El 36% de las organizaciones afirma que el principal beneficio de la migración de aplicaciones críticas, datos de clientes y cargas de trabajo a entornos de nube pública, es liberarse de la gestión de los riesgos de seguridad, según un nuevo estudio presentado por CyberArk. Esto ocurre a pesar de que muchos proveedores de nube pública especifican modelos de responsabilidad compartida para la seguridad y el cumplimiento en entornos de nube.
“Los riesgos provocados por la falta de claridad sobre quién es responsable de la seguridad en la nube se ven agravados por una fallo general en la seguridad del acceso privilegiado en estos entornos”, afirmó Albert Barnwell, Sales Manager Iberia de CyberArk. “A pesar de que los datos confidenciales y altamente regulados se almacenan en la nube, es sorprendente que menos de la mitad de las organizaciones no cuentan con una estrategia para la seguridad de acceso privilegiado, un dato que no ha variado desde nuestro último informe”.
A medida que las organizaciones siguen utilizando la nube para acelerar la transformación digital, confiar en los proveedores de nube pública para la seguridad supone un riesgo considerable:
- El 49% de los encuestados migra aplicaciones empresariales críticas (ERP, CRM o gestión financiera) a la nube pública.
- El 45% almacena en la nube pública datos de clientes sujetos a supervisión regulatoria.
- El 39% utiliza la nube pública para el desarrollo interno, incluyendo DevOps.
- El 75% confía en la seguridad integrada del proveedor de la nube, a pesar de que la mitad (50%), reconoce que la seguridad integrada de los proveedores cloud no es suficiente.
El acceso privilegiado, la mayor preocupación
Según el informe, los aspectos que más preocupan a las organizaciones sobre la seguridad en la nube son:
- Insiders, socios y contratistas con acceso privilegiado (46%).
- Acceso no autorizado a las consolas de administración en la nube (46%).
- Credenciales compartidas en instancias de cómputo, almacenamiento o aplicación (44%).
El problema se torna crítico cuando las credenciales no seguras y no administradas proporcionan acceso privilegiado, lo que puede permitir a los atacantes escalar privilegios y obtener niveles de acceso elevado dentro de la infraestructura de la nube. Según la encuesta:
- La mayoría de las organizaciones (62%) desconocen que existen credenciales, secretos y cuentas privilegiadas en entornos IaaS y PaaS.
- Solo el 49% actualmente tiene una estrategia de seguridad de acceso privilegiado para la infraestructura de la nube y las cargas de trabajo.