Llegamos a ustedes gracias a:



Reportajes y análisis

¿Cómo asegurar la nube?

Nuevos datos indican el camino

[12/06/2019] La marcha hacia la nube para datos y servicios ha hecho que muchas empresas reconsideren su enfoque de la ciberseguridad. ¿Necesitan una estrategia de seguridad en la nube? ¿Cuál es la diferencia de una estrategia de seguridad en la nube? Encuestas recientes han arrojado luz sobre cómo están cambiando las estrategias de seguridad y, lo que es más importante, cómo deberían cambiar.

Colocar más infraestructura de TI en la nube es de alguna manera más seguro que tenerla en casa. Por ejemplo, puede estar razonablemente seguro de que el sistema está ejecutando la última versión con los parches adecuados. Los proveedores de servicios cloud también están incorporando nuevas capacidades, como el uso de lenguaje de máquina, para la detección de anomalías. Sin embargo, también presenta nuevos riesgos, algunos de los cuales son el resultado de un malentendido sobre cómo gestionar la seguridad en la nube.

Es importante saber cómo la estrategia de TI en la nube de una empresa, ya sea híbrida, alojada de forma privada o pública, afecta a su estrategia de ciberseguridad y a la ejecución táctica de dicha estrategia.

¿Qué datos sensibles hay en la nube?

En octubre del 2018, McAfee publicó su informe sobre adopción y riesgo del cloud computing 2018. Esa investigación demostró que el intercambio de datos confidenciales a través de la nube aumenta en un 53% con respecto al año anterior, lo que supone un gran salto. De todos los archivos en la nube, el 21% contiene datos confidenciales, encontró McAfee, y el 48% de esos archivos son eventualmente compartidos.

Estos datos sensibles incluyen datos confidenciales de la empresa (27%), datos de correo electrónico (20%), datos protegidos por contraseña (17%), información de identificación personal (PII) (16%), datos de pago (12%) y datos de salud personal (9%). El riesgo asociado a los datos confidenciales en la nube está creciendo, a medida que las empresas los confían más a la nube. Según McAfee, un 28% más de datos confidenciales se colocaron en la nube durante el año anterior.

Con tantos datos confidenciales en la nube y compartidos a través de la nube, el robo por piratería no es el único riesgo. McAfee descubrió que las empresas tienen un promedio de 14 instancias de infraestructura como servicio (IaaS, por sus siglas en inglés) mal configuradas, lo que resulta en un promedio de 2.200 incidentes de configuración errónea al mes en los que los datos están expuestos al público.

¿Cuál es el riesgo de la seguridad en la nube?

Los datos del proveedor de seguridad de la nube Alert Logic muestran la naturaleza y el volumen de riesgo de cada forma de entorno de nube, en comparación con un centro de datos local. Durante 18 meses, la empresa analizó 147 petabytes de datos de más de 3.800 clientes para cuantificar y categorizar los incidentes de seguridad. Durante ese tiempo, identificó más de 2,2 millones de incidentes de seguridad verdaderamente positivos. Los hallazgos clave incluyen:

* Los entornos de cloud híbridos experimentaron el mayor número medio de incidentes por cliente con 977, seguidos por la cloud privada alojada (684), el centro de datos local (612) y la cloud pública (405).

  • Hasta ahora, el tipo de incidente más común fue un ataque a una aplicación web (75%), seguido por un ataque de fuerza bruta (16%), reconocimiento (5%), y software de rescate del lado del servidor (2%).
  • Los vectores más comunes para ataques de aplicaciones web fueron SQL (47,74%), Joomla (26,11%), Apache Struts (10,11%) y Magento (6,98%).
  • * Wordpress fue el objetivo de fuerza bruta más común con un 41%, seguido por MS SQL con un 19%.

Tanto si se trata de un entorno de nube pública, privada o híbrida, las amenazas de las aplicaciones web son dominantes. Lo que es diferente entre ellos es el nivel de riesgo al que se enfrenta. "Como defensores, en Alert Logic nuestra capacidad para proteger eficazmente la nube pública también es mayor, porque vemos una mejor relación señal/ruido y perseguimos menos ataques ruidosos", señala Misha Govshteyn, cofundadora de Alert Logic. "Cuando vemos incidentes de seguridad en entornos de nubes públicas, sabemos que tenemos que prestar atención, porque generalmente son más silenciosos".

Los datos muestran que algunas plataformas son más vulnerables que otras. "Esto aumenta su superficie de ataque a pesar de sus mejores esfuerzos", añade Govshteyn. Como ejemplo, señala que "a pesar de la creencia popular", la pila LAMP ha sido mucho más vulnerable que la pila de aplicaciones basada en Microsoft. También ve las aplicaciones PHP como un hotspot.

"Los sistemas de gestión de contenidos, especialmente Wordpress, Joomla y Django, se utilizan como plataformas para aplicaciones web mucho más de lo que la mayoría de la gente cree, y tienen numerosas vulnerabilidades", indica Govshteyn. "Es posible mantener la seguridad de estos sistemas, pero solo si entiende los marcos y plataformas web que sus equipos de desarrollo tienden a utilizar. La mayoría de la gente de seguridad apenas presta atención a estos detalles, y toma decisiones basadas en malas suposiciones".

Para minimizar el impacto de las amenazas de la nube, Alert Logic tiene tres recomendaciones principales:

  • Confíe en las listas blancas de aplicaciones y bloquee el acceso a programas desconocidos. Esto incluye la realización de evaluaciones de riesgo vs. valor para cada aplicación utilizada en la organización.
  • Entender su propio proceso de parches y priorizar su despliegue.
  • Restringir los privilegios administrativos y de acceso en función de las tareas actuales de los usuarios. Esto requerirá mantener actualizados los privilegios, tanto para las aplicaciones como para los sistemas operativos.

6 tipos de amenazas de nube

En abril de 2018, el proveedor de plataformas de seguridad en la nube, ShieldX, describió seis categorías de amenazas de seguridad en la nube que cree que podrían ocurrir. La mayoría de las organizaciones tendrán dificultades para mitigar el riesgo de estas amenazas, debido a la brecha entre sus defensas y la naturaleza de las amenazas, señala Manuel Nedbal, CTO y vicepresidente senior de ShieldX. "Existe un desfase entre el factor de forma físico del centro de datos y el perímetro virtual. Los controles de seguridad tradicionales fueron construidos para proteger el factor de forma físico, lo que abre la puerta a las amenazas de seguridad".

Estos controles deben cambiar a medida que las organizaciones realizan la transición a centros de datos virtualizados y en contenedores en nubes privadas y públicas. "La seguridad tiene que adaptarse a esas nuevas fronteras entre y dentro de las infraestructuras virtuales", anota Nedbal. Añade que las herramientas de seguridad en la nube deben ser "muy pequeñas, muy dinámicas, colocadas donde y cuando sea necesario, y a la escala adecuada".

1. Ataque entre nubes: Con un ataque multi-nube, un hacker puede, por ejemplo, acceder a los sistemas locales y a los sistemas de cloud privada a través de una nube pública. Las cargas de trabajo en una nube pública, que son asumidas por actores maliciosos, podrían llevar a extender el ataque a la nube privada.

El riesgo se minimiza si las defensas laterales correctas están en su lugar; pero al trasladarse a organizaciones de nubes públicas, a menudo pasan por alto el hecho de que el perímetro de seguridad se extiende hacia el nuevo entorno. Sin embargo, las nubes públicas no ofrecen los mismos controles de seguridad que las defensas locales y es difícil mover la seguridad tradicional. "La cantidad de ataques contra la nube está aumentando", comenta Nedbal. Los hackers monitorean las nuevas instancias de nube. "Tan pronto como haya una carga de trabajo que exponga los servicios públicamente, será atacada y las defensas en las nubes públicas serán más débiles que los controles tradicionales en las instalaciones". Además, si una organización tiene diferentes conjuntos de controles para sus sistemas en las instalaciones y en la nube, podría dejar huecos que los hackers explotarían.

2. Ataque entre centros de datos: Una vez que un hacker viola la ubicación de un centro de datos, el siguiente paso para ellos es propagarse lateralmente. La razón de que esto sea posible, es que las conexiones entre los puntos de entrega (PoDs, por sus siglas en inglés) en un centro de datos, se consideran zonas de confianza. Si un atacante compromete un PoD, puede propagarse a otros centros de datos conectados.

En una entrada de blog, Nedbal aconsejó enviar todo el tráfico a través de un sistema de defensa de varias capas, con un conjunto similar de controles de seguridad que se encuentran en el perímetro.

