La adopción de la nube y, en particular de la multinube, continúa en aumento en todas las industrias, incluida la atención de la salud. Sin embargo, los riesgos de ciberseguridad en la nube también van en aumento. De acuerdo con el 2022 Thales Cloud Security Report, el 45% de las empresas han sufrido una filtración de datos en la nube o no han podido superar una auditoría en los últimos 12 meses. Ello supone un aumento del 5% con respecto al año anterior, lo cual aumenta la preocupación por ciberseguridad en la nube. El reporte fue elaborado por 451 Research, de S&P Global Market Intelligence. Para ello, encuestaron a casi 2,800 profesionales de TIC y líderes ejecutivos (incluidos 115 del sector salud) de 10 sectores industriales en 17 países.
En 2015, las organizaciones empleaban una media de ocho aplicaciones de software como servicio (Software-as-a-Service, SaaS). En 2021, el número había aumentado hasta rondar las 110 aplicaciones. El uso de múltiples proveedores de infraestructura como servicio (Infrastructure-as-a-Service, IaaS) también ha experimentado una notable expansión. El 72% de las empresas utilizan múltiples proveedores de IaaS en 2022, frente al 57% del año anterior. El uso de múltiples proveedores casi se ha duplicado en el último año: el 20% de los encuestados declaran utilizar tres o más proveedores.
A pesar de una mayor prevalencia y uso, las empresas comparten preocupaciones respecto a la creciente complejidad de los servicios en la nube. El 51% de los profesionales de TIC coinciden en que es más complejo gestionar la privacidad y la ciberseguridad en la nube. Además, la transición a la nube también se está volviendo más compleja. El porcentaje de encuestados que declaran que esperan «levantar y cambiar» (la más sencilla de las tácticas de migración), ha descendido del 55% en 2021 al 24%este año.
Cifrado para los entornos multinube
El aumento de la complejidad conlleva la necesidad de una ciberseguridad en la nube más sólida. Cuando se les preguntó qué porcentaje de sus datos sensibles se almacenaban en la nube, 66% respondió que entre el 21% y el 60%. Sin embargo, el 25% respondió que podía clasificar completamente todos los datos.
Asimismo, el 32% de los encuestados admitió haber tenido que emitir una notificación de filtración a una agencia gubernamental, cliente, socio o empleados. Esto debería ser motivo de preocupación para las empresas con datos sensibles, sobre todo en sectores muy regulados, como el de la salud.
Los ciberataques también representan un riesgo constante para las aplicaciones y los datos en la nube. Las respuestas indican que la prevalencia de ataques es cada vez mayor. El 26% menciona un aumento de malware, el 25% de ransomware y el 19% afirma haber visto un aumento de phishing.
Si se trata de proteger los datos en entornos multinube, los profesionales de TIC consideran que el cifrado es un control de seguridad fundamental. La mayoría de los encuestados citaron el cifrado (59%) y la gestión de claves (52%) como las tecnologías de ciberseguridad en la nube que utilizan actualmente.
Sin embargo, sólo el 11% de los encuestados declaró que entre el 81% y el 100% de sus datos en la nube estaba cifrado. Además, la proliferación de plataformas de gestión de claves puede ser un problema para las empresas. El 10% de los encuestados utiliza una o dos plataformas, el 90% utiliza tres o más, y el 17% utiliza ocho o más plataformas.
Zero Trust, mejor ciberseguridad en la nube
El cifrado debería ser un área prioritaria para las empresas cuando se trata de ciberseguridad en la nube. De hecho, el 40% de los encuestados declaró que pudo evitar el proceso de notificación de filtraciones porque los datos robados o filtrados estaban cifrados o tokenizados. Ello demuestra el valor tangible de las plataformas de cifrado.
Además, resulta alentador comprobar que las empresas adoptan el principio Zero Trust e invierten en consecuencia. El 29% de los encuestados afirmó que ya ejecuta una estrategia de Zero Trust. El 27% dijo que está evaluando y planificando una, e incluso el 23% señaló que la está considerando.
Sebastien Cano, vicepresidente senior de actividades de protección de la nube y licencias de Thales, comentó: «La complejidad de la gestión de los entornos multinube no se puede sobrevalorar. Además, la creciente importancia de la soberanía de los datos está planteando cada vez más preguntas a los directores de seguridad de la información. No se trata únicamente de dónde residen geográficamente los datos sensibles, sino incluso de quién tiene acceso a ellos dentro de la organización».