Empresa

Aumentan los riesgos de pérdida de datos en la nube

Riesgo perdida datos nube
Escrito por Óscar Condés

Un informe alerta de que uno de cada diez documentos compartidos por cloud computing contiene datos sensibles cuyo mal uso puede causar perjuicios notables.

Blue Coat Systems y Elastica, empresas recientemente unidas que se dedican a la seguridad empresarial, han distribuido su estudio sobre Shadow data referido al 4º trimestre de 2015. El trabajo se basa en el análisis de aproximadamente 63 millones de documentos que los clientes de Elastica almacenan y comparten en servicios populares de colaboración y almacenamiento de archivos en la nube, como Microsoft Office 365, Google Drive, Salesforce y Box.

El informe ofrece datos sobre el aumento de los peligros de la pérdida de datos por el uso que los empleados hacen en sus organizaciones de aplicaciones cloud para compartir información con otras organizaciones, entre colegas y con clientes.

La amenaza del shadow data fue identificada por primera vez por los laboratorios de amenazas en la nube de Elastica en 2014, y se refiere a cualquier información confidencial que los usuarios cargan, almacenan y comparten usando aplicaciones en la nube sin la supervisión ni el conocimiento de los equipos de seguridad de TI de su empresa, lo que puede poner en peligro a las organizaciones al provocar costosas brechas de datos.

Los datos del estudio revelan que, de todos los documentos que el usuario promedio almacena en aplicaciones de cloud computing, el 26% se compartía de forma generalizada. Es decir, que cualquier empleado podía acceder a ellos, que son compartidos externamente con colaboradores y proveedores y que, en algunos casos, son accesibles mediante búsquedas en Google. Igualmente preocupante es el hecho de que uno de cada diez documentos compartidos contenga datos confidenciales y/o esté relacionado con el cumplimiento normativo, como código fuente (48%), datos personales (33%), datos sobre historiales médicos (14%) y datos de pago (5%).

El impacto del shadow data

El nivel de riesgo financiero que este problema está creando en las organizaciones se está convirtiendo en algo importante. Para el segundo semestre de 2015, Elastica ha estimado que el posible impacto financiero en una organización promedio que habría ocasionado la filtración de sus datos en la nube, alcanzaría los 1,9 millones de dólares. Cifra aún más elevada en el sector de atención de la salud, donde el riesgo potencial sería todavía mayor, llegando a los 12 millones de dólares. Por su parte, en el sector educativo, el riesgo alcanzaría la cifra de 5,9 millones de dólares.

Por lo que se refiere al número de aplicaciones en la nube utilizadas en la empresa, el estudio desvela que una organización tipo tiene actualmente un promedio de 812 aplicaciones que se ejecutan dentro de la organización, cifra que ha crecido un 5% desde las 774 del semestre anterior. Las 10 principales aplicaciones serían: Office 365, Twitter, YouTube, LinkedIn, Google Apps, Salesforce, AWS, Dropbox, Skype y Box. Así, Office 365 se ha situado como la más popular, desplazando del liderato a Twitter, que estuvo en cabeza durante el primer semestre de 2015.

Tipos de amenazas en la nube

El estudio de Elastica revela que hay tres tipos o categorías principales de amenazas con los que tienen que enfrentarse las empresas al utilizar aplicaciones en la nube (estén autorizadas o no): Transferencia de datos no autorizada, destrucción de datos y apropiación de las cuentas. A nadie le sorprenderá que el robo de datos sea la amenaza más habitual, con el 77%, aunque es interesante diferenciar las diferentes modalidades en las que se realiza: Emisión de correos electrónicos frecuente anómalo (18%), uso compartido frecuente anómalo (41%), descargas frecuentes anómalas (15%) y visitas previas frecuentes anómalas (3%).

Estamos en un punto en el ciclo de seguridad donde el shadow IT ya no es el principal foco. En estos momentos, las organizaciones deben preocuparse por las aplicaciones en la nube disponibles y poner en práctica políticas que permitan controlar lo que está siendo utilizado”, comenta Rehan Jalil fundador de Elastica. “Ha llegado el momento de centrarse en los problemas de verdad, que son la necesidad de saber qué tipos de información están compartiendo los empleados, quién puede acceder a esos datos, y cómo parar las exposiciones de alto riesgo que pueden acabar en brechas de información”.

Más información | Estudio sobre Shadow Data

Sobre el autor de este artículo

Óscar Condés

Periodista todoterreno especializado en tecnología y con una amplia experiencia en medios de comunicación. Fotógrafo, realizador, bloguero, viajero y apasionado por la tecnología desde la era analógica. Asistiendo en primera línea de trinchera a los cambios de la revolución digital.