2 jun 2021

"La seguridad del SaaS en manos de usuarios finales puede resultar bastante caro" [Proofpoint]

Proofpoint, empresa de ciberseguridad y cumplimiento normativo, y el Instituto Ponemon, una de las principales organizaciones de investigación sobre seguridad, han publicado los datos de un estudio acerca del coste que tienen para las organizaciones el compromiso de cuentas cloud y la TI en la sombra.

Estas apropiaciones fraudulentas han supuesto unos 6,2 millones de dólares en un periodo de 12 meses, según más de 600 profesionales de TI y de seguridad encuestados en Estados Unidos. El 68% considera además que estos compromisos de cuentas cloud suponen un riesgo de seguridad significativo para sus organizaciones, mientras que más de la mitad indica que la frecuencia y gravedad de estos incidentes ha aumentado en los últimos 12 meses.

"Este estudio demuestra que dejar la seguridad del SaaS en manos de los usuarios finales o de las áreas de negocio puede resultar bastante caro", señala Larry Ponemon, presidente y fundador del Instituto Ponemon. "Los compromisos de cuentas cloud y la pérdida de información sensible pueden interrumpir la actividad de negocio, dañar la reputación de las organizaciones y ocasionarles pérdidas millonarias cada año".

Solo el 44% de los encuestados cree que sus organizaciones han establecido funciones y responsabilidades para salvaguardar información confidencial o sensible en la cloud. Asimismo, la percepción de riesgo se magnifica entre los participantes de este estudio, ya que menos del 40% afirma que sus organizaciones permanecen vigilantes evaluando las aplicaciones cloud antes de su despliegue.

Otras conclusiones claves de este estudio son las siguientes:

  • Los compromisos de cuentas cloud son incidentes costosos y presentan un riesgo de seguridad considerable. Según el 86% de los encuestados, el coste anual de los compromisos de cuentas cloud supera los 500.000 dólares. El estudio revela también que hay una media de 64 casos de este tipo al año, de los cuales en un 30% se expuso datos sensibles. Casi el 60% de los profesionales señala asimismo que las cuentas de Microsoft 365 y Google Workspace figuran como objetivo destacado en ataques de fuerza bruta y de phishing en la cloud. Por lo general, más del 50% dice que el phishing es el método más frecuente que utilizan los atacantes para adquirir credenciales legítimas en la cloud.
  • La TI en la sombra crea riesgos considerables para las organizaciones. El 75% de los encuestados afirma que el uso de aplicaciones y servicios cloud sin la aprobación del departamento de TI constituye un grave riesgo de seguridad. El movimiento hacia la cloud y la fuerza de trabajo móvil (72%), así como las herramientas de colaboración o mensajería basadas en cloud para compartir archivos sensibles o confidenciales (70%) son otras de las prácticas que aumentan asimismo los riesgos.
  • Una autenticación sólida y controles de acceso adaptables son esenciales para asegurar la entrada a recursos cloud. Más del 70% de los profesionales fomenta múltiples estándares de identidad federada, incluido SAML, y una autenticación sólida para poder acceder a datos y aplicaciones en la cloud. El 61% se muestra además de acuerdo en que los controles de acceso adaptables son esenciales para proteger a los usuarios de mayor riesgo.

"La seguridad del SaaS no puede ser algo que se deje al azar, dado el alto coste que tiene el compromiso de cuentas cloud y el hecho de que se trabaje actualmente en entornos híbridos. El movimiento hacia la cloud y el aumento de la colaboración requieren una estrategia de seguridad centrada en las personas y respaldada por una solución de agente de seguridad de acceso a la nube (CASB) que se integre dentro de una cartera más amplia de seguridad de la cloud, del correo electrónico y de los endpoints", comenta Tim Choi, vicepresidente de marketing de producto de Proofpoint. "Este enfoque abordaría eficazmente problemas como el compromiso de cuentas cloud, el acceso no autorizado a datos y el gobierno de aplicaciones en este entorno. Las organizaciones necesitan roles claramente definidos, unas directrices de responsabilidad establecidas y una solución CASB que pueda estar operativa en cuestión de horas y no en semanas".

El estudio "The Cost of Cloud Compromise and Shadow IT" [PDF] está disponible en este enlace (con registro previo).

Fuente: DiarioTI

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!