3. Ataques interusuario: En un entorno multiusuario, los hackers pueden explotar el tráfico de red entre los usuarios de la nube. Éstos pueden asumir que el proveedor ha asegurado sus activos en la nube, pero en realidad son responsables de implementar gran parte de las defensas. Una vez más, el envío de tráfico a través de un sistema de defensa de múltiples capas con los controles adecuados reducirá el riesgo de esta amenaza de nube, pero requiere la capacidad de colocar esos controles a la escala adecuada en el lugar y el momento necesarios.

4. Ataque de carga cruzada: Las cargas de trabajo y los contenedores virtualizados y basados en la nube pueden conectarse fácilmente con otros. Ponga en peligro una carga de trabajo y un atacante podrá acceder a otras, tanto si se produce en un escritorio virtual como en un servidor web virtual o en una base de datos. Es difícil defenderse contra ataques de cargas de trabajo cruzadas, especialmente si se ejecutan en el mismo ambiente. "Si simplemente se sellan todas las cargas de trabajo entre sí, entonces son seguras, pero no serán capaces de realizar la función para la que están diseñadas", señala Nedbal. En una entrada de blog, aconsejó que las cargas de trabajo con requisitos de seguridad similares, deberían colocarse en una zona que tenga controles adecuados para supervisar el tráfico, además de la segmentación básica.

5. Ataques de orquestación: La orquestación en la nube permite realizar muchas tareas clave, como el aprovisionamiento, la implantación de servidores, la gestión del almacenamiento y la red, la gestión de identidades y privilegios, y la creación de cargas de trabajo. Los hackers suelen ejecutar ataques de orquestación para robar los inicios de sesión de las cuentas, o las claves de criptografía privadas. Con ellos, el atacante puede realizar tareas de orquestación para obtener esencialmente el control y el acceso. "Una vez dentro, [un atacante] puede crear cargas de trabajo adicionales para sus propios fines, como la criptografía minera, o eliminar cargas de trabajo", indica Nedbal. Cuanto más privilegio pueden robar, más daño pueden hacer.

La manera de defenderse contra los ataques de orquestación, indica Nedbal, es a través del monitoreo del comportamiento de los administradores. "La amenaza de orquestación necesita un nuevo tipo de monitoreo de seguridad que no forme parte de los sistemas de seguridad de red tradicionales, y que busque patrones inusuales de comportamiento anómalo en las cuentas", afirma.

6. Ataques sin servidor: Las aplicaciones serverless o sin servidor permiten a las organizaciones hacer girar rápidamente las funciones basadas en la nube, sin tener que construir o ampliar la infraestructura. Realizadas a través de las llamadas funciones como servicio (FaaS, por sus siglas en inglés), presentan nuevas oportunidades para los hackers y nuevos retos para los defensores de la red. Una nueva función podría tener acceso a activos sensibles como una base de datos. Si los privilegios para esa función están configurados incorrectamente, es posible que un atacante pueda realizar varias tareas a través de la función. Esto incluye el acceso a los datos o la creación de nuevas cuentas. Al igual que con los ataques de orquestación, la mejor manera de detectar un ataque sin servidor es monitoreando el comportamiento de la cuenta; pero para que sea efectivo, debe combinarse con la inspección del tráfico de la red.

Cómo asegurar la nube

Según una encuesta realizada por el investigador de mercado VansonBourne, y patrocinada por el proveedor de soluciones de monitorización de red Gigamon, el 73% de los encuestados esperan que la mayoría de sus cargas de trabajo de aplicaciones se encuentren en la nube pública o privada. Sin embargo, el 35% de los encuestados esperan manejar la seguridad de la red "exactamente de la misma manera" que lo hacen para sus operaciones locales. El resto, aunque son reacios a cambiar, creen que no tienen más remedio que cambiar su estrategia de seguridad para la nube.

Es cierto que no todas las empresas están migrando datos sensibles o críticos a la nube, por lo que para ellas hay menos razones para cambiar de estrategia. Sin embargo, la mayoría de las empresas están migrando información crítica y propietaria de la empresa (56%), o activos de marketing (53%). El 47% espera tener información personal identificable en la nube, lo que tiene implicaciones debido a las nuevas regulaciones de privacidad como el GDPR de la UE.

Las empresas deben centrarse en tres áreas principales para su estrategia de seguridad en la nube, según Govshteyn:

1. Herramientas. Las herramientas de seguridad que implemente en entornos de nube deben ser nativas de la nube, y capaces de proteger las aplicaciones web y las cargas de trabajo de la nube. "Las tecnologías de seguridad formuladas para la protección de puntos finales se centran en un conjunto de vectores de ataque que no se ven comúnmente en la nube, y están mal equipadas para hacer frente a las 10 amenazas principales de OWASP, que constituyen el 75% de todos los ataques en la nube", anota Govshteyn. Señala que las amenazas de endpoints se dirigen a los navegadores web y al software cliente; mientras que las amenazas a la infraestructura, se dirigen a los servidores y a los marcos de trabajo de aplicaciones.

