Las empresas nativas de la nube luchan por la seguridad



Más empresas se trasladaron a la infraestructura nativa de la nube en el último año, y los incidentes de seguridad y el malware se movieron junto con ellos.

Las empresas trasladaron cada vez más sus aplicaciones e infraestructura a la nube durante el último año, pero no sin grandes preocupaciones sobre la seguridad.

Casi el 60% de las empresas dijeron que están más preocupadas por la seguridad desde que pasaron a tecnologías nativas de la nube, cuatro veces más que aquellas que dijeron que se preocupan menos, según una encuesta publicada la semana pasada por la firma de seguridad Snyk. Las preocupaciones de las empresas probablemente se deben a la experiencia, con más del 56% de las empresas que indicaron que lidiaron con un incidente de seguridad causado por una configuración incorrecta o una vulnerabilidad sin parche, afirma Snyk en su informe «Estado de la seguridad de aplicaciones nativas en la nube».

Los dos tipos de eventos no significan que las empresas estén menos seguras después del cambio a la nube, sino que están detectando, y en la mayoría de los casos, mitigando rápidamente, más problemas de seguridad, dice Male Podjarny, fundador y presidente de Snyk.

«Ha habido más de estos incidentes porque los entornos son más desordenados, pero las empresas perciben correctamente que estas son áreas que necesitan atención, por lo que sus preocupaciones se alinean bien con las amenazas reales», dice. «Se trata más de lo que yo llamo higiene de seguridad, de mantener las ventanas y las puertas cerradas».

La necesidad de ampliar la infraestructura de acceso remoto durante la pandemia ha impulsado las transformaciones digitales de las empresas, y muchas empresas han pasado de las primeras etapas de planificación a un despliegue acelerado de la infraestructura en la nube durante el año pasado.

En lugar de utilizar aplicaciones y sistemas locales a los que se puede acceder de forma remota, las empresas se han trasladado a aplicaciones e infraestructura nativas de la nube. Las tecnologías nativas de la nube utilizan infraestructura basada en la nube, como contenedores, microservicios y API, para mejorar la escalabilidad y la agilidad de las empresas y se consideran clave para la transformación digital.

Las empresas que tenían una alta adopción de la nube tendían a encontrar más incidentes de tipos específicos en comparación con las empresas que no habían trasladado tantos procesos comerciales y de desarrollo a la nube. según el informe Snyk. Las empresas de alta adopción de la nube tendían a ver más incidentes de mala configuración (50%), vulnerabilidades conocidas sin parche (45%), auditorías fallidas (21%) y fugas de secretos (18%), en comparación con las organizaciones con baja adopción de la nube, que tendían a tienen mayor incidencia de malware (14%) o, en muchos casos, no detectan incidentes de seguridad (21%).

«La adopción de tecnologías nativas de la nube sin duda cambiará la postura de seguridad de la aplicación basic (de una organización)», afirma Snyk en el informe. «Si bien los principios básicos de seguridad permanecen constantes, al igual que con todos los ecosistemas emergentes, las mejores prácticas aún se están definiendo, lo que genera una nueva preocupación a medida que los equipos navegan por paisajes desconocidos».

Junto con las empresas, los atacantes también se han centrado en las tecnologías en la nube, y el malware procedente de aplicaciones en la nube, como el almacenamiento, los servicios de correo electrónico en la nube y los servicios de descarga de application, aumenta en casi un tercio y representa el 62% de todas las descargas de malware en Q1 2021, según un informe separado, informe reciente del proveedor de servicios de aplicaciones en la nube Netskope. Eso es un aumento del 48% de las descargas en el mismo trimestre del año anterior.

Si bien la mayor parte del malware descargado de la Web son archivos ejecutables, el malware descargado de aplicaciones en la nube es más variado: los archivos ejecutables y los archivos representan aproximadamente una cuarta parte del total cada uno, y los documentos de Place of work representan casi el 16%, según Netskope.

«El aumento de la popularidad de las aplicaciones en la nube como un canal para que los ciberdelincuentes distribuyan malware es el resultado del aumento standard de la popularidad de las aplicaciones en la nube: los ciberdelincuentes van a donde estén sus víctimas», afirma el informe de Netskope.

Snyk no llegó a la conclusión de que las empresas con más tecnologías nativas de la nube sean menos seguras, sino que son más conscientes de los incidentes de seguridad porque tienen una mayor visibilidad. Si bien solo un tercio de todas las empresas tenían una línea de desarrollo completamente automatizada, el 42% de las empresas nativas de la nube se habían pasado a la automatización total.

«Los datos del informe muestran … que los equipos con una mayor adopción de la nube en realidad tienen una mejor automatización y es mucho más possible que encuentren y solucionen problemas críticos en un período de tiempo mucho, mucho más rápido», dice Podjarny. «Sus preocupaciones giran en torno a esta nueva realidad – empoderar a sus trabajadores y trabajar con equipos independientes – y les preocupa que más de ellos se resbalen, pero aún así su capacidad de respuesta es mucho más rápida».

Un hallazgo interesante es que es más probable que los desarrolladores quieran asumir responsabilidades de seguridad de lo que los equipos de seguridad están dispuestos a renunciar a esas responsabilidades, dice Podjarny. Tres veces más desarrolladores que profesionales de la seguridad (el 36%) se responsabilizaron de la seguridad, y solo el 13% asignó la responsabilidad al equipo de seguridad de TI. Sin embargo, solo el 10% de los encuestados en roles de seguridad asignó seguridad a los desarrolladores, en comparación con el 31% que asigna responsabilidad al equipo de seguridad.

Entre ambos tipos de encuestados, la mayoría (el 31% de los desarrolladores y el 33% de los miembros de seguridad) considera que la seguridad es responsabilidad del equipo de DevOps o DevSecOps.

Se trata más de quién está listo para abordar los problemas, dice Podjarny.

«Existe una opinión cínica de que a los desarrolladores no les importa la seguridad, pero los datos muestran que los desarrolladores están mucho más dispuestos a aceptar la responsabilidad de la seguridad», dice. «Las empresas tienen tecnología de escaneo, pero los desarrolladores deben ser quienes la ejecuten y los equipos de seguridad deben dejarla ir».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Looking at, MIT&#39s Technology Critique, Preferred Science y Wired News. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary