La rápida adopción de servicios en la nube, y la falta de estrategias de seguridad bien definidas están dejando a las empresas en precario en su lucha por mantener el control de sus datos debido al creciente número de aplicaciones y servicios. Es al menos lo que demuestra un estudio de Kaspersky Lab que dice que el 37% de las empresas en España admite que no están seguras de dónde están almacenados parte de sus datos, si en los servidores de la empresa o en sus proveedores de la nube. Esto hace que la protección y la responsabilidad sobre los datos sea algo extremadamente difícil, poniendo en peligro su integridad y preparando el camino para potenciales peligros y costes elevados.
Los servicios en la nube permiten a las empresas beneficiarse de tecnologías clave tanto en sus operaciones diarias como en sus planes de crecimiento, sin necesidad de tener que preocuparse por el mantenimiento de equipos ni por los altos costes de éstos. Por ello, a nadie sorprende que el 78% de las compañías españolas esté utilizando algún servicio de software (SaaS). Un número prácticamente idéntico (75%) es el de las empresas que, en un futuro próximo, están pensando llevar más aplicaciones a la nube. En lo relativo a la infraestructura como servicio (IaaS), casi la mitad (49%) de las empresas grandes y el 45% de las pequeñas y medianas, están pensando en externalizar su infraestructura TI y procesos.
Nadie pensó en la seguridad
Para muchas empresas, la velocidad de adopción que permiten estos servicios, así como los ahorros operativos que ofrecen han ido en detrimento de la seguridad, pues muchas compañías utilizan servicios cloud sin contar con una estrategia de seguridad. Las dudas acerca de quién tiene la responsabilidad de la seguridad de los datos en la nube puede estar detrás del problema. Según la encuesta realizada por Kaspersky Lab, 7 de cada 10 empresas (70%) en nuestro país que utilizan SaaS y a proveedores de servicios en la nube no cuentan con un plan claro para lidiar con incidentes de seguridad que puedan afectar a sus socios y clientes. Una cuarta parte admite que ni siquiera llega a verificar las acreditaciones de cumplimiento de sus proveedores de servicio, lo que nos sugiere que, en el caso de si algo sale mal, tendrán que ser ellos mismos los que reparen los daños. Es un tema espinoso, sobre todo porque, con la llegada definitiva del nuevo reglamento europeo de protección de datos (GDPR), las empresas que contratan servicios en la nube serán los responsables últimos de la seguridad de los datos de carácter personal, y no el prestador del servicio.
Sin embargo, el 43% de las empresas en nuestro país no se siente adecuadamente protegido frente a los incidentes que puedan afectar a sus proveedores de servicio, y un 24% de ellas ya han experimentado en los últimos 12 meses, un incidente de seguridad que afecta la infraestructura de TI alojada en terceros. Asumir que la seguridad es únicamente responsabilidad de los proveedores puede ser una estrategia peligrosa.
Esta falta de planificación y responsabilidad por la seguridad de la información en las empresas que adoptan soluciones en la nube puede llegar a tener importantes consecuencias para las compañías. El impacto de un incidente de seguridad en la nube puede llegar a representar un coste de 1,5 millones de euros en las grandes empresas, frente a los 130.000 euros en las pequeñas y medianas empresas. Cuando los datos de una empresa se han visto comprometidos como resultado de un incidente de un tercero, los tipos de datos que suelen verse afectados son: información altamente sensible del cliente (experimentado por el 49% de las medianas y pequeñas empresas y el 40% de las grandes); información básica de los empleados (25% de las pyme y el 36% de las grandes empresas), y correos electrónicos y comunicación interna (31% de las pyme y 35% de las grandes empresas).
Las empresas deben encontrar modos de controlar la situación, según Kaspersky. Cada paquete de datos necesita estar protegido en todo momento, independientemente de donde se encuentre. Las empresas necesitan detectar las anomalías dentro de sus propias infraestructuras de nube, y eso sólo es posible si se combinan técnicas que incluyan el aprendizaje automático y el análisis del comportamiento. Esta capacidad de identificar y defenderse contra amenazas desconocidas es fundamental para la seguridad de la infraestructura en la nube. Además de eso, permitir la visibilidad del ecosistema de la nube y de su capa de ciberseguridad, dará a las empresas una visión clara de dónde se encuentran los datos y si su estado de protección actual cumple con las políticas de seguridad corporativas. Sólo así las empresas podrán tener un control total de la nube, sin importar la cantidad datos y dónde se almacenan.