2. Arquitectura. Defina su arquitectura en torno a los beneficios de seguridad y gestión que ofrece la nube, no la misma arquitectura que utiliza en sus centros de datos tradicionales. "Ahora tenemos datos que muestran que los entornos públicos puros permiten a las empresas experimentar tasas de incidentes más bajas, pero esto solo es posible si se utilizan las capacidades de la nube para diseñar una infraestructura más segura", indica Govshteyn. Recomienda que aísle cada aplicación o micro-servicio en su propia nube privada virtual, lo que reduce el radio de acción de cualquier intrusión. "Brechas importantes como la de Yahoo, comenzaron con aplicaciones web triviales como vector de entrada inicial, por lo que las aplicaciones menos importantes a menudo se convierten en su mayor problema". Además, no repare las vulnerabilidades en sus despliegues de nube. En su lugar, implemente una nueva infraestructura en nube que ejecute el código más reciente y desmantele su infraestructura antigua. "Solo se puede hacer esto si se automatizan las implementaciones, pero se obtiene el nivel de control sobre la infraestructura que nunca se podría lograr en los centros de datos tradicionales", indica Govshteyn.

3. Puntos de conexión. Identifique los puntos en los que las implementaciones cloud están interconectadas con los centros de datos tradicionales que ejecutan código heredado. "Es probable que estos sean su mayor fuente de problemas, ya que vemos una clara tendencia a que los despliegues de nubes híbridas tiendan a ver la mayoría de los incidentes de seguridad", señala.

No todo en la estrategia de seguridad existente de una empresa tiene que cambiar para la nube. "El uso de la misma estrategia de seguridad (por ejemplo, la inspección de contenido en profundidad para análisis forenses y detección de amenazas) para la nube como en las instalaciones, no es una mala idea por sí misma. Las empresas que persiguen este objetivo suelen buscar la coherencia entre sus arquitecturas de seguridad para limitar las brechas en su postura de seguridad", indica Tom Clavel, director senior de marketing de productos en Gigamon.

"El desafío es cómo obtener acceso al tráfico de la red para este tipo de inspección", añade Clavel. "Aunque estos datos están fácilmente disponibles en las instalaciones usando una variedad de formas, no están disponibles en la nube. Además, incluso si tienen acceso al tráfico, direccionar el flujo de información a las herramientas locales para su inspección sin inteligencia, es extremadamente caro y contraproducente".

Los problemas de visibilidad de la nube

Una de las quejas de los encuestados por VansonBourne fue que la nube puede crear puntos ciegos dentro del panorama de seguridad. En general, la mitad dijo que la nube puede "ocultar" información que les permita identificar amenazas. También dijeron que, con la nube, también les falta información sobre lo que se está cifrando (48%), aplicaciones o tráfico inseguro (47%), o la validez del certificado SSL/TLS (35%).

Una encuesta realizada por la Cloud Security Alliance (CSA) entre diciembre del 2018 y febrero del 2019 mostró que los entornos de cloud computing son cada vez más complejos, lo que genera más problemas de visibilidad. De todos los encuestados, el 66% dijo que sus organizaciones utilizaban múltiples nubes, mientras que el 55% trabajaba en un entorno de nube híbrida. El 36% tenía entornos de nube multi-nube e híbridas.

Casi tres cuartas partes de los encuestados de la CSA que utilizaron la nube, informaron que la falta de experiencia dificultaba su capacidad para gestionar la seguridad en la nube. Por ejemplo, la mayoría de los encuestados que reportaron un apagón en la nube, no sabían la causa. CSA especuló que esto se debía a problemas de visibilidad y a la falta de experiencia en seguridad.

No son solo los datos en los que los equipos de seguridad tienen una visibilidad limitada. Sesenta y siete por ciento de los encuestados de VansonBourne dijeron que los puntos ciegos de la red eran un obstáculo para la protección de su organización. Para obtener una mejor visibilidad, Clavel recomienda que primero identifique cómo desea organizar e implementar su postura de seguridad. "¿Está todo dentro de la nube o se extiende desde las instalaciones hasta la nube? En ambos casos, asegúrese de que la visibilidad omnipresente del tráfico de red de su aplicación, sea fundamental para su estrategia de seguridad. Cuanto más se ve, más se puede asegurar", señala.

