A pesar de la preocupación que existe en torno a la seguridad, y del crecimiento esperado en servicios en la nube, sólo el 27 por ciento de los participantes en la elaboración del informe “Flying Blind in the Cloud: The State of Information Governance”(“Volar a ciegas en la Nube: Estado de la gobernanza de la información"), realizado por Symantec y Ponemon Institute, declaró que su empresa contaba con los procedimientos correspondientes para aprobar aplicaciones en la nube que utilicen información confidencial o sensible.

En la mayoría de las empresas existe un gran distanciamiento entre aquellos que evalúan a los proveedores de servicios en la nube y los directores de TI y de seguridad, los cuales deberían, en última instancia, asumir toda la responsabilidad.

De las empresas encuestadas, el 68 por ciento indicó que los encargados de evaluar a los proveedores de servicios en la nube son los usuarios finales y los responsables del negocio. Sólo el 20 por ciento de las empresas participantes en la investigación afirmó que los equipos de seguridad de información se involucraban habitualmente en la toma de decisiones, y aproximadamente un 25 por ciento dijo que nunca participaban. No obstante, el 69 por ciento de los encuestados indicó que prefería que los equipos corporativos de TI o los responsables de seguridad lideraran el proceso de la toma de decisiones acerca de los servicios en la nube.

El estudio concluyó que los empleados deciden sin contar con la opinión de los departamentos de TI o el conocimiento acerca de los riesgos de seguridad. Sólo el 30 por ciento de los encuestados evalúan a los proveedores de servicios en la nube antes de implementar sus productos.

Otras conclusiones del estudio

• Las empresas evalúan los servicios en la nube por referencia verbal del boca a boca (el 65 por ciento), por acuerdos contractuales y por garantías por parte del proveedor (el 55 y el 53 por ciento respectivamente). Sólo el 23 por ciento solicita pruebas de conformidad con la normativa como, por ejemplo, SAS 70, el 18 por ciento confía en el asesoramiento de seguridad realizado internamente y tan solo el 6 por ciento basa su decisión de acuerdo a evaluaciones de expertos de seguridad o auditores.
• Más del 75 por ciento de los encuestados observó que la migración a los servicios en la nube no ocurría de forma totalmente idónea debido a la falta de control sobre los usuarios finales. La carencia de recursos para llevar a cabo las evaluaciones adecuadas, la falta de liderazgo para supervisar el proceso y la baja prioridad concedida a las evaluaciones eran también factores a tener en cuenta.
• Sólo el 19 por ciento de los encuestados indicó que su empresa proporcionaba formación general en seguridad de datos en donde se incluía el tema de aplicaciones en la nube. Por el contrario, el 42 por ciento de los encuestados observó que su empresa ofrecía formación general sobre seguridad de datos en donde no se incluía el tema de las aplicaciones en la nube.

Recomendaciones para las empresas

• Asegurarse de que las directivas y los procesos especifiquen claramente la importancia de proteger la información sensible almacenada en la nube. La directiva debe subrayar qué información se considera sensible y privada.
• Las empresas deben adoptarmedidas en la gestión de la información que incluyan herramientas y procesos para clasificar su información y entender los riesgos existentes, y de este modo establecer directivas que especifiquen qué servicios basados en la nube y aplicaciones son adecuadas, y cuáles no lo son.
• Evaluar la postura con respecto a la seguridad de terceros antes de compartir información sensible o confidencial. Como parte del proceso, los expertos en seguridad de la información y/o de TI, deben llevar a cabo revisiones exhaustivas y auditar las cualificaciones de seguridad del proveedor.
• Antes de implementar la tecnología en la nube, las empresas deben formar a sus empleados seriamente en la mitigación de los riesgos de seguridad específicos a esta tecnología nueva, con el fin de proteger la información confidencial y sensible.