Los líderes de seguridad en la nube hablan de los desafíos clave
Demasiadas identidades, sistemas y personas trabajando en la nube en un cargo que ya es de por sí complejo.
Más de dos tercios de los tomadores de decisiones en seguridad de la nube (68 %) afirma que sus implementaciones en la nube, en particular las instancias pública e híbrida, son el área principal de riesgo de exposición de su organización. Por eso, la gestión de quién tiene acceso a estos sistemas implica un reto importante.
Estos son los hallazgos de un estudio encomendado por Tenable que incluyó a 262 profesionales de las áreas de TI y Seguridad que tienen la autoridad para tomar decisiones finales sobre la infraestructura en la nube de su organización. El estudio, realizado en 2023 por Forrester Consulting para Tenable, revela cuatro áreas clave que los tomadores de decisiones afirman que representan las áreas principales de riesgo de exposición:
- Errores de configuración en la infraestructura y los servicios en la nube que se utilizan a lo largo de toda mi organización (68 %)
- Fallas en algún software de negocios o de TI que se utiliza a lo largo de mi organización (62 %)
- Errores de configuración en las herramientas que utiliza mi organización para gestionar los privilegios y el acceso de los usuarios (60 %)
- Fallas en algún software de tecnología operativa que se utiliza a lo largo de mi organización (46 %)
Cuando se trata de evaluar la exposición al riesgo, la nube supera con creces otras áreas de infraestructura de TI como una causa de inquietudes entre los tomadores de decisiones en la nube.
¿En cuál de las siguientes áreas es mayor su exposición al riesgo?
Tecnología | Porcentaje de encuestados |
Infraestructura en la nube pública1 | 29 % |
Infraestructura multinube/híbrida2 | 28 % |
Internet de las Cosas (IoT) | 15 % |
Infraestructura en la nube privada | 11 % |
Herramientas de gestión de contenedores en la nube | 9 % |
Infraestructura local | 5 % |
Tecnología operativa/sistema de control industrial (ICS)/Control de supervisión y adquisición de datos (SCADA) | 3 % |
1 La nube pública puede ser un único proveedor de nube pública, como Amazon Web Services (AWS), Google Cloud Platform (GCP) o Microsoft Azure.
2 La multinube/nube híbrida es una combinación de dos o más nubes públicas y/o privadas.
Base: 262 profesionales de las áreas de TI y Seguridad con autoridad para tomar decisiones finales por la infraestructura en la nube/arquitectura de su organización.
Fuente: Estudio encomendado en 2023 por Tenable a Forrester Consulting.
¿En dónde invertirán este próximo año los tomadores de decisiones en la nube?
En este momento, en la mayoría de las organizaciones, se utiliza una amplia gama de sistemas de negocios y de infraestructura en la nube, incluyendo máquinas virtuales y contenedores, así como también sistemas de gestión de recursos humanos y gestión de relaciones con los clientes (CRM).
En lo relativo a las áreas para inversión relacionadas con la implementación de tecnología en la nube, los encuestados identificaron las funciones sin servidor, las máquinas virtuales y los contenedores como los tres tipos de tecnologías de los que planifican ampliar la adopción en los próximos 12 meses.
¿Cuál de las siguientes tecnologías de infraestructura en la nube utiliza en este momento su organización?
Tecnología | No tenemos interés en la nube | Nos interesa, pero no planeamos implementaciones en la nube | Planeamos implementaciones en la nube para los próximos 12 meses | Tenemos implementaciones en la nube, pero sin ampliaciones ni actualizaciones | Estamos ampliando o actualizando el uso en la nube | Estamos reduciendo o eliminando el uso en la nube |
Funciones sin servidor | 8 % | 21 % | 39 % | 24 % | 7 % | 0 % |
Máquinas virtuales | 3 % | 14 % | 33 % | 34 % | 13 % | 3 % |
Contenedores | 2 % | 11 % | 32 % | 35 % | 16 % | 3 % |
Gestión de RR. HH. | 2 % | 12 % | 26 % | 40 % | 18 % | 2 % |
Correo electrónico | 2 % | 5 % | 25 % | 35 % | 26 % | 7 % |
y beneficio económico | 3 % | 11 % | 25 % | 32 % | 24 % | 6 % |
Gestión de servicios de TI (ITSM) | 0 % | 5 % | 24 % | 34 % | 30 % | 8 % |
Planificación de recursos empresariales (ERP) | 1 % | 4 % | 17 % | 37 % | 32 % | 9 % |
Gestión de relaciones con los clientes (CRM) | 0 % | 6 % | 14 % | 42 % | 28 % | 10 % |
Base: 262 profesionales de las áreas de TI y Seguridad con autoridad para tomar decisiones finales por la infraestructura en la nube/arquitectura de su organización.
