Es más probable que incidentes en la infraestructura de la nube pública sean causados por los empleados de un cliente, que por las acciones realizadas por los proveedores de la nube; esto, de acuerdo con el nuevo informe de Kaspersky Lab “Comprendiendo la Seguridad de la Nube: Desde los Beneficios de Adopción hasta las Amenazas y Preocupaciones”.
Las empresas esperan que los proveedores cloud sean los responsables de la seguridad de los datos almacenados en sus plataformas. Sin embargo, alrededor del 90% (88% de Pymes y 91% de las grandes corporaciones) de las violaciones de datos corporativos en la nube a nivel global se produce debido a técnicas de ingeniería social dirigidas a los empleados de los clientes, no debido a problemas causados por el proveedor cloud.
Con la adopción de la nube, las organizaciones pueden beneficiarse de procesos de negocios más ágiles, una inversión reducida en bienes de capital (Capex) y un aprovisionamiento de TI más rápido.
Sin embargo, también les preocupa la continuidad de la infraestructura cloud y la seguridad de sus datos. El 68% de las pequeñas, medianas y grandes empresas chilenas, está preocupado por los incidentes que afectan a las infraestructuras de TI alojadas por terceros. Las consecuencias de un incidente pueden hacer que los beneficios de la nube sean redundantes y, en su lugar, significar riesgos comerciales y de reputación complicados.
A pesar de que las organizaciones se preocupan principalmente por la integridad de las plataformas de cloud externas, es más probable que se vean afectadas por debilidades mucho más cercanas. En Chile, el 32% de incidentes en la nube fue causado por técnicas de ingeniería social que afectan el comportamiento de los empleados, mientras que las acciones de los proveedores de nube fueron responsables de solo el 9% de estos.
Falso sentido de seguridad
La encuesta muestra que es posible mejorar para garantizar que haya medidas de ciberseguridad adecuadas cuando se trabaje con terceros. Solo el 46% de las empresas chilenas ha implementado una protección personalizada para la nube. Esto puede ser el resultado de la gran confianza que las compañías depositan en la ciberseguridad del proveedor de infraestructura de nube. Alternativamente, podría ser que estas tienen un falso sentido de seguridad, en que la protección de “end-points” podrá funcionar sin problemas en entornos cloud sin restringir sus beneficios.
“El primer paso para cualquier empresa al migrar a una nube pública es comprender quién es responsable de sus datos comerciales y las cargas de trabajo que contiene. Normalmente, los proveedores de la nube tienen medidas de ciberseguridad dedicadas a proteger sus plataformas y clientes.
Pero, cuando una amenaza está del lado del cliente, la responsabilidad ya no es del proveedor. Nuestra investigación muestra que las empresas deben estar más atentas a la ‘higiene’ de ciberseguridad de sus empleados y adoptar medidas que protejan su entorno de nube desde adentro”, comenta Maxim Frolov, Vicepresidente de Ventas Globales en Kaspersky Lab.
