La cabeza en las nubes: los humanos causan nueve de cada diez violaciones de datos en la nube.

Es más probable que los incidentes en la infraestructura de la nube pública se produzcan por culpa de los empleados del cliente que por las acciones llevadas a cabo por los proveedores de la nube, según un nuevo informe de Kaspersky Lab -‘Understanding security of the cloud: from adoption benefits to threats and concerns’. Las empresas esperan que los proveedores de la nube sean responsables de la seguridad de los datos almacenados en sus plataformas en la nube. Sin embargo, alrededor del 90% (PYMES (88%) y empresas (91%)) de las violaciones de datos corporativos en la nube se producen debido a técnicas de ingeniería social dirigidas a los empleados de los clientes, y no por problemas causados por el proveedor de la nube.

La adopción de la nube permite a las organizaciones beneficiarse de unos procesos empresariales más ágiles, una reducción de los gastos de capital y una provisión de TI más rápida. Sin embargo, también les preocupa la continuidad de la infraestructura en la nube y la seguridad de sus datos. Al menos un tercio de las empresas, tanto de las PYMES como de las empresas (el 35% de las PYMES y el 39% de las empresas), están preocupadas por los incidentes que afectan a la infraestructura de TI alojada por un tercero. Las consecuencias de un incidente pueden hacer que los beneficios de la nube sean redundantes y, en cambio, evocan dolorosos riesgos comerciales y de reputación.

Aunque las organizaciones se preocupan principalmente por la integridad de las plataformas externas en la nube, es más probable que se vean afectadas por debilidades más cercanas. Un tercio de los incidentes (33%) en la nube son causados por técnicas de ingeniería social que afectan al comportamiento de los empleados, mientras que sólo el 11% puede achacarse a las acciones de un proveedor de la nube.

La encuesta muestra que todavía hay margen de mejora para garantizar que se aplican las medidas de ciberseguridad adecuadas cuando se trabaja con terceros. Sólo el 39% de las PYMES y la mitad (47%) de las empresas han implementado una protección a medida para la nube. Esto puede ser el resultado de que las empresas confíen en gran medida en un proveedor de infraestructura en la nube para la ciberseguridad. Otra posibilidad es que tengan una falsa confianza en que la protección estándar de los puntos finales funciona sin problemas dentro de los entornos de la nube, sin disminuir las ventajas de ésta.

«El primer paso para cualquier empresa al migrar a la nube pública es entender quién es el responsable de los datos de su empresa y de las cargas de trabajo que contiene. Los proveedores de la nube normalmente cuentan con medidas de ciberseguridad específicas para proteger sus plataformas y a sus clientes, pero cuando una amenaza está en el lado del cliente, ya no es responsabilidad del proveedor. Nuestra investigación muestra que las empresas deberían estar más atentas a la higiene de ciberseguridad de sus empleados y tomar medidas que protejan su entorno de nube desde dentro», – comentó Maxim Frolov, Vicepresidente de Ventas Globales de Kaspersky Lab.

Hay algunas medidas específicas que Kaspersky Lab aconseja a las empresas para garantizar la seguridad de sus datos en la nube:

– Explicar a los empleados que pueden ser víctimas de ciberamenazas. No deben hacer clic en enlaces o abrir archivos adjuntos en comunicaciones de usuarios desconocidos. La formación de concienciación específica, como la concienciación de seguridad de Kaspersky gamificada, puede ayudar en este sentido

– Para minimizar el riesgo del uso no aprobado de plataformas en la nube, eduque al personal sobre el efecto negativo de la TI en la sombra y establezca procedimientos para la compra y el consumo de infraestructura en la nube para cada departamento

– Utiliza una solución de seguridad de punto final para prevenir los vectores de ataque de ingeniería social. Debería incluir protección para los servidores de correo, los clientes de correo y los navegadores

– Implemente la protección para su infraestructura en la nube tan pronto como sea posible después de la migración. Elija una solución de ciberseguridad en la nube dedicada con una consola de gestión unificada para gestionar la seguridad en todas las plataformas en la nube, y que admita la detección automática de hosts en la nube, así como la autoescalada del despliegue de la protección en cada uno de ellos.

– Kaspersky Hybrid Cloud Security ofrece a las empresas una protección multicapa para entornos multi-nube, ciberseguridad unificada y orquestación sin fisuras. La solución detecta amenazas comunes y complejas y protege toda la infraestructura de la nube, desde los entornos virtualizados locales hasta las plataformas de nube pública, como AWS y Microsoft Azure.

El informe completo, «Understanding security of the cloud: from adoption benefits to threats and concerns», está disponible aquí.

Acerca de Kaspersky Lab

Kaspersky Lab es una empresa global de ciberseguridad que lleva 21 años operando en el mercado. La profunda inteligencia sobre amenazas y la experiencia en seguridad de Kaspersky Lab se transforman constantemente en soluciones y servicios de seguridad de nueva generación para proteger a las empresas, las infraestructuras críticas, los gobiernos y los consumidores de todo el mundo. La completa cartera de seguridad de la empresa incluye una protección líder para puntos finales y una serie de soluciones y servicios de seguridad especializados para luchar contra las sofisticadas y cambiantes amenazas digitales. Más de 400 millones de usuarios están protegidos por las tecnologías de Kaspersky Lab y ayudamos a 270.000 clientes corporativos a proteger lo que más les importa. Obtenga más información en www.kaspersky.com.