Organizaciones aún no tienen claro sus responsabilidades de seguridad en la nube

26/06/2017

Vanson Vourne encuestó a 1300 mandos de TI en organizaciones que emplean infraestructura de nube pública como servicio (IaaS) de América, Europa, Medio Oriente y África (EMEA, por sus siglas en inglés), y del Pacífico Asiático (APAC, también del inglés).

Antecedentes del uso de la nube pública

El uso de la nube pública por parte de los encuestados va en aumento, así como la sofisticación al trabajar en ella. En promedio, actualmente las organizaciones tienen cerca de 40% de su infraestructura en la nube pública, con la expectativa de incrementar hasta el 70% en los próximos 5 años. Cuatro de cada 10 reportaron que su organización confía en el despliegue de la nube pública para expandir sus servicios, a menudo replicando en múltiples regiones, mientras que 30% indicó que solo migraron servicios seleccionados a la nube y mantuvieron el equilibrio en sus instalaciones.

En general, la encuesta encontró que las organizaciones están creciendo más cómodamente con ambientes híbridos que despliegan una gama de servicios de nube pública junto con infraestructura local más tradicional.

Beneficios de la nube pública

Casi el total de encuestados (99%) indicó que su organización ha visto los beneficios de moverse a la nube pública, incluyendo mayor escalabilidad y reducir los gastos de TI.

La encuesta encontró, en promedio, que las organizaciones no utilizan un solo proveedor para todo e indicaron una serie de razones para esto: lo más importante es que diferentes proveedores tienen diferentes fortalezas (63%), seguido por la opinión de que el aumento de la seguridad (51%) ayudó a mantener los costos bajos (42%).

Retos de la nube pública

La seguridad sigue siendo el reto más grande cuando se trata de usar la nube pública, 71% considera que las preocupaciones por la seguridad restringen su capacidad para migrar cargas de trabajo a la nube. Nueve de cada 10 (91%) de las organizaciones reportaron su preocupación sobre su uso de la nube pública, los ciberataques son su preocupación principal en 54% de los casos.

Phishing (50%), DDoS (47%), APT (45%) y ransomware (41%) fueron las principales amenazas que más les preocupan. Más de la mitad (56%) ha experimentado al menos un ciberataque y se encontró que el promedio de ataques a una organización es de 5.

El reto de la seguridad se intensificó con el almacenamiento de la información de las organizaciones en la nube pública: más del 50% de todas las organizaciones almacena algún tipo de dato personal (información personal, registros médicos, etcétera) y cerca del mismo porcentaje (55%) almacena el historial de pedidos de sus clientes.

Seguridad de nube pública

El Modelo de Seguridad de Responsabilidad Compartida (en el que los proveedores de nube son responsables de la seguridad de la nube, mientras que las organizaciones que utilizan la nube son responsables de la seguridad de lo que ponen en la nube) no es nuevo y 72% consideró que entiende completamente sus responsabilidades de seguridad en la nube.

Esto contrasta con lo que las organizaciones creían sobre la seguridad que debe proporcionar su proveedor de la nube, 71% consideró que el proveedor es el responsable de los datos de los clientes en la nube pública y 66% lo consideró responsable de las aplicaciones.

Adicionalmente, 52% estaba confiado de que su transición a la nube era segura, 3 de cada 5 (62%) respondiendo que incluyeron soluciones adicionales de seguridad en su infraestructura de nube pública.

“Este informe pone de relieve el continuo aumento de la nube pública que se utiliza a nivel mundial, con muchas organizaciones viendo procesos sustanciales y beneficios financieros. Sin embargo, aún existe un número significativo de organizaciones que no tienen claro el modelo de seguridad compartida y la implicación en su información y aplicaciones”, indicó el vicepresidente superior y gerente general de seguridad de Barracuda, Hatem Naguib. “Los desafíos en migración de dispositivos y arquitecturas de seguridad heredados requieren tener la infraestructura adecuada para asegurar las soluciones híbridas en la nube. Las organizaciones necesitan elegir soluciones de seguridad adecuadas que estén diseñadas para las nuevas arquitecturas y capacidades disponibles para la adopción pública e híbrida de la nube”.

Recomendaciones

Las organizaciones a menudo cuentan con múltiples proveedores de la nube, así como con infraestructura local (legacy). Esto puede tener implicaciones en cuanto a complejidad y los costos generales; se complica aún más cuando las soluciones de terceros, como la seguridad, se añaden a la mezcla. Por lo tanto, se avisa a los clientes que busquen a terceros que puedan soportar un amplio rango de ecosistemas con soluciones iguales o similares.

A medida que los clientes evalúan opciones de licencias (por uso, por tiempo, ilimitado, etcétera) vemos a los clientes empezando a entender cómo pueden aprovecharlas para ganar mayor control de los costos. Esto se vuelve más importante, cuando terceras partes ofrecen opciones equivalentes de licencias sobre cómo el cliente ha licenciando su infraestructura de nube pública.

Las compañías despliegan la rutina más común de seguridad (enrutamiento del tráfico de sus sucursales a través de una solución central de seguridad) generalmente encuentran que estas soluciones carecen de escala y beneficios de costos a medida que aumenta su influencia en la nube. Las compañías que buscan soluciones de seguridad distribuidas, como firewalls de siguiente generación y firewalls de aplicación web, están más cerca del punto de acceso y reducen esos problemas, pero encuentran nuevos en el manejo de varios dispositivos. Por lo tanto, hay que buscar proveedores que puedan proporcionar un esquema de administración común, ya sea en sus productos o utilizando infraestructuras de seguridad en la nube pública, para simplificar la administración y monitoreo de la seguridad.

Artículos relacionados: