De acuerdo con Tenable, en México 77 % de los profesionales de TI y Seguridad afirman que sus implementaciones en la nube, en particular las instancias públicas e híbridas, representan el mayor riesgo de exposición para las organizaciones, de ahí que constituya un importante reto para quienes gestionan estos sistemas.
Lo anterior se deriva del estudio realizado por Forrester Consulting en 2023, para Tenable, en el que participaron 101 profesionales de las áreas de TI y Seguridad en México, y donde el 38 % de estos profesionales tiene la autoridad para tomar decisiones finales sobre la infraestructura en la nube de su organización. Asimismo el análisis revela las cuatro áreas clave que los tomadores de decisión afirman que representan el principal riesgo de exposición:
- Errores de configuración en la infraestructura y los servicios en la nube que se utilizan a lo largo de toda la organización (77 % en México)
- Fallas en algún software de negocios o de TI que se utiliza a lo largo de la organización (67 % en México)
- Errores de configuración en las herramientas que utiliza la organización para gestionar los privilegios y el acceso de los usuarios (55% en México)
- Fallas en algún software de tecnología operativa que se utiliza a lo largo de la organización (40 % en México)
A su vez, cuando se trata de evaluar la exposición al riesgo, la nube supera con creces otras áreas de infraestructura de TI como una causa de inquietudes entre los tomadores de decisión en la nube.
La siguiente área con mayor riesgo de exposición es la infraestructura en la nube pública con un 33%, seguida de la infraestructura híbrida con un 23%, el internet de las cosas ocupa el 20%, mientras que la infraestructura en la nube privada y las herramientas de gestión de contenedores en la nube empatan con el 11%, finalmente con apenas el 2% se encuentra la tecnología operativa/sistemas de control industrial (ICS)/Control de supervisión y adquisición (SCADA)
En lo relativo a las áreas para inversión relacionadas con la implementación de tecnología en la nube, los encuestados identificaron las funciones sin servidor, las máquinas virtuales y los contenedores como los tres tipos de tecnologías que planean implementar en los próximos 12 meses.
Fuentes de datos para identificar la exposición al riesgo
Las fuentes de datos que usan las organizaciones para identificar la exposición general al riesgo está encabezada por las fuentes de inteligencia de amenazas con el 64%, seguido de los hallazgos en la nube con el 60%, hallazgos de evaluaciones de preparación para incidentes con un 57%, y en cuanto a revelaciones de vulnerabilidades, hallazgos de la superficie de ataque externa y resultados de pruebas de vulnerabilidades comparten el 43%, por su parte los perfiles y privilegios de los usuarios representan el 33%, mientras que inventarios de activos y hallazgos de tecnología operativa empatan con el 28%.
“Agrupar todos estos datos a partir de diversos sistemas aislados es un trabajo complejo y lento. De hecho, las áreas aisladas en las organizaciones, la falta de higiene de los datos y el enfoque en una ciberseguridad más reactiva que preventiva, son parte fundamental para hacer de la seguridad en la nube un desafío”, señaló Arturo Barquin director senior para Latinoamérica.
Agregó que la responsabilidad sobre la supervisión de los sistemas de gestión de identidades y acceso recae en un equipo que involucra a profesionales de operaciones de las áreas de TI, seguridad, riesgo y cumplimiento y gobierno, lo que añade dificultad para hacer segura la nube. Al respecto, el estudio indicó que la mayoría de los encuestados (83 %) utiliza tres o más sistemas de gestión de identidades y acceso, y puede haber cinco tipos diferentes de equipos implicados en la gestión de estos sistemas.
“Cuando buscan las soluciones correctas de seguridad en la nube, las organizaciones deben enfocarse en aquellas que reducen la complejidad y el riesgo. Las soluciones correctas de seguridad en la nube deben ser fáciles de usar para el usuario y estandarizar la seguridad en la nube a lo largo de diferentes unidades comerciales. Una solución robusta sirve como asesoría, y ofrece información sobre las vulnerabilidades o errores de configuración que requieren atención inmediata”, dijo Francisco Ramírez, VP Senior para Latinoamérica.
Fuente. e-semanal