"Para satisfacer las necesidades de visibilidad, identifique una forma de adquirir, agregar y optimizar el tráfico de red a sus herramientas de seguridad, ya sea un sistema de detección de intrusos (IDS, por sus siglas en inglés), gestión de eventos e información de seguridad (SIEM, por sus siglas en inglés), análisis forense, prevención de pérdida de datos (DLP, por sus siglas en inglés), detección avanzada de amenazas (ATD, por sus siglas en inglés), o todos ellos de forma simultánea", añade Clavel. "Por último, agregue procedimientos SecOps para automatizar la visibilidad y la seguridad frente a las amenazas detectadas, incluso a medida que crece la huella de la nube".

El cumplimiento de la normativa es una preocupación para la nube

Estos puntos ciegos y la baja visibilidad de la información podrían crear problemas de privacidad y otros problemas de cumplimiento normativo. Sesenta y seis por ciento de los encuestados de VansonBourne dicen que la falta de visibilidad dificultará el cumplimiento del GDPR.

La encuesta de CSA también abordó cuestiones de cumplimiento, especialmente en lo que respecta a la propiedad de la seguridad y el cumplimiento. Solo el 16% dijo que tenía un equipo dedicado a la seguridad en la nube, mientras que el 79% dijo que el departamento de TI era responsable de la seguridad en la nube.

La mayoría de los encuestados (57%) estaban preocupados por el cumplimiento de la normativa en relación con los servicios en la nube, y los autores del informe señalaron que existe ambigüedad sobre la forma en que las organizaciones aprovechan las plataformas en la nube para el cumplimiento. Ese parece ser un argumento para dar seguridad y cumplimiento de la propiedad en la nube a un grupo especializado que entiende la tecnología y los requisitos.

Las políticas y prácticas de seguridad no siguen el ritmo de la adopción de la nube

Según el Oracle and KPMG Cloud Threat Report 2018, el 87% de las empresas tienen ahora una estrategia de "nube primero", y el 90% de las empresas dicen que la mitad de los datos que tienen en la nube son sensibles. Aunque esas empresas han adoptado un enfoque agresivo para adoptar la nube, las prácticas y políticas de seguridad no parecen haberse puesto al día, como muestran los datos de ese mismo informe.

Los datos del informe de Oracle/KPMG (ver infografía) provienen de una encuesta a 450 profesionales de la ciberseguridad de todo el mundo. Los encuestados estaban claramente preocupados por la seguridad en la nube, la mayoría no ha tomado algunas medidas obvias para mitigar el riesgo de tener datos sensibles en la nube.

  • El 82% cree que sus empleados no siguen los procedimientos de seguridad en la nube; sin embargo, el 86% no puede recopilar y analizar la mayoría de los datos de sus eventos de seguridad.
  • Solo el 38% de los encuestados afirmó que la detección y respuesta a los incidentes de seguridad en la nube es su principal reto en materia de ciberseguridad.
  • Solo el 41% tiene un arquitecto dedicado a la seguridad en la nube.

Hay algunos indicios de que las empresas se tomarán más en serio la seguridad en la nube en un futuro próximo. La mayoría de los encuestados (84%) esperan aumentar su nivel de automatización de la seguridad, y el 89% espera aumentar sus presupuestos de ciberseguridad en el próximo año.

¿Ayudará el aprendizaje automático?

Los proveedores de servicios cloud están trabajando para mejorar la capacidad de los clientes para identificar y abordar amenazas potenciales. Amazon Web Services (AWS), por ejemplo, anunció dos servicios en el 2017 que dependen del aprendizaje automático para proteger los activos de los clientes.

En agosto, AWS anunció su servicio Macie, centrado principalmente en el cumplimiento de PCI, HIPAA y GDPR. Se entrena sobre el contenido de los usuarios en los cubos de Amazon S3 y alerta a los clientes cuando detecta actividades sospechosas. AWS GuardDuty, anunciado en noviembre, utiliza el aprendizaje automático para analizar los registros de AWS CloudTrail, VPC Flow Logs y AWS DNS. Al igual que Macie, GuardDuty se centra en la detección de anomalías para alertar a los clientes sobre actividades sospechosas.

La eficacia del aprendizaje automático depende de los modelos, que consisten en un algoritmo y datos de entrenamiento. El modelo es tan bueno como los datos en los que ha sido entrenado; cualquier evento que caiga fuera de los datos en el modelo, probablemente no será detectado por un servicio como Macie o GuardDuty.

