilidad, los equipos de seguridad no pueden evaluar cómo esos controles se comparan con las políticas de seguridad y gobernanza”, afirma el informe.
Las organizaciones estudiadas para el informe albergan actualmente (se abre en una pestaña nueva) 41% de sus aplicaciones en la nube y esperan que el número aumente a 57% en el próximo año y medio.