Symantec y Ponemon Institute anunciaron las conclusiones de un estudio que revela que la mayoría de las empresas carecen de los procedimientos, directivas y herramientas adecuadas para garantizar la protección de la información confidencial de la nube. A pesar de la preocupación que existe en torno a la seguridad, y del crecimiento esperado en servicios en la nube, sólo el 27% de los participantes declaró que su empresa contaba con los procedimientos correspondientes para aprobar aplicaciones en la nube que utilicen información confidencial o sensible.

En la mayoría de las empresas existe un gran distanciamiento entre aquellos que evalúan a los proveedores de servicios en la nube y los directores de TI y de seguridad, los cuales deberían, en última instancia, asumir toda la responsabilidad. De las empresas encuestadas, el 68% indicó que los encargados de evaluar a los proveedores de servicios en la nube son los usuarios finales y los responsables del negocio. Sólo el 20% afirmó que los equipos de seguridad de información se involucraban habitualmente en la toma de decisiones, y aproximadamente un cuarto dijo que nunca participaban. No obstante, el 69% indicó que prefería que los equipos corporativos de TI o los responsables de seguridad lideraran el proceso de la toma de decisiones acerca de los servicios en la nube.

El estudio concluyó que los empleados toman decisiones sin contar con la opinión de los departamentos de TI o el conocimiento acerca de los riesgos de seguridad. Sólo el 30% de los encuestados evalúan a los proveedores de servicios en la nube antes de implementar sus productos. Otras conclusiones del estudio:

Las empresas evalúan los servicios en la nube por referencia verbal del boca a boca (el 65%), por acuerdos contractuales y por garantías por parte del proveedor (el 55 y el 53% respectivamente). Sólo el 23% solicita pruebas de conformidad con la normativa, el 18% confía en el asesoramiento de seguridad realizado internamente, y tan solo el 6% basa su decisión de acuerdo a evaluaciones de expertos de seguridad o auditores.

Más del 75% de los encuestados observó que la migración a los servicios en la nube no ocurría de forma totalmente idónea debido a la falta de control sobre los usuarios finales. La carencia de recursos para llevar a cabo las evaluaciones adecuadas, la falta de liderazgo para supervisar el proceso y la baja prioridad concedida a las evaluaciones eran también factores a tener en cuenta.

Sólo el 19% de los encuestados indicó que su empresa proporcionaba formación general en seguridad de datos en donde se incluía el tema de aplicaciones en la nube. Por el contrario, el 42% de los encuestados observó que su empresa ofrecía formación general sobre seguridad de datos en donde no se incluía el tema de las aplicaciones en la nube. 

Asegurarse de que las directivas y los procesos especifiquen claramente la importancia de proteger la información sensible almacenada en la nube. La directiva debe subrayar qué información se considera sensible y privada.

Las empresas deben adoptar medidas en la gestión de la información que incluyan herramientas y procesos para clasificar su información y entender los riesgos existentes, y de este modo establecer directivas que especifiquen qué servicios basados en la nube y aplicaciones son adecuadas, y cuáles no lo son.

Evaluar la postura con respecto a la seguridad de terceros antes de compartir información sensible o confidencial. Como parte del proceso, los expertos en seguridad de la información y/o de TI, deben llevar a cabo revisiones exhaustivas y auditar las cualificaciones de seguridad del proveedor.

Antes de implementar la tecnología en la nube, las empresas deben formar a sus empleados seriamente en la mitigación de los riesgos de seguridad específicos a esta tecnología nueva, con el fin de proteger la información confidencial y sensible.

• www.symantec.com 
• www.ponemon.org