El compromiso de la nube cuesta a las organizaciones $ 6.2 millones por año



Las organizaciones informaron un promedio de 19 compromisos basados ​​en la nube el año pasado, pero la mayoría no evalúa la seguridad de las aplicaciones SaaS antes de la implementación.

El compromiso de la nube es caro y sus costes siguen aumentando. Un nuevo informe encuentra que las cuentas en la nube comprometidas provocaron una pérdida financiera promedio de $ 6.2 millones para las organizaciones encuestadas, o un promedio del 3.5% de sus ingresos totales durante los últimos 12 meses.

Para obtener más información sobre cómo las empresas protegen los datos confidenciales en la nube, el Ponemon Institute, encargado por Proofpoint, encuestó a 662 profesionales de TI y seguridad de TI en los EE. UU. Descubrieron que, si bien los ataques centrados en la nube son costosos para las víctimas, la mayoría carece de procesos para evaluar la seguridad de los recursos basados ​​en la nube o quién es responsable de examinarlos.

Además de las horas dedicadas a responder a un incidente, las pérdidas financieras posteriores a la infracción pueden deberse a soluciones de procesos comerciales, multas, honorarios legales, consultores y / o abogados, proveedores de servicios de seguridad administrados (MSSP), notificando a las empresas y a las personas cuya información fue expuestos, pérdida de clientes y socios comerciales debido a daños a la reputación y tiempo de inactividad de las aplicaciones. Las organizaciones experimentan un promedio de 138 horas de tiempo de inactividad de aplicaciones por año.

La mitad de los encuestados informó de un aumento en la frecuencia de compromisos de cuentas en la nube durante el año pasado, y el 53% vio un aumento en la gravedad de estos incidentes. El año pasado, los encuestados informaron de 19 compromisos de nube, en promedio. Cuando condujeron a la exposición de datos confidenciales, estos compromisos podrían causar el robo de datos, la interrupción del negocio y daños a la reputación.

Tres cuartas partes de los encuestados dijeron que creen que el uso de aplicaciones y servicios en la nube sin la aprobación de TI es un «riesgo grave», aunque muchos informan que esto sucede dentro de sus propias organizaciones.

El equipo de TI tiene muy poco regulate sobre los datos corporativos en la nube, informan los investigadores. Un promedio del 42% de los datos corporativos se almacenan en la nube, pero TI controla solo el 27% de ellos. Más de dos tercios de los servicios en la nube son implementados por departamentos externos a la TI corporativa.

Mientras tanto, el uso de aplicaciones SaaS sigue creciendo. Casi el 80% de los encuestados dijo que sus organizaciones utilizan SaaS de estos, el 40% lo united states of america mucho, el 23% informó un uso moderado y el 16% informó un uso ligero. En promedio, el 36% de las aplicaciones críticas para el negocio de una organización se basan en SaaS frente a las aplicaciones de software package locales.

Una mayor dependencia de SaaS exige que se evalúe la seguridad de las aplicaciones antes de implementarlas. Si bien la mayoría de los encuestados indicó que esto es importante, el 58% dijo que sus organizaciones no verifican la seguridad de las aplicaciones SaaS antes de usarlas, y el 20% no sabe si las evalúan.

De manera identical, solo el 44% de los encuestados dijo que sus organizaciones han creado «roles y responsabilidades claramente definidos» para proteger los datos confidenciales o sensibles almacenados en la nube. Cuando se trata de proteger los datos en la nube, se basan principalmente en el cifrado, la tokenización y otras herramientas (59%), los agentes de servicios de acceso a la nube (56%) y la conectividad de la purple de datos privados (42%).

Los investigadores encontraron No existe una responsabilidad centralizada para proteger las aplicaciones SaaS: el treinta por ciento de los encuestados dijo que los usuarios finales / líneas de negocio de la empresa son los más responsables de proteger las aplicaciones SaaS, el 24% dijo que la responsabilidad es compartida entre la empresa y su proveedor de nube, el 20% dijo que su El equipo de seguridad de TI es el más responsable y el 16% dijo que la responsabilidad recae en el proveedor de la nube.

«Es basic implementar los procesos necesarios para examinar, validar lo que está sucediendo … qué tipo de aplicaciones, qué tipo de datos se cargan en la nube», dice Tim Junio, vicepresidente de advertising and marketing de productos de Proofpoint.

Sin un medio estructurado de adopción e implementación de aplicaciones, las organizaciones tendrán la implementación de application potencialmente peligroso.

Migración a multicloud
La mayoría de los encuestados (68%) dijo que sus organizaciones tienen una arquitectura o estrategia multinube en promedio, tienen alrededor de cuatro nubes diferentes. Del 32% que aún no es multinube, más de la mitad lo tendrá en seis meses y el 26% dice que lo tendrá en el próximo año.

La responsabilidad de evaluar la seguridad de los proveedores de la nube está distribuida en toda la empresa: el 23% de los encuestados dijo que la seguridad de la información es la más responsable, el 21% dijo que el trabajo recae en la TI corporativa, el 19% dijo que es el trabajo del usuario ultimate, el 7% dijo authorized lo maneja, y el 6% dijo que la seguridad física hará el trabajo.

A medida que la multinube se convierte en realidad, la seguridad de los datos pasa a un primer plano. Más de la mitad de los encuestados dijo que los mensajes de correo electrónico presentan el mayor riesgo de seguridad cuando se almacenan en la nube. Otros tipos de datos considerados riesgosos incluyen registros de empleados (49%), propiedad intelectual (43%), datos comerciales financieros (41%), datos de consumidores (33%) e información de salud (27%).

«Ese aspecto debe tenerse muy en cuenta», dice Junio ​​sobre los riesgos de tipos específicos de datos. «Con quién se comparten los datos, quién tiene acceso a ellos … comprendiendo el contenido, el contexto y las amenazas que están ocurriendo en torno a esos datos».

Kelly Sheridan es la editora de private de Dim Examining, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary