Oracle Cloud Threat Report 2020 Lad

Informe de amenazas
para la nube de
Oracle y KPMG
2020
Abordando las configuraciones de seguridad
en medio de un estado de constante cambio
02
Contenido
03 Resumen ejecutivo 13 La brecha en la preparación 28 La gestión de la configuración 42 Las altas expectativas del
de la seguridad en la nube de la nube través de DevSecOps machine learning
06 La adopción de la nube 14 La adopción de la nube supera la

preparación en materia de seguridad
29 Integración de la seguridad con DevOps
requiere un cambio cultural
43 IA/ML son los requisitos esenciales de
producto
se expande y diversifica 45
15 Las herramientas especiales aumentan la 31 La necesidad de automatización impulsa IA/ML se consideran aplicables a una amplia
07 Las iniciativas estratégicas están impulsando complejidad la adopción de DevSecOps gama de casos de uso de ciberseguridad
la adopción de la nube 17 46
Destaque: Están surgiendo nuevos roles de 32 Destaque: Las mascotas versus el ganado Hay demasiada confianza en la eficacia de
07 Las nubes públicas son vistas como más liderazgo en ciberseguridad de la infraestructura inmutable IA/ML
seguras en entornos on-premises 18
09 Las aplicaciones críticas de negocios se 18

Persiste una orientación centrada en la red
Vista previa: Desmitificación de modelo de

33 DevSecOps automatiza la protección
del ciclo de vida de las aplicaciones 48 En resumen: La cultura es
están trasladando hacia las nubes públicas
responsabilidad compartida de la seguridad Casos de uso de tiempo de compilación el catalizador para cerrar la
10 Cambios de uso de IaaS y PaaS hacia la de la nube Casos de uso de tiempo de ejecución brecha en la preparación
producción Casos de uso de tiempo de desarrollo
11 Destaque: Están surgiendo las verdaderas 20 Los desafíos y las ramificaciones de 35 Vista previa: La misión del CISO centrado 50
implementaciones de nube híbrida la gestión de configuración de la nube en la nube Apéndice
21 El consumo de la nube está creando puntos 51 Metodología de investigación
ciegos en la visibilidad
22 Las organizaciones no están siguiendo la
36 Ciberataques y el fraude 51 Demografía de los participantes
en los negocios
regla del mínimo privilegio
23 Destaque: Los secretos de la nube 37 Los blancos y las técnicas de phishing se

desprotegida están siendo expuestos están ampliando
24 Vista previa: El impacto en el negocio de la 38 Destaque: El phishing de credenciales de

fuga de datos moderna nube privilegiadas
26 La protección de las configuraciones de la 39 Un enfoque en el perímetro humano es

nube requieren un enfoque en la identidad necesario para combatir el phishing
40 Vista previa: Abordando el riesgo cibernético

y el fraude en la nube
Volver al contenido 03
Resumen ejecutivo Se deben unificar diferentes

