Este febrero, el Departamento de Defensa de EE.UU. expuso aproximadamente un terabyte de correos electrónicos que incluían información personal y conversaciones entre funcionarios debido a un error de configuración en la nube.

Este último incidente destaca la importancia de la seguridad en la nube, especialmente a medida que las organizaciones trasladan más cargas de trabajo y datos a la nube.

Hemos compilado las siguientes estadísticas para ayudarle a comprender mejor el mercado de la computación en la nube y las tendencias en la adopción de la nube, así como los incidentes de seguridad más comunes y las preocupaciones sobre mantener los entornos en la nube seguros. También proporcionaremos consejos prácticos para mejorar la seguridad en la nube.

Estadísticas de computación en la nube

La adopción de la computación en la nube se ha acelerado en los últimos años y se espera que continúe haciéndolo. Aprenda más sobre el gasto en el mercado, las tendencias y los impulsores clave de la adopción de la nube a continuación.

1. Se espera que el mercado mundial de computación en la nube pública continúe creciendo y alcance una estimación de 679 mil millones de dólares estadounidenses en 2024. (Statista)

2. En 2022, el gasto empresarial en servicios de infraestructura en la nube ascendió a 225 mil millones de dólares estadounidenses, un aumento de 47 mil millones de dólares en comparación con el año anterior. (Statista)

3. Se pronostica que el gasto mundial de los usuarios finales en servicios de nube pública crecerá un 20,4% para totalizar 678.800 millones de dólares en 2024, frente a 563.600 millones de dólares en 2023. (Gartner)

4. El 69% de las organizaciones utilizan tres o más proveedores de servicios en la nube. (Enterprise Strategy Group)

5. En 2022, los encuestados de la CSA estimaron que utilizaron un promedio de 147 servicios de nube pública, un aumento dramático de 38 reportados en una encuesta de 2020. (Cloud Security Alliance y Google Cloud)

6. La mayoría de las organizaciones (71%) están utilizando un entorno multicloud por las siguientes razones, entre otras:

• Aprovechar las fortalezas de diferentes proveedores (17%)
• Mejorar el rendimiento y la latencia (14%)
• Mejorar la resistencia y la recuperación ante desastres (13%)
• Reducir la dependencia de un solo proveedor (13%). (Cloud Security Alliance y Expel)

7. Gartner predice que para 2027, más del 70% de las empresas utilizarán plataformas de nube industrial para acelerar sus iniciativas comerciales, frente a menos del 15% en 2023. (Gartner)

8. El 83% de las organizaciones han trasladado cargas de trabajo a la nube. (Enterprise Strategy Group)

9. En una encuesta de 2022, la mayoría de las organizaciones (89%) dijeron que hospedan datos o cargas de trabajo sensibles en la nube pública. (Cloud Security Alliance y Anjuna)

10. En un estudio de Venafi, las organizaciones dijeron que hospedan dos quintas partes (41%) de sus aplicaciones en la nube, pero esperan que ese porcentaje aumente al 57% en los próximos 18 meses. (Venafi)

11. El 25% de las organizaciones dijeron que al menos el 30% de sus cargas de trabajo de producción se ejecutan actualmente en infraestructura pública, y el 67% dijo que al menos el 30% de sus cargas de trabajo se ejecutarán en infraestructura de nube pública en los próximos 24 meses. (Enterprise Strategy Group)

12. El 66% de las organizaciones han aumentado su inversión en aplicaciones SaaS críticas para el negocio. (Cloud Security Alliance and Adaptive Shield)

Estadísticas de seguridad en la nube

A medida que las organizaciones trasladan más datos y cargas de trabajo a la nube, enfrentan desafíos persistentes de seguridad en la nube. Descubra a continuación incidentes y preocupaciones comunes relacionados con la seguridad en la nube.

13. El 81% de las organizaciones reportaron haber experimentado un incidente de seguridad relacionado con la nube en los últimos 12 meses. (Venafi)

14. Casi la mitad (45%) de las organizaciones reportaron haber sufrido al menos cuatro incidentes de seguridad relacionados con la nube en los últimos 12 meses. (Venafi)

15. En una encuesta a casi 3,000 profesionales de TI y seguridad en 18 países, más de un tercio (39%) de las empresas experimentaron una violación de datos en su entorno de nube el año pasado, un aumento respecto al 35% reportado en 2022. (Thales)

16. El error humano fue reportado como la causa principal de las violaciones de datos en la nube por más de la mitad (55%) de los profesionales de TI y seguridad. (Thales)

17. En 2022, el 62% de las organizaciones reportaron que eran algo a muy propensas a experimentar una violación de datos en la nube en el próximo año. (Cloud Security Alliance and BigID)

18. Los incidentes de seguridad relacionados con la nube más comunes que los encuestados han experimentado son:

• Incidentes de seguridad durante el tiempo de ejecución (34%)
• Acceso no autorizado (33%)
• Mala configuración (32%)
• Vulnerabilidades importantes que no han sido remediadas (24%)
• Una auditoría fallida (19%). (Venafi)

19. Las principales preocupaciones operativas y de seguridad que tienen los responsables de decisiones de seguridad en relación con la migración a la nube son:

• Secuestro de cuentas, servicios o tráfico (35%)
• Malware o ransomware (31%)
• Problemas de privacidad/acceso a los datos, como los del GDPR (31%)
• Acceso no autorizado (28%)
• Ataques de estados nacionales (26%). (Venafi)

20. Cuando se pidió a los profesionales de seguridad que informaran sobre sus tres principales preocupaciones de seguridad al ejecutar aplicaciones en la nube pública, las más comunes fueron la pérdida de datos sensibles (64%), la configuración y los ajustes de seguridad inadecuados (51%), y el acceso no autorizado (51%). (Cloud Security Alliance and Google Cloud)

21. Cuando se pidió a los profesionales de seguridad en la nube empresarial de organizaciones con más de 1,000 empleados que identificaran sus mayores desafíos causados por los ciclos de desarrollo de software que se aceleran rápidamente, reportaron lo siguiente:

• El equipo de seguridad carece de visibilidad y control dentro del proceso de desarrollo (35%)
• El software a menudo se lanza sin pasar por controles o pruebas de seguridad (34%)
• Falta de procesos de seguridad consistentes entre los diferentes equipos de desarrollo (33%)
• Los desarrolladores omiten los procesos de seguridad para cumplir con los plazos (33%)
• Se despliegan nuevas versiones en producción con configuraciones incorrectas, vulnerabilidades y otros problemas de seguridad (31%). (Enterprise Strategy Group)

22. La responsabilidad de asegurar las aplicaciones basadas en la nube está asignada actualmente a varios equipos internos, incluyendo:

• Equipos de seguridad empresarial (25%)
• Equipos de operaciones responsables de la infraestructura en la nube (23%)
• Un esfuerzo colaborativo compartido entre varios equipos (22%)
• Desarrolladores que escriben aplicaciones en la nube (16%)
• Equipos de DevSecOps (10%). (Venafi)

23. Cuando se les preguntó quién debería ser responsable de asegurar las aplicaciones basadas en la nube, la respuesta más común fue responsabilidad compartida entre los equipos de operaciones de infraestructura en la nube y los equipos de seguridad empresarial (24%). (Venafi)

24. Cuando se les preguntó cuán importante es el papel de la seguridad en la estrategia en la nube de sus organizaciones, el 40% de los profesionales de TI y seguridad indicó que la seguridad es priorizada y estrictamente aplicada durante la implementación y desarrollo. (Cloud Security Alliance and Expel)

25. Cuando se les preguntó cuánto papel juega la seguridad en la estrategia en la nube de sus organizaciones, el 2% de los profesionales de TI y seguridad respondieron que otros equipos no consultan para nada a la organización de seguridad. (Cloud Security Alliance and Expel)

Estadísticas de seguridad de datos en la nube

Uno de los mayores desafíos que enfrentan las organizaciones es proteger y asegurar sus datos comerciales, financieros y de clientes en la nube. Descubre a continuación cómo las organizaciones están luchando con este desafío.

26. Solo el 4% de las organizaciones informan que el 100% de sus datos sensibles en la nube están suficientemente asegurados. En otras palabras, el 96% de las empresas informa una seguridad insuficiente para al menos algunos datos sensibles en la nube. (Cloud Security Alliance and BigID)

27. El 40% de las organizaciones indica que el 50% o menos de sus datos sensibles en la nube tiene suficiente seguridad. (Cloud Security Alliance and BigID)

28. Más de la mitad de las organizaciones (57%) informan niveles de confianza medios a bajos en la capacidad de su organización para asegurar los datos en la nube. (Cloud Security Alliance and BigID)

29. Cuando se les preguntó qué tan efectivas creen que son las medidas de seguridad de su proveedor de nube, el 89% de los profesionales de TI y seguridad dijeron muy o algo efectivas. Cuando se les preguntó cuánta confianza tenían en la capacidad de su organización para proteger los datos sensibles en la nube, solo el 19% de estos profesionales dijeron tener mucha confianza. El 44% dijo estar moderadamente confiado y el 31% dijo estar ligeramente confiado.  (Cloud Security Alliance and Anjuna)

30. Al investigar la información almacenada en varios entornos de nube pública, los investigadores encontraron datos personales sensibles en más del 30% de los activos en la nube. (Dig Security)

31. El 20% de los datos financieros encontrados en activos en la nube están expuestos públicamente. (Dig Security)

32. El 4% de la información de identificación personal (PII) y los datos del estándar de la industria de tarjetas de pago (PCI) encontrados en activos en la nube están expuestos públicamente. (Dig Security)

33. Más del 7% de los servicios de almacenamiento que contienen datos sensibles son públicos. (Dig Security)

34. Más del 60% de los servicios de almacenamiento no están cifrados en reposo, y casi el 70% carece de registros completos. (Dig Security)

35. El 91% de los servicios de base de datos con datos sensibles no están cifrados en reposo, el 20% carece de registro completo y el 1,6% está abierto al público. (Dig Security)

36. De la gran mayoría de los principales con permisos, el 95% se les otorgan a través de privilegios excesivos. (Dig Security)

37. Más del 35% de los principales tienen algún privilegio para los activos de datos sensibles. (Dig Security)

38. También se encontró que los datos sensibles fluyen a entornos no gestionados, como lagos de datos como Hadeep y Snowflake, el 40% del tiempo. (Dig Security)

39. Casi el 8% de los activos de datos sensibles se comparten con otras cuentas o proyectos, lo que aumenta el riesgo potencial de exposición de datos y reduce la postura de seguridad del propio activo. (Dig Security)

40. El 55% de los activos compartidos se comparten con otras cuentas en la misma organización, 

El 36% de los activos compartidos se comparten con cuentas fuera de la organización, y

el 9% se comparten con proveedores externos. (Dig Security)

41. Las organizaciones parecen otorgar niveles casi idénticos de acceso a datos sensibles en su organización a empleados, contratistas, socios y proveedores. Por ejemplo, las organizaciones informaron que los siguientes porcentajes tenían acceso al 51-75% de sus datos sensibles:

• Empleados (29%)
• Socios comerciales o tecnológicos (27%)
• Contratistas (26%)
• Proveedores (25%). (Cloud Security Alliance and BigID)

42. Más del 50% de los activos de datos sensibles en la nube son accedidos por cinco a 10 aplicaciones, y casi el 20% de los activos de datos sensibles son accedidos por 10 a 20 aplicaciones.  (Dig Security)

43. Las características de seguridad de datos más comunes que las organizaciones usan son:

• Monitoreo continuo/aprendizaje (48%)
• Seguridad de cargas de trabajo en la nube (42%)
• Seguridad de datos en la nube (42%)
• Inspección y detección de datos (41%). (Cloud Security Alliance and BigID)

Estadísticas de riesgo de seguridad en la nube

Si bien la computación en la nube ofrece una amplia gama de beneficios —rentabilidad, respaldo y recuperación de datos, y escalabilidad— también conlleva riesgos. Lea a continuación para ver qué problemas están contribuyendo a esos riesgos.

44. Más del 45% de las exposiciones críticas alojadas en la nube de la mayoría de las organizaciones en un mes determinado se observaron en nuevos servicios que no habían estado presentes en la superficie de ataque de su organización en el mes anterior. (Unit 42)

45. En promedio, más del 20% de los servicios en la nube accesibles externamente cambian mensualmente, creando nuevos riesgos. (Unit 42)

46. El 52% de las organizaciones dicen que no evaluaron el riesgo continuo de que sus servicios en la nube se utilizaran después de la adquisición a medida que cambiaban las características del producto o los entornos comerciales. (Cloud Security Alliance and Google Cloud)

47. El 34% de las organizaciones no evalúan y ajustan repetidamente el estado de riesgo de los servicios en la nube. (Cloud Security Alliance and Google Cloud)

48. El 47% de los ejecutivos de seguridad dijeron que son conscientes de las aplicaciones maliciosas de terceros y tienen experiencia. Otro 38% dijo que son conscientes pero que no han tenido experiencia. (Cloud Security Alliance y Adaptive Shield)

49. El 80% de las exposiciones de seguridad se encuentran en entornos en la nube frente a instalaciones locales, debido a una variedad de factores, incluyendo configuraciones incorrectas frecuentes, responsabilidades compartidas, TI en la sombra, conexión inherente a Internet y falta de visibilidad de los activos en la nube. (Unit 42)

50. Las tres causas que representan el 60% de todas las exposiciones en entornos en la nube son:

• Toma de control del marco web (22,8%)
• Servicios de acceso remoto (20,1%)
• Infraestructura de seguridad y redes de TI (17,1%). (Unit 42)

51. El 49% de las organizaciones calificaron la gestión de un entorno de múltiples nubes como moderadamente complejo. El 23% lo calificó como muy complejo. (Cloud Security Alliance y Expel)

52. El 52% de las organizaciones que tienen un entorno de múltiples nubes reportan dificultades para establecer políticas de seguridad y gobernanza consistentes en todas las plataformas. (Cloud Security Alliance y Expel)

53. Alrededor del 70% de las organizaciones reportaron procesos menos efectivos para asignar riesgos a los activos en la nube, y solo el 4% informó tener prácticas altamente efectivas. (Cloud Security Alliance y Google Cloud)

54. En promedio, los profesionales de seguridad están solo algo satisfechos con el método de su organización para asignar riesgos a los activos de inventario de la nube. (Cloud Security Alliance y Google Cloud)

55. La mayoría de las organizaciones (65%) informaron ajustar los métricas de riesgo utilizadas para evaluar los servicios en la nube anualmente o con menos frecuencia. (Cloud Security Alliance y Google Cloud)

56. El 30% de las empresas informó que los sistemas de puntuación de riesgos se utilizan como una guía direccional para la mejora del riesgo de ciertas soluciones en la nube, en lugar de medidas en las que se pueda confiar para la comparación entre todos los servicios en la nube. (Cloud Security Alliance y Google Cloud)

Estadísticas de seguridad SaaS

A medida que las organizaciones aumentan su inversión en aplicaciones SaaS, asegurar que estas aplicaciones estén configuradas y gobernadas de manera segura es primordial. Sin medidas de seguridad adecuadas, las organizaciones están expuestas a violaciones de datos, ciberataques y otros incidentes de seguridad en la nube. Descubra cómo las organizaciones están respondiendo a los riesgos de seguridad de SaaS.

