Los analistas de la industria han revelado recientemente que muchas de las violaciones de datos que aparecen en los titulares son el resultado de la explotación de errores de configuración incorrecta de la nube, a veces con consecuencias devastadoras.
Resultados clave
El informe sobre el estado de la seguridad en la nube 2021 revela que el 36% de las organizaciones sufrieron una fuga grave de datos de seguridad en la nube o una infracción en los últimos 12 meses, y ocho de cada diez están preocupados de ser vulnerables a una infracción de datos importante relacionada con una mala configuración de la nube. Es más, el 64% dice que el problema empeorará o permanecerá sin cambios durante el próximo año.
La encuesta, que se realizó en 300 profesionales de la nube (incluidos ingenieros de nube, ingenieros de seguridad, DevOps y arquitectos) también encontró que las causas principales de la mala configuración de la nube citadas son demasiadas API e interfaces para gobernar (32%), la falta de controles y supervisión (31%), falta de conocimiento de las políticas (27%) y negligencia (23%). El 21% dijo que no está verificando la infraestructura como código (IaC) antes de la implementación, y el 20% no está monitoreando adecuadamente su entorno de nube para detectar errores de configuración.
Desafíos
Según Fugue, líder en automatización de cumplimiento y seguridad en la nube, y Sonatype, líder en herramientas amigables para desarrolladores para la automatización y seguridad de la cadena de suministro de software, los desafíos de seguridad tradicionales juegan un papel importante en la seguridad de la nube, como la fatiga de las alertas (citado por 21 %), falsos positivos (27%) y error humano (38%).
La demanda de experiencia en seguridad en la nube sigue superando a la oferta: el 36% menciona desafíos para contratar y retener a los expertos en seguridad en la nube y el 35% menciona desafíos para capacitar suficientemente a sus equipos de nube en seguridad.
Con la naturaleza de las amenazas en la nube en constante evolución y los ataques cada vez más sofisticados, no es ningún secreto que los actores de amenazas ahora están empleando la automatización para escanear Internet en busca de recursos en la nube mal configurados en minutos. Esto ejerce presión sobre los equipos de ingeniería y seguridad para encontrarlos y solucionarlos rápidamente. Como resultado, a una gran mayoría de los encuestados (83%) les preocupa que su organización esté en riesgo de una violación de datos basada en la nube.
Qué necesitan los profesionales
La encuesta reveló que la falta de políticas que funcionen en todo el ciclo de vida del desarrollo de la nube (CDLC) desde IaC hasta el tiempo de ejecución se citó como un problema importante, y el 96% de las organizaciones dijeron que un marco de políticas unificado de este tipo sería valioso. El 47% dijo que necesita una mejor visibilidad de sus entornos y el 43% estuvo de acuerdo en que las auditorías y aprobaciones de cumplimiento automatizadas ayudarían.
Para más información sobre cómo combatir vulnerabilidades y las herramientas de ciberseguridad más avanzadas del mercado, visite nuestro sitio web www.thorlatam.com
Para leer el artículo en su idioma original, puede seguir este enlace.