Recomendaciones para proteger la actividad corporativa en entornos virtuales

De acuerdo con el más reciente informe de la Unit 42, de Palo Alto Networks, el 80% de los riesgos de seguridad existentes se presentan en sistemas en la nube.

Noviembre de 2023 – Durante la última década, empresas de todo el mundo han empezado a crear e implantar aplicaciones en la nube. Según Gartner, se espera que esta tecnología crezca en adopción durante los próximos años, debido a que el 65% de las cargas de trabajo en aplicaciones estarán listas para su entrega en la nube en 2027, frente al 45% que se registró en 2022.

Octubre es el Mes de Concientización sobre Ciberseguridad y los expertos destacan la importancia de las medidas de seguridad integradas en la nube. La encuesta Cloud-Native Security, de Palo Alto Networks (PANW), ha revelado que la frecuencia de despliegue de aplicaciones en la nube ha aumentado un 67% durante los últimos 12 meses.

Además de esto, el 80% de las exposiciones y vulnerabilidades en materia de seguridad se producen en la nube, en comparación con el 19% que se registra en los servidores locales, lo que da lugar a violaciones y robo de datos a gran escala, según señala el informe 2023 Attack Surface Threat Report de Unit 42, la unidad de inteligencia e investigación de PANW.

Los objetivos son diversos

El informe de la Unit 42 analizó la superficie de ataque de las empresas durante un periodo determinado y calculó la proporción media de exposiciones de alto riesgo alojadas en la nube para cada sector. Transporte y logística encabeza la lista con un 85%, seguido de Seguros (64%), Servicios Financieros (60%), Alta Tecnología (50%), Sanidad (46%), Ventas y Retail (32%) y, por último, Educación (9%).

Los datos mostraron que una cuarta parte de las exposiciones en entornos educativos que han sufrido ataques en los últimos años son atribuibles al intercambio inseguro de archivos. Hoy en día, la comunicación entre profesores y alumnos, por ejemplo, se ha vuelto aún más en línea, y muchos han dejado de enviar trabajos en papel.

«Invertir en ciberseguridad es crucial para garantizar la seguridad de la información, pero comprender la situación actual de la empresa y crear un plan estratégico de mejoras basado en pruebas y evaluaciones estructuradas continuas, adoptar medidas de seguridad proporcionales a los riesgos y garantizar la capacitación de los equipos también son consideraciones esenciales», afirma Germán Rincón, Country Manager para Colombia de Palo Alto Networks.

Reforzar la seguridad

El aumento de los ataques a la nube está superando la velocidad a la que los equipos y soluciones de seguridad pueden proteger a sus organizaciones. «Una de las formas de proteger las aplicaciones desde el código hasta la nube sería evitar que entren en el proceso de desarrollo de software desde la creación hasta las pruebas y el despliegue, para evitar brechas en las aplicaciones que están en producción», afirma Germán Rincón, Country Manager para Colombia de Palo Alto Networks.

Para lograr una seguridad más avanzada, las empresas pueden implantar plataformas integradas de protección de aplicaciones nativas de la nube (CNAPP), que permiten rastrear desde su origen las vulnerabilidades y los errores de configuración en la fuente.

El experto también revela que, en promedio, las empresas emplean entre seis y diez herramientas sólo para proteger la infraestructura en la nube, y estos recursos conducen a una postura de seguridad incompleta, ya que los casos son diferentes y aislados y crean pesadas cargas operativas para los equipos.

Un ejemplo de herramientas que se usan a través de esta tecnología, es Darwin, la última versión de Prisma Cloud, de Palo Alto Networks, que protege el ciclo de vida de las aplicaciones desde el código (fuente) hasta la nube. El software permite una colaboración más rápida y eficiente entre equipos, la identificación y resolución de problemas de seguridad para evitar riesgos y detener brechas más rápidamente, así como proporcionar una única fuente de verdad sobre los riesgos para desarrolladores y equipos.

Para Melinda Marks, Directora de Área de Enterprise Security Group, la realidad actual es que nos enfrentamos a una escasez de competencias en ciberseguridad, especialmente en seguridad en la nube. «Mientras las organizaciones siguen adoptando cada vez más servicios en la nube para acelerar el desarrollo de aplicaciones y satisfacer las demandas de los clientes, se enfrentan a un entorno de amenazas en constante evolución que cada vez apunta más exactamente a las cargas de trabajo en la nube”. 

“En este contexto, se hace imperativo invertir en soluciones de seguridad eficaces que permitan aumentar la productividad del desarrollo, desde la creación de código hasta la migración a la nube, facultando a los equipos de seguridad para optimizar la mitigación de riesgos y la protección de las aplicaciones, garantizando así el crecimiento del negocio», concluye.