A pesar de que los recursos informáticos en la nube continúan siendo importantes para las organizaciones, las compañías no están adoptando medidas apropiadas de gobernanza y seguridad para proteger los datos confidenciales en la nube.
Según el 73% de los encuestados en el estudio ‘The 2016 Global Cloud Data Security Study’, del Ponemon Institute y encargado por Gemalto, los servicios y las plataformas basados en la nube se consideran importantes para las operaciones de sus organizaciones, y el 81% dijo que su importancia aumentará durante los próximos dos años.
De hecho, el 36% de los encuestados dijo que las necesidades de TI y procesamiento de datos totales de sus compañías fueron cubiertas utilizando recursos en la nube hoy y que esperaban que esto aumentara al 45% durante los dos próximos años.
Si bien los recursos basados en la nube se están volviendo más importantes para las operaciones de TI y las estrategias comerciales de las compañías, el 54% de los encuestados expresó que sus compañías no tienen un enfoque proactivo para la gestión de la seguridad y el cumplimiento con las normas de protección de datos y privacidad en entornos en la nube.
Esto, a pesar del hecho de que el 65% de los encuestados declaró que sus organizaciones tienen el compromiso de proteger la información confidencial en la nube. Además, el 56% no estuvo de acuerdo con que su organización es cuidadosa al compartir información confidencial en la nube con terceros como socios comerciales, contratistas y proveedores.
La seguridad en la nube es complicada debido a la TI en la sombra
Según los encuestados, casi la mitad (49%) de los servicios en la nube son implementados por departamentos que no son el departamento corporativo de TI, y un 47% de los datos corporativos almacenados en entornos en la nube no son administrados ni controlados por el departamento de TI.
Sin embargo, la seguridad de conocer todos los servicios informáticos en la nube en uso está en aumento. El 54% de los encuestados confía en que la organización de TI conoce todas las aplicaciones informáticas, plataformas o servicios de infraestructura en la nube en uso, lo que representa un aumento del 9% desde 2014.
Las prácticas de seguridad convencionales no se aplican en la nube
En 2014, el 60% de los encuestados creía que era más difícil proteger la información confidencial cuando se usaban servicios en la nube. Este año, el 54% dijo lo mismo. La dificultad para controlar o restringir el acceso del usuario final aumentó del 48% en 2014 al 53% de los encuestados en 2016.
Los otros desafíos importantes que dificultan la seguridad incluyen la incapacidad de aplicar las medidas convencionales de seguridad de la información en entornos en la nube (70% de los encuestados) y la incapacidad de inspeccionar directamente el cumplimiento de las medidas de seguridad por parte de los proveedores de la nube (69% de los encuestados).
Se almacena más información de clientes en la nube y se considera que los datos corren más riesgos
Según la encuesta, la información de los clientes, los correos electrónicos, los datos de los consumidores, los registros de empleados y la información de pago son los tipos de datos que más a menudo se almacenan en la nube. Desde 2014, el almacenamiento de información de clientes en la nube es lo que más ha crecido, con un aumento del 53% en 2014 al 62% de los encuestados que dicen que sus compañías hacen esto hoy. El 53% también considera que los datos de los clientes son los que más riesgo corren en la nube.
Al momento de comprar servicios en la nube, los departamentos de seguridad no cuentan con la información que necesitan
Solo el 21% de los encuestados declaró que los miembros del equipo de seguridad participan en el proceso de toma de decisiones con respecto al uso de ciertas aplicaciones o plataformas en la nube. La mayoría de los encuestados (64%) también señaló que sus organizaciones no tienen una política que exija el uso de medidas de protección, como el cifrado, como condición para el uso de ciertas aplicaciones informáticas en la nube.
El cifrado es importante pero su uso aún no es generalizado en la nube
El 72% de los encuestados expresó que la capacidad para cifrar o tokenizar datos confidenciales es importante; el 86% declaró que se volverá más importante durante los próximos dos años, un aumento con respecto al 79% en 2014. Si bien la importancia del cifrado está aumentando, aún no se implementa ampliamente en la nube. Por ejemplo, en el caso del Software como Servicio (SaaS), el tipo de servicio basado en la nube más popular, solo el 34% de los encuestados dijo que su organización cifra o tokeniza los datos confidenciales directamente dentro de aplicaciones basadas en la nube.
Muchas compañías aún utilizan contraseñas para proteger el acceso de los usuarios a los servicios en la nube
El 67% de los encuestados expresó que la administración de identidades de usuario es más difícil en la nube que a nivel local. Sin embargo, las organizaciones no están adoptando medidas que son de fácil implementación y podrían aumentar la seguridad en la nube. Aproximadamente la mitad (45%) de las compañías no están usando autenticación multifactor para proteger el acceso de empleados y terceros a aplicaciones y datos en la nube, lo cual significa que muchas compañías aún utilizan únicamente nombres de usuarios y contraseñas para validar las identidades. Esto pone más datos en riesgo porque el 58% de los encuestados afirma que en sus organizaciones hay usuarios externos que acceden a sus datos e información en la nube.
Recomendaciones para la seguridad de los datos en la nube
La nueva realidad de TI en la nube significa que las organizaciones de TI deben establecer políticas integrales para la gobernanza y el cumplimiento relacionados con los datos, crear pautas para la adquisición de servicios en la nube y establecer reglas sobre qué datos pueden y no pueden almacenarse en la nube.
Las organizaciones de TI pueden lograr su misión de proteger los datos corporativos y al mismo tiempo facilitar su ‘TI en la sombra’ al implementar medidas de seguridad de datos, como el cifrado, que les permiten proteger los datos en la nube de manera centralizada a medida que sus organizaciones internas adquieren servicios basados en la nube según sea necesario.
A medida que las compañías almacenan más datos en la nube y utilizan más servicios basados en la nube, las organizaciones de TI deben poner mayor énfasis en controles de acceso de usuarios más estrictos con autenticación multifactor. Esto es aún más importante para las compañías que permiten que proveedores y terceros accedan a sus datos en la nube.