Fuente: Estudio encomendado en 2023 por Tenable a Forrester Consulting.
Demasiados datos, demasiados entornos aislados, demasiadas partes interesadas
Dado el complejo ecosistema en la nube que existe en la mayoría de las organizaciones, no es sorprendente que los hallazgos en la nube ocupen el primer puesto en la lista de fuentes de datos que utilizan los tomadores de decisiones para determinar el riesgo general de exposición. Sin embargo, los hallazgos en la nube están lejos de ser la única fuente. Las fuentes de inteligencia de amenazas, las revelaciones de vulnerabilidades y los hallazgos de evaluaciones de preparación para incidentes son algunas de las fuentes de las que dependen los tomadores de decisiones en la nube.
¿Cuál de las siguientes fuentes de datos utiliza su organización para identificar la exposición general al riesgo?
Fuente de datos | Porcentaje de encuestados |
Hallazgos en la nube | 69 % |
Fuentes de inteligencia de amenazas | 55 % |
Revelaciones de vulnerabilidades | 52 % |
Hallazgos de evaluaciones de preparación para incidentes | 52 % |
Resultados de pruebas de penetración | 47 % |
Hallazgos de la superficie de ataque externa | 42 % |
Perfiles y privilegios de los usuarios | 35 % |
Hallazgos de tecnología operativa | 31 % |
Inventarios de activos | 26 % |
Se admiten varias respuestas.
Base: 262 profesionales de las áreas de TI y Seguridad con autoridad para tomar decisiones finales por la infraestructura en la nube/arquitectura de su organización.
Fuente: Estudio encomendado en 2023 por Tenable a Forrester Consulting.
Agrupar todos estos datos a partir de varios sistemas aislados en silos es un trabajo complejo y lento. De hecho, las áreas aisladas en las organizaciones, la falta de higiene de los datos y el enfoque en una ciberseguridad más reactiva que preventiva son todas partes fundamentales que convierten la seguridad en la nube en un desafío. En particular:
- Siete de cada diez (70 %) tomadores de decisiones en la nube aseguran que los sistemas aislados en silos de su organización constituyen una barrera para obtener datos de los usuarios.
- La mitad afirma que su organización carece de una forma eficaz de integrar los datos de los usuarios en las prácticas de gestión de vulnerabilidades.
- Más de la mitad (55 %) dice que la falta de higiene en los sistemas de gestión de vulnerabilidades y datos de usuarios de su organización les impide extraer datos de calidad para ayudar a los empleados a tomar decisiones de priorización.
- Seis de cada diez (58 %) afirman que el equipo de ciberseguridad está demasiado ocupado luchando contra incidentes críticos para adoptar un abordaje preventivo con el fin de reducir la exposición de su organización.
- Casi tres cuartas partes (74 %) consideran que su organización tendría más éxito en la defensa contra los ataques cibernéticos si se dedicaran más recursos a la ciberseguridad preventiva.
Para complicar más las cosas, la responsabilidad sobre la supervisión de los sistemas de gestión de identidades y acceso parece un deporte de equipo que involucra a profesionales de operaciones de las áreas de TI y seguridad, Riesgo y cumplimiento, y Gobierno. La mayoría de los encuestados (67 %) utiliza tres o más sistemas de gestión de identidades y acceso, y puede haber cinco tipos diferentes de equipos implicados en la gestión de estos sistemas: Operaciones de TI (77 %), Operaciones de seguridad (61 %), Identidades y acceso (53 %), Riesgo y cumplimiento (36 %), y Gobierno (32 %).
¿Quién administra los sistemas de gestión de privilegios e identidades que se utilizan en su organización?
Equipo | Porcentaje de encuestados |
Operaciones de TI | 77 % |
Operaciones de seguridad | 61 % |
Equipo de identidades y acceso | 53 % |
Riesgo y cumplimiento | 36 % |
Gobierno | 32 % |
Mi organización no tiene sistemas de gestión de privilegios e identidades | 2 % |
Otro | 1 % |
Se admiten varias respuestas.
Base: 262 profesionales de las áreas de TI y Seguridad con autoridad para tomar decisiones finales por la infraestructura en la nube/arquitectura de su organización.
Fuente: Estudio encomendado en 2023 por Tenable a Forrester Consulting.
Además, la mayoría de los tomadores de decisiones en la nube encuestados cumplen varias funciones y se identifican a sí mismos como tomadores de decisiones finales de otras áreas clave, incluyendo DevSecOps, Gestión de vulnerabilidades y el Centro de Operaciones de Seguridad (SOC).
Soy quien tiene la última palabra en la toma de decisiones de estos sistemas
Práctica | Porcentaje de encuestados |
DevSecOps | 61 % |
Gestión de vulnerabilidades | 58 % |
Operaciones de seguridad/SOC | 57 % |
Aplicaciones de SaaS/herramientas | 56 % |
Operaciones de TI | 56 % |
Gestión de identidades y acceso/privilegios | 53 % |
DevOps | 53 % |
Base: 262 profesionales de las áreas de TI y Seguridad con autoridad para tomar decisiones finales por la infraestructura en la nube/arquitectura de su organización.
Fuente: Estudio encomendado en 2023 por Tenable a Forrester Consulting.
Aun así, la ciberseguridad suele quedar afuera en la mayoría de las etapas de la implementación tecnológica.
¿Con qué frecuencia colabora el equipo de ciberseguridad de su organización durante las siguientes etapas de la implementación?
Etapa | Nunca | Casi nunca | A veces | Casi siempre | Siempre |
Revisión de arquitectura | 1 % | 10 % | 38 % | 35 % | 15 % |
Alcance | 2 % | 16 % | 41 % | 32 % | 9 % |
Pedido de propuestas (RFP) | 3 % | 10 % | 31 % | 35 % | 21 % |
Evaluación del proveedor/prueba de concepto (PoC) | 2 % | 10 % | 33 % | 31 % | 24 % |
Configuración e implementación | 0 % | 5 % | 27 % | 42 % | 26 % |
Gestión de acceso y privilegios de usuarios | 0 % | 2 % | 23 % | 38 % | 35 % |
Mantenimiento y gestión continua de proveedores | 1 % | 9 % | 27 % | 40 % | 23 % |
Gestión de excepciones y gobierno | 1 % | 11 % | 21 % | 45 % | 22 % |
Base: 262 profesionales de las áreas de TI y Seguridad con autoridad para tomar decisiones finales por la infraestructura en la nube/arquitectura de su organización.
Fuente: Estudio encomendado en 2023 por Tenable a Forrester Consulting.
DevOps es otra área que preocupa a los tomadores de decisiones en la nube: cuatro de cada diez (42 %) afirma que el equipo de DevOps de su organización no prioriza la seguridad en su proceso de desarrollo de código.
Más información acerca de los encuestados
Los encuestados del estudio representan a los tomadores de decisiones en la nube que trabajan en TI (65 %) y en Ciberseguridad (35 %). Lo más probable es que sean vicepresidentes o directores, más que altos ejecutivos. Están muy involucrados en la estrategia de TI y seguridad.
¿Cuál de las siguientes descripciones se adapta mejor a su puesto/departamento actual?
Puesto/departamento | Porcentaje de encuestados |
TI | 65 % |
Ciberseguridad/InfoSec | 35 % |
Base: 262 profesionales de las áreas de TI y Seguridad con autoridad para tomar decisiones finales por la infraestructura en la nube/arquitectura de su organización.
Fuente: Estudio encomendado en 2023 por Tenable a Forrester Consulting.
¿Qué cargo describe mejor el puesto que ocupa en su organización?
Cargo | Porcentaje de encuestados |
Principal tomador de decisiones de TI o seguridad de la empresa (p. ej., CIO, CISO, CTO) | 22 % |
Director de seguridad de la información de negocios (BISO) | 3 % |
Vicepresidente del área de TI o Seguridad | 40 % |
Director del área de TI o Seguridad | 35 % |
Base: 262 profesionales de las áreas de TI y Seguridad con autoridad para tomar decisiones finales por la infraestructura en la nube/arquitectura de su organización.
Fuente: Estudio encomendado en 2023 por Tenable a Forrester Consulting.
