Aún es deficiente la seguridad basada en nube
28 July, 2016
category: Finanzas, Gobierno, Identificación digital
La computación basada en nube es cada vez más importante para las empresas, pero la seguridad sigue siendo una preocupación, según los resultados de un estudio del Instituto Ponemon titulado “Estudio global 2016 sobre la seguridad de los datos en la nube” (The 2016 Global Cloud Data Security Study), encargado por Gemalto.
El 73% de los encuestados consideró que las plataformas y servicios en nube son importantes para las operaciones de sus organizaciones, y un 81% dijo que en los próximos dos años crecerá en importancia. Un 36% planteó que las necesidades informáticas y de procesamiento de datos de sus empresas se resuelven hoy con recursos de nube, y se espera que esto aumente a un 45% en los próximos dos años.
Aunque los recursos basados en nube cobran mayor importancia para las estrategias comerciales y operaciones informáticas, un 54% de los encuestados no consideran que sus compañías tienen un enfoque proactivo para gestionar la seguridad y cumplir con las regulaciones sobre privacidad y protección de datos en los entornos en nube. Esto es pese al hecho de que el 65% de los encuestados dijeron que sus organizaciones están comprometidas a proteger la información confidencial o sensible en la nube. Además, el 56% no considera que su organización es cuidadosa al compartir información en la nube con terceros, tales como socios comerciales, contratistas y proveedores.
Parte del problema es que las prácticas convencionales de seguridad no se aplican en la nube. En el 2014 el 60% de los encuestados pensaba que era más difícil proteger la información sensible o confidencial cuando se utilizaban servicios en nube. Este año un 54% dijo lo mismo. La dificultad en proporcionar controles de acceso y restringir el acceso del usuario final se incrementó del 48% en 2014 al 53 por ciento de los encuestados en 2016.
Los otros problemas principales que hacen que la seguridad sea complicada incluyen la incapacidad para aplicar seguridad convencional a la información en los entornos en nube – 70% de los encuestados — y la incapacidad para inspeccionar directamente a los proveedores de nube respecto al cumplimiento en materia de seguridad.
Los departamentos de seguridad también se quedan fuera cuando se trata de adquirir servicios de nube. Solo el 21% de los encuestados dijo que los miembros del team de seguridad participan en el proceso de toma de decisiones para usar determinadas plataformas o servicios de nube. La mayoría de los encuestados — 64 por ciento — plantearon también que sus organizaciones no tienen una política que exija el empleo de salvaguardas de seguridad, tales como la encriptación, condición para utilizar ciertas aplicaciones de computación en nube.
Por otra parte, las compañías aún utilizan contraseñas para asegurar el acceso a servicios en nube. El 67% de los encuestados dijo que la gestión de las identidades de usuario es más difícil en la nube que localmente. Pero las organizaciones no están adoptando medidas que son fáciles de implementar y pueden incrementar la seguridad de nube.
Algo más de la mitad de las compañías – el 55% — está empleando autenticación multifactor para asegurar el acceso de los empleados y de terceros a aplicaciones y datos en la nube, lo que significa que muchas firmas aún se basan solamente en nombres de usuario y contraseñas para validar identidades. Esto pone más datos en riesgo porque el 88% de los encuestados plantea que sus organizaciones tienen usuarios de tercera parte que acceden a sus datos e información en la nube.
Las nuevas realidades de la informática en nube significan que las empresas deben establecer políticas para reglamentar los datos y el cumplimiento, elaborar directrices para la obtención de servicios de nube, y establecer reglas sobre qué datos pueden o no pueden guardarse en nube.
Las organizaciones informáticas pueden cumplir su misión de proteger los datos corporativos y al propio tiempo constituir un facilitador de su “Shadow IT” mediante la implementación de medidas de seguridad de los datos, tales como la encriptación, que les permitan proteger los datos en la nube de manera centralizada a medida que sus organizaciones internas adquieren servicios de nube según lo requieran.
Como las compañías almacenan más datos en nube y emplean más servicios basados en la nube, las organizaciones informáticas tienen que poner mayor énfasis en lograr fuertes controles de acceso de los usuarios con la autenticación multifactor. Esto es aún más importante para las firmas que le dan acceso a terceros y a proveedores a sus datos en nube.
La encuesta fue conducida por el Instituto Ponemon por encargo de Gemalto y entrevistó a 3,476 especialistas de informática y seguridad informática en Estados Unidos, Brasil, Reino Unido, Alemania, Francia, Federación Rusa, India, Japón y Australia, que están familiarizados e involucrados en el empleo por parte de su empresa tanto de los recursos de nube públicos como privados.
Las industrias representadas entre los encuestados incluyen, entre otras, servicios financieros, comercio minorista, tecnología y software, sector público, industria de salud y farmacéutica, servicios públicos y energía, educación, transporte, comunicaciones, medios y entretenimiento, y hostelería.