Symantec y Ponemon Institute, empresa líder en el mercado dedicada a la investigación de gestión de información, han anunciado las conclusiones de un estudio conjunto acerca de los profesionales de TI. El estudio revela que la mayoría de las empresas carecen de los procedimientos, directivas y herramientas adecuadas para garantizar la protección de la información confidencial de la nube. A pesar de la preocupación que existe en torno a la seguridad, y del crecimiento esperado en servicios en la nube, sólo el 27 por ciento de los participantes declaró que su empresa contaba con los procedimientos correspondientes para aprobar aplicaciones en la nube que utilicen información confidencial o sensible.
En la mayoría de las empresas existe un gran distanciamiento entre aquellos que evalúan a los proveedores de servicios en la nube y los directores de TI y de seguridad, los cuales deberían, en última instancia, asumir toda la responsabilidad. De las empresas encuestadas, el 68 por ciento indicó que los encargados de evaluar a los proveedores de servicios en la nube son los usuarios finales y los responsables del negocio. Sólo el 20 por ciento de las empresas encuestadas afirmó que los equipos de seguridad de información se involucraban habitualmente en la toma de decisiones, y aproximadamente un cuarto dijo que nunca participaban. No obstante, el 69 por ciento de los encuestados indicó que prefería que los equipos corporativos de TI o los responsables de seguridad lideraran el proceso de la toma de decisiones acerca de los servicios en la nube.
El estudio concluyó que los empleados toman decisiones sin contar con la opinión de los departamentos de TI o el conocimiento acerca de los riesgos de seguridad. Sólo el 30 por ciento de los encuestados evalúan a los proveedores de servicios en la nube antes de implementar sus productos.
Otras conclusiones del estudio:
• Las empresas evalúan los servicios en la nube por referencia verbal del boca a boca (el 65 por ciento), por acuerdos contractuales y por garantías por parte del proveedor (el 55 y el 53 por ciento respectivamente). Sólo el 23 por ciento solicita pruebas de conformidad con la normativa como por ejemplo SAS 70, el 18 por ciento confía en el asesoramiento de seguridad realizado internamente y tan solo el 6 por ciento basa su decisión de acuerdo a evaluaciones de expertos de seguridad o auditores.
• Más del 75 por ciento de los encuestados observó que la migración a los servicios en la nube no ocurría de forma totalmente idónea debido a la falta de control sobre los usuarios finales. La carencia de recursos para llevar a cabo las evaluaciones adecuadas, la falta de liderazgo para supervisar el proceso y la baja prioridad concedida a las evaluaciones eran también factores a tener en cuenta.
• Sólo el 19 por ciento de los encuestados indicó que su empresa proporcionaba formación general en seguridad de datos en donde se incluía el tema de aplicaciones en la nube. Por el contrario, el 42 por ciento de los encuestados observó que su empresa ofrecía formación general sobre seguridad de datos en donde no se incluía el tema de las aplicaciones en la nube.
Comentarios:
“Los servicios basados en la nube prometen ser una gran herramienta capaz de proporcionar muchos servicios empresariales fundamentales, pero nuestro estudio revela una falta de preocupación inquietante con respecto a la protección de la información sensible tanto personal como corporativa, debido a que las empresas se adhieren con prisa a esta nueva tendencia”, ha declarado Dr. Larry Ponemon, Presidente fundador de Ponemon Institute. “Con el fin de hacer frente adecuadamente a las preocupaciones en torno a la seguridad de la información, animamos a las empresas a que incorporen de forma inmediata directivas y procesos que determinen las cualificaciones del proveedor. Además, los proveedores de los servicios en la nube también deben de adoptar una postura más transparente.»
“A pesar del interés generalizado por adoptar la tecnología de servicios en la nube, muchas empresas toman medidas a ciegas con respecto a la seguridad, y ponen en riesgo las operaciones del negocio, los datos de la compañía y la información de los clientes», ha afirmado Justin Somaini, CISO de Symantec. “Actualmente, las empresas necesitan una gestión de la información más fuerte en lo que respecta la información corporativa y en adquirir confianza en la nube. El éxito de los servicios en la nube depende de la confianza y fiabilidad que sólo se puede adquirir cuando los equipos de seguridad de la información obtengan una visibilidad más clara de la posición de seguridad y de las operaciones que conllevan las iniciativas en la nube.”
Recomendaciones
• Asegurarse de que las directivas y los procesos especifiquen claramente la importancia de proteger la información sensible almacenada en la nube. La directiva debe subrayar qué información se considera sensible y privada.
• Las empresas deben adoptar medidas en la gestión de la información que incluyan herramientas y procesos para clasificar su información y entender los riesgos existentes, y de este modo establecer directivas que especifiquen qué servicios basados en la nube y aplicaciones son adecuadas, y cuáles no lo son.
• Evaluar la postura con respecto a la seguridad de terceros antes de compartir información sensible o confidencial. Como parte del proceso, los expertos en seguridad de la información y/o de TI, deben llevar a cabo revisiones exhaustivas y auditar las cualificaciones de seguridad del proveedor.
• Antes de implementar la tecnología en la nube, las empresas deben formar a sus empleados seriamente en la mitigación de los riesgos de seguridad específicos a esta tecnología nueva, con el fin de proteger la información confidencial y sensible.