¿En qué medida se involucra con el establecimiento, la gestión y/o la implementación de las siguientes áreas de su estrategia de TI/seguridad en su organización?
Área | Marginalmente involucrado | Moderadamente involucrado | Muy involucrado |
Presupuesto | 1 % | 45 % | 53 % |
Métricas de desempeño | 0 % | 40 % | 59 % |
Estrategias de negocios | 0 % | 48 % | 52 % |
Base: 262 profesionales de las áreas de TI y Seguridad con autoridad para tomar decisiones finales por la infraestructura en la nube/arquitectura de su organización.
Fuente: Estudio encomendado en 2023 por Tenable a Forrester Consulting.
Cuatro recomendaciones para reducir el riesgo en la seguridad en la nube
La protección de su compleja infraestructura en la nube requiere el abordaje de diversas personas, procesos y desafíos tecnológicos. Aquí mostramos cuatro recomendaciones para comenzar:
- Elimine los entornos aislados. Desarrolle un plan para estandarizar la seguridad en la nube a lo largo de diversas unidades de negocios, mediante un único punto de referencia que los equipos puedan utilizar en las áreas de Seguridad, TI, DevOps y DevSecOps. ¿Puede determinar rápidamente las relaciones entre usuarios, sistemas y activos a lo largo de su organización, de modo que pueda identificar y abordar de forma realista su exposición? O bien, ¿sus sistemas aislados en silos forman una barrera que le impide integrar eficazmente esos datos en sus prácticas de seguridad en la nube? La estandarización puede ayudar a minimizar la fricción entre los equipos de TI, seguridad y desarrollo, y garantizar una toma de decisiones ágil en función de recomendaciones precisas que todo el mundo puede comprender.
- Desarrolle un mapa para visualizar su superficie de ataque. Conocer los activos en la nube que tiene es solo el comienzo. Necesita visibilidad hacia las configuraciones, las identidades digitales y los permisos asociados para cada activo de su red. Solo si cuenta con una vista contextualizada de activos, configuraciones e identidades podrá lograr la visibilidad necesaria para realizar el tipo de análisis preciso que permite a los equipos de seguridad brindar recomendaciones específicas a fin de reducir el riesgo.
- Aborde los desafíos multinube. Cada proveedor principal de nube pública (Amazon Web Services (AWS), Google Cloud Platform (GCP) y Microsoft Azure) gestiona y configura los componentes en la nube de manera diferente, lo cual genera inconsistencias en el monitoreo continuo de la seguridad. Intente consolidar la información de todos sus proveedores de nube pública en un espacio unificado de gestión y monitoreo. Esto requiere comprender los diferentes mecanismos en juego, incluyendo la infraestructura del proveedor de nube y el modelo de permisos, y puede ayudar a sentar las bases para recomendaciones de corrección precisas y consolidadas.
- Busque soluciones automatizadas. Las soluciones automatizadas de seguridad en la nube pueden ayudarle a analizar constantemente la exposición al riesgo de su organización y los hallazgos presentes de manera fácil, accionable y práctica, sin la necesidad de que los equipos tengan conocimientos técnicos detallados. Las herramientas de seguridad automatizadas proporcionan a los equipos la capacidad de comprender, investigar y navegar el riesgo en medio de la complejidad. Con la solución automatizada correcta, podrá obtener visibilidad completa hacia sus activos en la nube, usuarios y configuraciones, consolidar la información de todos los proveedores de nuble pública en un espacio unificado de gestión y monitoreo, y hacer trabajos de priorización y corrección en función de la gravedad del riesgo. La automatización puede multiplicar los esfuerzos de los equipos de seguridad que tanto carecen de recursos.
Cuando buscan las soluciones correctas de seguridad en la nube, las organizaciones deben enfocarse en aquellas que reducen la complejidad y el riesgo. Las soluciones correctas de seguridad en la nube deben ser fáciles de usar para el usuario y estandarizar la seguridad en la nube a lo largo de diferentes unidades comerciales. Una solución robusta sirve como asesora, y ofrece información sobre las vulnerabilidades o los errores de configuración que requieren atención inmediata. También debe poder brindar información accionable y de priorización de riesgos bien contextualizada para que la toma de decisiones fundamentadas cuente con datos de mitigación y herramientas para automatizar y acelerar los trabajos de corrección.
Artículos relacionados
- Cloud
- Cloud
- Exposure Management