Es más que probable que, en este momento, sus trabajadores estén cargando, descargando o compartiendo documentos en la nube. Así, por ejemplo, mientras el equipo financiero accede de forma simultánea a una hoja de cálculo, el área creativa comparte archivos de vídeo con un cliente. No obstante, ¿qué más podría estar pasando en este mismo momento en la nube?
Claramente, en la nube hay mucha actividad. Sin embargo, y pese a este torrente de dinamismo, la mayor parte de lo que allí sucede queda fuera de control. De este modo, ni el departamento de TI ni el mismo CIO tienen conocimiento de qué datos se están compartiendo, y, mucho menos, de sí son seguros. Los empleados acceden a miles de aplicaciones y participan en actividades cloud, proporcionando puntos de acceso vulnerables que los piratas pueden utilizar para entrar en la red empresarial.
Ahora bien, con el Reglamento General de Protección de Datos (RGPD), es imperativo que los CIOs y los departamentos de TI puedan demostrar que tienen el dominio sobre los datos de los que son responsables. El volumen de actividad de la nube dentro de la empresa es inestable y queda fuera de control, por lo que la seguridad cloud es posiblemente el mayor talón de Aquiles para el cumplimiento.
A este respecto, existen cuatro áreas principales que los CIOs y otros responsables pueden analizar para reforzar la seguridad en la nube de sus organizaciones durante 2018.
RR.HH. y Marketing, en la línea de fuego de la seguridad cloud
Según el último informe cloud de Netskope, los departamentos de RR.HH. y Marketing son los que utilizan la mayor parte de los servicios cloud, concretamente 139 y 121 aplicaciones de media respectivamente. Por tanto, la preocupación por la posición de liderazgo que ostentan tanto uno como otro es totalmente fundada, máxime por lo sensible de la información que gestionan. Las áreas de finanzas y la contabilidad también se encuentran casi al nivel de RR.HH. y Marketing, con un promedio de 63 servicios, el 94% de los cuales no son adecuados o no están preparados para la empresa.
“Not enterprise ready”
En diciembre de 2017, las empresas utilizaron -de media- 1.181 servicios cloud, frente a los 1.022 registrados el mes de septiembre anterior. Lo más sorprendente es que el 93% de esos servicios son considerados como no aptos para la empresa (not enterprise ready).
Para abordar tan lóbrega área y alcanzar un punto de cumplimiento, los CIOs deberían comenzar a introducir políticas contextuales de nivel de actividad. Un broker de seguridad de acceso a la nube (CASB, por sus siglas en inglés) puede mejorar las aplicaciones no preparadas para la empresa, proporcionando controles de grano fino sobre los datos compartidos, y educando a los usuarios hacia el uso de las herramientas corporativas.
Es imperativo que el CIO y los departamentos de TI puedan demostrar que tienen el dominio sobre los datos que están en la nube
En el cuarto trimestre de 2017, el 54% de todas las infracciones que repercutieron en pérdidas de datos se cometieron contra el almacenamiento cloud. Teniendo en cuenta este aspecto, los CIOs deberían ser conscientes de que el panorama de amenazas para 2018 está repleto de ataques dirigidos contra la nube.
El tsunami de RGPD
A medida que la ola gigante de RGPD se hace más visible, las empresas se preparan para su impacto el próximo 25 de mayo. Sin embargo, mientras que los líderes empresariales hacen lo posible porque sus organizaciones logren el cumplimiento, mientras se enfrentan al resto de desafíos, la seguridad cloud puede ser la perdición de muchos.
Por poner un par de ejemplos, sobre los clientes anlizados, el 68% de las aplicaciones cloud usadas a espaldas de IT hacen dueño del dato al creador de la aplicación. Así mismo, el 81% de ellas no cifran los datos en reposo una vez subidos al cloud.
RGPD es prioritario para los responsables corporativos, especialmente para los CIOs, y resulta que la seguridad en la nube es débil en varias formas diferentes. Por eso, es esencial que los CIOs tengan conocimiento de todos los datos empresariales, ya que cualquier piedra no volteada podría ocultar una brecha peligrosa para el cumplimiento.
El aumento del malware relacionado con criptomonedas
Un tipo de ataque que está demostrando ser persistente y se espera siga siéndolo durante todo 2018 es el malware cloud relacionado con la banca y las criptomonedas. El malware de PowerShell también se está utilizando y tiene un gran efecto contra las organizaciones que cuentan con soluciones antivirus para endpoint, ya que con este tipo de protección no se consiguen resultados efectivos de escaneo y remediación.
Las organizaciones deben desplegar múltiples capas de protección contra amenazas. Con numerosos puntos de control de seguridad implementados, cada vez será más difícil para estos atacantes disimular su actividad entre los volúmenes masivos de tráfico cloud. Otro enfoque táctico eficaz para crear un punto de estrangulamiento para defenderse de estos ataques es la aplicación de políticas sobre cargas y descargas de datos para buscar malware en los mismos.
Este año, la seguridad de la nube simplemente no puede ignorarse, el panorama de amenazas está plagado de peligros y debe recordarse que RGPD infringirá un castigo rápido a aquellos que dejen la puerta abierta. Los CIOs pueden reducir significativamente el riesgo siguiendo una serie de consejos: ¡Incorpore políticas de seguridad contextuales y de nivel de actividad, actualice los servicios no preparados para la empresa accediendo a un agente de seguridad y amplíe la protección contra amenazas!
