Skip to main navigation

XIV Encuesta Global de Seguridad de la Información - Ver a través de la nube - EY - México

XIV Encuesta Global de Seguridad de la Información

Ver a través de la nube

  • Compartir
61% de los encuestados a nivel global actualmente utiliza, evalúa o planea usar servicios de cómputo en la nube dentro del próximo año. En México esta cifra se reduce a 57%.

A medida que el cómputo en la nube evoluciona, los compradores de servicios de nube también lo hacen.

Los expertos y profesionales de negocios han reconocido la velocidad y eficiencias que trae consigo el hecho de adoptar esta tecnología.

El cómputo en la nube ha provocado el surgimiento de un nuevo tipo de usuarios de negocio: consumidores sofisticados que pueden elegir qué servicios consumir y combinarlos con la misma facilidad con la que se ordena de un menú.

Ir más allá de los beneficios del cómputo en la nube

Muchas organizaciones aún no conocen las implicaciones del cómputo en la nube y trabajan para entender mejor su impacto y riesgos. De 16 áreas de seguridad de la información, el cómputo en la nube ocupa el segundo lugar entre todas las demás categorías de las áreas que probablemente recibirán más, y no menos, inversión en comparación con el año anterior.

¿Su organización actualmente utiliza servicios de cómputo en la nube?

El deseo de contar con servicios de nube externos ha aumentado la dependencia sobre terceros y ha afectado la visión del funcionamiento interno de las aplicaciones clave del negocio. A medida que las organizaciones se vean restringidas por su proveedor de nube, también enfrentan riesgos de cumplimiento, riesgos legales de contratación y riesgos de integración. El integrarse a la nube no es un programa de cambio más; es una transición completa de los procesos de negocio, incluidos los riesgos relacionados.

Riesgos y retos clave relacionados con el cómputo en la nube

  • Cumplimiento y privacidad. El cómputo en la nube a menudo es "sin fronteras", pero este no es el caso para el cumplimiento. Para los usuarios de la nube frecuentemente no queda claro en dónde se encuentran los datos; lo cual representa retos para el cumplimiento legal o de privacidad.
  • Seguridad de la Información e integridad de los datos. El procesamiento de datos con un proveedor de servicios de nube seguido por la comunicación a través de internet, en lugar de mantener dichos datos dentro de la red de una organización, aumenta la vulnerabilidad de los datos y la información. Por lo tanto, la nube trae nuevos retos en materia de seguridad de las aplicaciones, administración de identidad, acceso, autenticación, cifrado y clasificación de datos.
  • Contrato y legal. Los riesgos contractuales provienen principalmente de los tipos de contratos que las organizaciones celebran con los proveedores de servicios de nube. Estos deben incluir los acuerdos de nivel de servicio (SLA, por sus siglas en inglés) e indicadores de clave de desempeño (KPI, por sus siglas en inglés) que se utilizan para acordar y evaluar el desempeño.
  • Gobierno, administración de riesgos y aseguramiento. Al emprender el viaje hacia la nube, las organizaciones querrán asegurar que se ajusta a sus objetivos de negocio generales en términos tanto de los beneficios como de los riesgos. Por lo tanto, necesitan un modelo de gobierno y una estrategia de nube, incluido un enfoque de administración de riesgos de la misma.
  • Confiabilidad y continuidad de las operaciones. La continuidad del negocio es un factor crítico. Por lo tanto, es importante entender la cobertura geográfica de un proveedor de nube y la forma en que podría afectar a sus usuarios. Además, los usuarios de la nube dependen del programa de continuidad del negocio y las habilidades de recuperación en caso de desastres de su proveedor. El usuario de la nube también depende de las habilidades que tiene el proveedor en cuanto a procesos de operaciones y de apoyo, como la administración de incidentes y mesa de ayuda.
  • Integración e interoperabilidad. La integración de los sistemas a la nube es una tarea importante. Es necesario que los sistemas puedan comunicarse entre sí, entre el usuario de la nube y el proveedor de servicio. Para poder cumplir con la interoperabilidad continua, los cambios en la tecnología y actualizaciones del sistema, incluidas las pruebas, también deben abordarse y manejarse.

¿Dónde está la guía?

A pesar de la evolución del cómputo en la nube y la capacidad de los proveedores de servicios de implementar soluciones de alto valor y fáciles de usar, las organizaciones luchan por integrar el cómputo en la nube externa a su negocio.

Este año, el 64% de los encuestados en México y 48% a nivel global mencionó que la implementación del cómputo en la nube es un reto difícil o muy difícil, y un poco más de la mitad aún no ha implementado controles para mitigar los riesgos relacionados. Las organizaciones, que se muestran inciertas acerca de sus opciones de control, eligen e implementan solo un subconjunto de los que se encuentran disponibles, y a veces no instauran ninguno.

A nivel global, la medida más común es una mayor supervisión sobre el proceso de administración de contratos con los proveedores de nube. En México, la medida más común es establecer controles más robustos de administración de acceso e identidad. Cabe mencionar que ambas medidas únicamente son adoptadas por un poco más del 20% de los encuestados (22% y 21%, respectivamente), lo cual indica que hay un alto y posiblemente equivocado nivel de confianza.

Debido a la falta de una guía clara, muchas organizaciones parecen tomar decisiones mal informadas, ya sea al cambiarse a la nube antes de tiempo y sin considerar los riesgos relacionados, o al evitarla en su totalidad.

Los resultados de la encuesta señalan que aunque muchas organizaciones se han cambiado a la nube, muchas lo han hecho con cierta renuencia, como lo demuestra el 88% de los encuestados en México y 81% a nivel global que se encargan de ofrecer iniciativas de seguridad de la información para las nuevas tecnologías, como el cómputo en la nube y la virtualización.



90% de los entrevistados a nivel global y 50% en México consideran que la certificación externa aumentaría su confianza en el cómputo en la nube.


Fomentar la confianza en la nube

Muchas organizaciones han comenzando el proceso de gobierno, al abordar varios de los retos percibidos por medio de registros de atestiguación de servicios y marcos de auditoría congruentes, como los que se utilizan en la industria de servicios financieros.

Se han logrado grandes avances en torno a un modelo de confianza coherente (por ejemplo, por parte de la Alianza de Seguridad en la Nube), y prevemos que muchos encuestados tendrán más seguridad en los proveedores que participan en la comunidad de confianza.

A medida que evolucione la industria de la nube, también deberá evolucionar la capacidad de confiar. Esto se logrará al crear normas de confianza reguladas. Actualmente, existen alianzas tanto privadas como federales que trabajan para lograr este objetivo.

Las organizaciones deben seguir utilizando la guía proporcionada por estas organizaciones y alinearse con las prácticas de la industria para fomentar la estandarización con los proveedores de servicios.


Nuestra perspectiva
  • Escoger la verificación por encima de la confianza.
  • Entender quién es el responsable de los riesgos antes de celebrar un acuerdo de nube.
  • Planear para tener continuidad y elegir proveedores que son transparentes acerca de la resistencia en la generación de respaldos y las pruebas de recuperación.
  • Utilizar los procesos y técnicas de seguridad estándares que han funcionado eficazmente para otras tecnologías en el pasado
  • Alienar su estrategia de negocios y de seguridad de la información, y evaluar continuamente los riesgos para cumplir con los reglamentos y normas de la industria.

« Anterior | Siguiente »

Back to top