57. Más de un tercio (38%) de los profesionales de TI y seguridad clasificaron las aplicaciones de Software como Servicio (SaaS) como el principal objetivo de los hackers, seguidas muy de cerca por el almacenamiento basado en la nube (36%). (Thales)

58. Más del 55% de los ejecutivos de seguridad dijeron que experimentaron un incidente de seguridad en su entorno de software como servicio (SaaS) en los últimos dos años, un aumento del 12% con respecto al año anterior. (Cloud Security Alliance y Adaptive Shield)

59. El 12% de los ejecutivos de seguridad dijeron que no sabían si experimentaron un incidente de seguridad en su entorno de software como servicio (SaaS) en los últimos dos años. (Cloud Security Alliance y Adaptive Shield)

60. Más de la mitad (58%) de las organizaciones estiman que sus soluciones actuales de seguridad SaaS solo cubren el 50% o menos de sus aplicaciones SaaS. (Cloud Security Alliance y Adaptive Shield)

61. Solo el 7% de las organizaciones estiman que sus soluciones de seguridad SaaS actuales cubren el 100% de sus aplicaciones SaaS. (Cloud Security Alliance y Adaptive Shield)

62. La fuga de datos encabezó los tipos de incidentes de seguridad experimentados por profesionales de TI y seguridad con un 58%, seguida por aplicaciones maliciosas (47%), brechas de datos (41%) y ransomware (40%). (Cloud Security Alliance y Adaptive Shield)

63. Las principales preocupaciones de seguridad de los ejecutivos de seguridad al adoptar aplicaciones SaaS en su empresa son:

• Gobernanza de identidad y acceso (43%)
• Acceso a aplicaciones de terceros y su nivel de permisos (40%)
• Gestión de pérdida de datos (32%)
• Aplicaciones maliciosas conectadas (31%)
• Detección y respuesta a amenazas (31%)
• Mala configuración de SaaS (29%). (Cloud Security Alliance y Adaptive Shield)

64. El 71% de los profesionales de seguridad dijeron que sus organizaciones han incrementado su inversión en herramientas de seguridad para SaaS. (Cloud Security Alliance y Adaptive Shield)

65. Solo el 22% de los profesionales de seguridad dijeron estar altamente satisfechos con la inversión de sus organizaciones en herramientas de seguridad para SaaS. El 54% dijo estar algo satisfecho y el 24% dijo no estar satisfecho. (Cloud Security Alliance y Adaptive Shield)

Estadísticas de carrera en seguridad en la nube

Comprenda cómo está aumentando la demanda de profesionales de ciberseguridad con habilidades en seguridad en la nube a medida que aumenta la adopción de la nube a continuación.

66. Casi la mitad (47%) de todos los profesionales de seguridad consideran que la seguridad en la computación en la nube es la habilidad más solicitada para aquellos que buscan avanzar en sus carreras. (International Information System Security Certification Consortium)

67. El 32% de los gerentes de contratación dijeron que la seguridad en la computación en la nube es la habilidad más deseable por segundo año consecutivo. (International Information System Security Certification Consortium)

68. El 92% informa tener brechas de habilidades en su organización, siendo la seguridad en la computación en la nube la más citada (35%). (International Information System Security Certification Consortium)

69. El 68% de los profesionales de seguridad dijeron que sus organizaciones han incrementado su inversión en la contratación y capacitación de personal en seguridad SaaS. (Cloud Security Alliance y Adaptive Shield)

70. El 71% de los profesionales de seguridad dijeron estar algo o altamente satisfechos con la inversión de sus organizaciones en la contratación y capacitación de personal en seguridad SaaS. (Cloud Security Alliance y Adaptive Shield)

71. El 41% de los profesionales de seguridad dijeron que el método de su organización para mantenerse al día con las prácticas actuales de gestión de riesgos para la nube era “confianza informal en la autoformación del personal”. (Cloud Security Alliance y Google Cloud)

Cómo mejorar la seguridad en la nube

Ahora que sabes lo importante que es asegurar los datos y los flujos de trabajo en la nube, usa estos consejos a continuación para mejorar tu seguridad en la nube.

Implementa y mantén un ciclo de vida de control de acceso

Al implementar controles de acceso, puedes proporcionar acceso autorizado, granular, auditable y adecuado a los usuarios en entornos de nube y garantizar una preservación adecuada de la confidencialidad, integridad y disponibilidad de los datos.

