Las brechas de datos en la nube se deben cada vez más a errores humanos

Según indica un reciente informe elaborado por Kaspersky Lab, en torno a un 90% de las violaciones de datos que se producen en los entornos cloud corporativos se deben a técnicas de ingeniería social dirigidas a los empleados de las organizaciones. En el caso de las PYMEs el porcentaje es del 88% y en las grandes empresas del 91%, lo que pone de manifiesto que las causas de estos graves problemas no se encuentran en una falta de seguridad por parte de los proveedores, sino en las malas prácticas y errores cometidos por los propios trabajadores.

Esto tiene un importante impacto en el funcionamiento de los negocios, ya que las organizaciones están apostando cada vez más por la nube para apoyar sus estrategias digitales, y el buen funcionamiento de estas plataformas es una preocupación creciente, tanto por la continuidad de los procesos de negocio como por la seguridad de la información, los dos objetivos principales de los ciberdelincuentes.

Los datos de Kaspersky lab indican que el 35% de las PYMEs y el 39% de las grandes empresas están elevando su preocupación por los incidentes de seguridad que afecten a las infraestructuras alojadas por terceros, ya que puede generar recortes de los beneficios, generar importantes riesgos comerciales y pérdidas de reputación. Para evitar estos problemas, las organizaciones tienen aún bastante margen de actuación, recurriendo por ejemplo a sistemas de seguridad específicamente enfocados al trabajo con servicios en la nube de terceros, pero solo el 39% de las PYMEs y el 47% de las empresas han implementado estas medidas.

Esto se debe, según los expertos, a que la mayoría de las empresas confían en la ciberseguridad que aplican los proveedores de la nube, y no están teniendo en cuenta la importante brecha de seguridad que suponen las técnicas de ingeniería social que se emplean para robar las credenciales de acceso, como el phishing.

En palabras de Maxim Frolov, vicepresidente de ventas globales de Kaspersky Lab “El primer paso para cualquier empresa al migrar a una nube pública es comprender quién es responsable de sus datos comerciales y las cargas de trabajo que contiene. Los proveedores de la nube normalmente tienen medidas de ciberseguridad dedicadas para proteger sus plataformas y clientes, pero cuando una amenaza está del lado del cliente, ya no es responsabilidad del proveedor. Nuestra investigación muestra que las empresas deberían estar más atentas a la higiene de la ciberseguridad de sus empleados y tomar medidas que protejan su entorno de nube desde dentro”.

Por ello, Kasperky Lab recomienda a las empresas una serie de medidas para protegerse frente a estas amenazas tan peligrosas, protegiendo al máximo sus datos alojados en la nube. La primera es informar adecuadamente a los empleados acerca de los riesgos de seguridad del trabajo en la nube y de las buenas prácticas que deben seguir para no poner en riesgo los datos. Por ejemplo, no abrir enlaces ni archivos adjuntos provenientes de emails desconocidos. También se debería concienciar al personal sobre los problemas de seguridad que implica usar lo que se denomina como infraestructura TI en la sombra, estableciendo además procedimiento aprobados por la empresa para la compra y consumo de infraestructura en cada departamento.

Lo siguiente es implementar una solución de seguridad de punto final, específicamente diseñada para evitar las técnicas de ingeniería social, como protección para los servidores y clientes de correo electrónico, y para los navegadores web. Además, es vital recurrir a una solución de ciberseguridad enfocada al trabajo con entornos de la nube, que debería implementarse antes de realizar cualquier migración. Y destaca la importancia de recurrir a una solución que tenga una consola de administración única, que facilite la gestión de la seguridad.