Dicho esto, un proveedor de seguridad en la nube como AWS tendrá un conjunto de datos mucho más rico con el que trabajar que cualquier cliente individual. AWS tiene visibilidad en toda su red, lo que facilita mucho la formación de su modelo de aprendizaje de máquinas sobre lo que es normal y lo que podría ser malicioso. Sin embargo, los clientes necesitan entender que el aprendizaje automático no detectará amenazas que queden fuera de los datos de formación en el modelo de aprendizaje automático. No pueden confiar solo en servicios como Macie y GuardDuty.

¿A quién pertenece la seguridad en la nube?

Dado lo que está en juego, no es de extrañar que el 62% de los encuestados hayan expresado su deseo de que sus centros de operaciones de seguridad (SOC) controlen el tráfico y los datos de la red para garantizar una protección adecuada en un entorno de nube. La mitad de ellos se conformarían con conocer el tráfico y los datos de la red.

Obtener el control, o incluso la visibilidad completa, puede ser un reto para muchas organizaciones, debido a la estructura de los grupos que gestionan el entorno de la nube. Mientras que las operaciones de seguridad son responsables de la seguridad en la nube en el 69% de las organizaciones de los encuestados, las operaciones en la nube (54%) o las operaciones de red también están involucradas. Esto ha dado lugar a confusión sobre quién lidera la seguridad en la nube y cómo deben colaborar los equipos. De hecho, el 48% de los encuestados dijo que la falta de colaboración entre los equipos es el mayor obstáculo para identificar y denunciar una infracción.

"A menudo, las empresas dividen las responsabilidades entre la red, la seguridad y la nube", señala Clavel. "Cada uno tiene un presupuesto distinto, una propiedad distinta e incluso herramientas distintas para gestionar estas áreas. Obtener visibilidad en la nube para asegurarla, requiere derribar los muros de comunicación entre estas tres organizaciones. Las mismas herramientas de seguridad que se implementan en las instalaciones, también podrán proteger la nube, por lo que los equipos de seguridad y de nube necesitan comunicarse".

¿Qué tipo de persona debe tener en cuenta para la seguridad de la nube en su organización? Necesitará ser alguien o un equipo con las habilidades y la capacidad adecuadas para comprometerse a largo plazo. "Encuentre a la persona o al equipo capaz de avanzar hacia los nuevos paradigmas de seguridad en la nube más rápidamente, y permítales construir su estrategia de seguridad durante los próximos tres a cinco años", señala Govshteyn.

"En los últimos años, éste tiende a ser el equipo de operaciones de TI o un equipo de seguridad empresarial; pero siempre hay un colaborador individual a nivel de arquitecto, o un equipo de seguridad en la nube dedicado en el centro de este esfuerzo. Esta nueva generación de profesionales de la seguridad, pueden escribir código, pasar más del 80% de su tiempo automatizando sus trabajos y ver a los equipos de desarrollo como sus pares, en lugar de adversarios", anota Govshteyn, añadiendo que, en las empresas de tecnología, la seguridad es a veces una función del equipo de ingeniería.

Aunque las juntas directivas están tomando gran interés en la seguridad en estos días, no ayudarán en el campo. "En realidad, gran parte de la toma de decisiones críticas, cuando se trata de la seguridad en la nube hoy en día, proviene de tecnólogos capaces de mantenerse al día con el rápido ritmo del cambio en la nube pública", señala.

Para complicar aún más la tarea de asegurar la nube, para más de la mitad (53%) de los encuestados, está el hecho de que sus organizaciones no han implementado una estrategia o marco de trabajo de nube. Aunque casi todas esas organizaciones planean hacerlo en el futuro, no está claro quién lidera esa iniciativa.

"Las herramientas de seguridad y monitorización también podrán aprovechar la misma plataforma de entrega de seguridad para lograr una mayor flexibilidad; por lo que la red, la seguridad y la nube también deben acordar compartir la responsabilidad de la plataforma de entrega de seguridad", afirma Clavel. "Las empresas que consolidan sus actividades de seguridad y supervisión -como parte del SOC-, o al menos para establecer presupuestos comunes y una propiedad compartida de una plataforma de entrega de seguridad, se ven recompensadas con una mayor flexibilidad, una toma de decisiones más rápida y una seguridad coherente en todos los despliegues en las instalaciones y en la nube".