Implementar controles de acceso no es una actividad de marcar casillas. Es una serie de pasos repetidos que conforman el ciclo de vida del control de acceso. Para implementar y mantener un ciclo de vida de control de acceso efectivo, el personal interno debe asignar roles y responsabilidades clave como parte de sus funciones laborales, incluidos, entre otros:

• Provisión
• Establecimiento de derechos de acceso
• Creación de reglas de complejidad de contraseñas
• Garantizar la segregación de funciones
• Monitoreo
• Desprovisión / baja

Evaluar periódicamente los riesgos del proveedor de servicios en la nube

Como se mencionó anteriormente, más de la mitad de las organizaciones no evalúan el riesgo de utilizar sus servicios en la nube después de la adquisición, incluso cuando las características del producto o los entornos empresariales cambian.

Para mejorar la seguridad en la nube, las organizaciones deben evaluar a sus proveedores regularmente y monitorear su rendimiento de cumplimiento y seguridad como lo hacen con cualquier otro proveedor. Un programa de gestión de riesgos de proveedores sólido que incluya proveedores de servicios en la nube puede ayudar a las organizaciones a minimizar el riesgo a un nivel aceptable y centrarse en obtener valor de las relaciones con terceros.

Usa una herramienta de evaluación de riesgos

También sabemos que la mayoría de las organizaciones informan tener procesos menos efectivos para asignar riesgos a los activos en la nube. Usar una herramienta de evaluación de riesgos puede ayudar a simplificar y estandarizar el proceso de comprender, calificar y rastrear riesgos a los activos en la nube.

Monitorea continuamente los entornos de la nube

La monitorización continua es cada vez más importante a medida que las organizaciones adoptan más servicios en la nube. Las organizaciones deben monitorear continuamente sus entornos de nube con la misma vigilancia que los entornos locales para detectar y remediar rápidamente cualquier problema a medida que surja. La automatización y la inteligencia artificial pueden ayudar a las organizaciones a hacer esto incluso cuando sus entornos en la nube se vuelven cada vez más complejos.

Automatiza la remediación en la nube

Con la IA, tu equipo de ciberseguridad puede ahorrar tiempo valioso al remediar configuraciones erróneas en la nube. Las herramientas de IA más avanzadas como Secureframe Comply AI pueden procesar alertas de seguridad y ofrecer a los usuarios instrucciones de remediación paso a paso basadas en la entrada del usuario, resultando en recomendaciones de remediación más efectivas y personalizadas.

Cómo Secureframe puede ayudar a proteger tu entorno en la nube

Secureframe te ayuda a asegurar tu entorno de computación en la nube. Sus capacidades clave incluyen:

• Controles de acceso: Monitorea y rastrea fácilmente el nivel de acceso que cada empleado tiene a sistemas y tecnología integrados.
• Gestión de riesgos de proveedores: Evalúa y gestiona la postura de seguridad y cumplimiento de cada uno de tus proveedores externos y programa revisiones periódicas para una monitorización continua.
• Poderosa evaluación de riesgos: Evalúa riesgos fácilmente siguiendo flujos de trabajo intuitivos y paso a paso o ahorra más tiempo automatizando evaluaciones de riesgos con Comply AI.
• Revisiones continuas de configuración: Nuestra plataforma revisa continuamente la postura de configuración y recoge evidencia JSON cruda, demostrando la adherencia tanto a los estándares de cumplimiento como a los controles de seguridad corporativos.
• Monitorización continua: Obtén visibilidad completa e información procesable sobre problemas críticos de cumplimiento de seguridad y privacidad.
• Guía de remediación: Obtén una guía clara de remediación para pruebas en la nube fallidas con instrucciones paso a paso o infraestructura como código generada con Comply AI.

Para obtener más información sobre la plataforma de automatización de cumplimiento de seguridad y privacidad de Secureframe, programa una demostración con un experto en productos.