Desconexión de riesgos en la nube



La adopción de la nube puede estar cambiando, pero muchas empresas todavía luchan por identificar y administrar sus riesgos de seguridad con estos servicios.

A nuevo estudio realizado por Cloud Stability Alliance (CSA) y Google Cloud subraya que, si bien la nube idealmente podría ayudar a reforzar la seguridad de las organizaciones, muchas aún no están manejando adecuadamente su gestión de riesgos en la nube.

«Las organizaciones no están aprovechando de manera tan agresiva las capacidades para tener un entorno más seguro» con la nube, dice Jim Reavis, director ejecutivo de CSA. «No están siendo tan proactivos en el seguimiento y la gestión de riesgos».

Curiosamente, parece que muchas organizaciones pueden no saber con certeza el alcance de su adopción de la nube. Alrededor del 51 % dice que ahora ejecuta el 41 % de sus cargas de trabajo en la nube pública, pero resulta que la mayoría de ellos (85 %) no united states herramientas de descubrimiento de la nube para cuantificar eso, sino que estima su uso a través de métodos manuales. Aquellos que usan herramientas de descubrimiento, incluido un corredor de seguridad de acceso a la nube, o CASB (15 %), para mapear sus cargas de trabajo en la nube, informan un 31 % más de uso de la nube que aquellos que realizaron evaluaciones manuales, una pista que la mayoría de las organizaciones que confían en el seguimiento manual no tienen. un inventario completo de lo que se ejecuta en sus servicios en la nube, según el estudio.

«No puede administrar el riesgo de cosas que no conoce. Las cosas básicas conducen a infracciones o exposición de datos, exfiltración o un ataque de ransomware si no mantiene actualizados sus activos en la nube y hay brechas en su uso de la nube», señala Reavis. Pero la nube ofrece una mejor manera de administrar los activos, dice, que las redes de TI tradicionales.

«Hay herramientas allí» y formas automatizadas de detectar y proteger los activos en la nube, dice.

El estudio confirma un aumento significativo en la adopción de la nube. La cantidad promedio de servicios de program como servicio (SaaS), plataforma como servicio (PaaS) e infraestructura como servicio (IaaS) utilizados por las organizaciones fue más de 147, frente a 38 en 2020. Alrededor del 66% de las organizaciones dicen que tienen 100 o menos servicios 32%, de 101 a 999 y el 3%, 1.000 o más servicios.

La plataforma de nube de infraestructura como servicio (IaaS) más utilizada es Azure (70 %), seguida de cerca por AWS (65 %) y luego Google Cloud con un 24 %, según el estudio.

«Las empresas entrevistadas tienen la intención de aumentar sus cargas de trabajo en la nube durante los próximos 12 meses. Dado que las empresas continúan agregando producción en la nube y utilizan más servicios en la nube, la gestión de activos digitales y en la nube será essential en la gestión y medición del riesgo en la nube. ,» según el informe.

El objetivo del estudio period medir los desafíos de gestión de riesgos de las organizaciones en los servicios de nube pública, y Google y la CSA recopilaron datos de encuestas y entrevistas en 2021 con 600 profesionales de TI y seguridad.

escape de la nube

Si bien la nube se está volviendo más omnipresente para las operaciones de TI, no ha habido una correlación o un aumento en las filtraciones de datos, señala Reavis.

Hasta la fecha, casi todas las infracciones en la nube divulgadas públicamente se deben a configuraciones incorrectas, no a ataques cibernéticos, dice Phil Venables, CISO de Google Cloud. «Para prevenir y abordar el riesgo de configuraciones incorrectas y violaciones de cumplimiento en una etapa más temprana del proceso de desarrollo, los líderes de seguridad han comenzado a adoptar seguridad como código para lograr la velocidad y la agilidad de DevOps, reducir el riesgo y crear valor en la nube de manera más segura», dice Venables.

Por su parte, Google ofrece una serie de planos para que sus clientes ayuden a evitar configuraciones incorrectas y otros errores en la nube, como su Possibility and Compliance as Code (RCaC), la guía Secure Foundations y Cloud Architecture Centre, por ejemplo.

«Los blueprints ayudan a nuestros clientes a configurar rápidamente entornos de nube de manera segura y appropriate», señala Venables. «Y, en última instancia, este nivel de higiene segura ayuda a evitar que las configuraciones incorrectas se conviertan en un riesgo de seguridad o un punto de entrada de atacantes a las cargas de trabajo en la nube».

Según el informe, alrededor del 70 % de las organizaciones del estudio afirman que no cuentan con procesos sólidos para mapear el riesgo de sus activos en la nube. Un pequeño porcentaje, el 4 %, informa que cuenta con una gestión de riesgos «altamente efectiva» en la nube. Algo más del 20 % utiliza herramientas de clasificación de datos en la nube.

Mientras tanto, las principales preocupaciones de seguridad sobre las aplicaciones en la nube incluyen la pérdida de datos confidenciales (64 %), la configuración y los ajustes de seguridad inadecuados (51 %) y el acceso no autorizado (51 %).



Enlace a la noticia first