Hoy en día, las empresas se han embarcado sus operaciones, los controles de seguridad perspectivas y programas en una
en iniciativas amplias de transformación
digital (DX), fundamentalmente para
efectivos son muy a menudo una idea de
último momento ya que las empresas evitan
estrategia consistente, con todos
reequipar las operaciones de negocios y
replantear todos los modelos de negocios
las mejores prácticas comprobadas y hacen
difícil — si no imposible — que la empresa
los participantes de las líneas de
a través del uso estratégico de tecnologías pueda evaluar con precisión y gestionar los negocios — equipos de desarrollo
digitales como servicios en la nube, riesgos empresariales.
aplicaciones móviles y análisis de datos. de aplicaciones, operaciones de TI,
La amplia adopción de las aplicaciones en Esta situación es insostenible. Se deben
la nube ayuda a dar soporte al aumento unificar diferentes perspectivas y ciberseguridad, riesgo, y cumplimiento
de trabajadores remotos, mientras programas en una estrategia consistente,
que al mismo tiempo crea también con todos los participantes de las líneas — asimilando la ciberseguridad
nuevas oportunidades para que los
ciberdelincuentes lleven a cabo fraudes
de negocios — equipos de desarrollo
de aplicaciones, operaciones de TI, como una prioridad estratégica y una
cibernéticos. ciberseguridad, riesgo, y cumplimiento —
asimilando la ciberseguridad como una
responsabilidad compartida.
La flexibilidad y escalabilidad de los prioridad estratégica y una responsabilidad
servicios y aplicaciones en la nube hacen compartida. La protección de los programas
de estas tecnologías un requisito para de DevOps (o DevSecOps) ofrece un
todas las estrategias de DX modernas. medio para automatizar la integración de
Esto está obligando a las empresas de la seguridad en procesos de DevOps y,
todo el mundo a adherirse a un cambio lo que es más importante, sirve como un
cultural fundamental en la relación entre los catalizador para hacer que la cultura de la
negocios y la tecnología, que faculta a las seguridad esté más cerca de la empresa.
unidades de negocio para que aprovechen Quienes tratan su recorrido hacia la nube
la naturaleza de autoservicio bajo demanda como una oportunidad para cultivar de
de los servicios en la nube para transformar manera proactiva una cultura de "seguridad
el negocio con nuevos niveles de agilidad. primero", encontrarán el justo equilibrio
Sin embargo, en la medida en que los entre permitir el uso de los servicios en
líderes de negocios progresistas se mueven la nube y proteger las transacciones y los
rápidamente para transformar digitalmente datos confidenciales.
El Informe de amenazas para la nube de Oracle Pero lo primero es lo primero. Los hallazgos clave explorados en el Informe de amenazas para la nube de Oracle
y KPMG 2020 no sólo analiza las tendencias y KPMG 2020 incluyen:
de adopción de la nube y el panorama actual
• L
a adopción de la nube sigue creciendo. La • L
os servicios de nube mal configurados son
de las amenazas, sino que también se centra
iniciativas de transformación digital de primero frecuentes, problemáticos y son la principal
en cómo las empresas pueden automatizar las nube y la elevación del nivel de confianza prioridad para la seguridad en la nube. La brecha
mejores prácticas de gestión de configuración, en la seguridad de las nubes públicas, están en la visibilidad de la seguridad de la nube ha
para ayudar a cerrar la brecha generalizada en conduciendo a una mayor utilización de los hecho que el endurecimiento de la configuración
la preparación de la seguridad en la nube. El servicios en la nube. de los servicios de nube sea un reto sistémico.
informe de este año es la primera parte de una
serie de 5, con informes de seguimiento que • L
os equipos de ciberseguridad están • L
a adaptación a la nube comienza con las
simplemente poniéndose al día. Las personas y los procesos. DevSecOps, al integrar la
ofrecen conocimientos sobre los hallazgos de
organizaciones simplemente no están preparadas ciberseguridad en los procesos de DevOps, ofrece
investigación en temas fundamentales para la para dar protección a la tasa en que los negocios los medios para automatizar las mejores prácticas
seguridad en la nube, que incluyen: ya han adoptado los servicios en nube, lo que de gestión de configuración de nube y acortar la
provoca una brecha palpable en la preparación de brecha de preparación de seguridad de la nube.
• D
esmitificación de modelo de responsabilidad la seguridad para la nube.
compartida de la seguridad de la nube. • L
os directores de seguridad de la información
• L
os conceptos básicos de seguridad en la nube (BISO) de los negocios tienen una función clara.
todavía no se comprenden. El empeoramiento Para alinear mejor la ciberseguridad y los objetivos
• E
l impacto en el negocio de la fuga de datos de la confusión sobre el modelo de seguridad de de negocios, los líderes de ciberseguridad están
moderna responsabilidad compartida es un contribuyente siendo involucrados en los negocios.
clave para la brecha en la preparación.
• A
bordando el riesgo cibernético y el fraude • M
uchos están apostando en el machine learning
en la nube. • E
l fraude cibernético toma el centro del (ML). El machine learning, como una aplicación
escenario. El panorama de las amenazas está en de inteligencia artificial, se ha convertido en una
evolución, siendo que los ataques verdaderos de tecnología de ciberseguridad fundacional, que
• La misión del CISO centrado en la nube
phishing conducen a un aumento de los fraudes y actualmente, muchas organizaciones consideran
de las credenciales de nube en riesgo. una tecnología imprescindible para una amplia
gama de casos de uso, incluyendo un mayor papel
en el centro de operaciones de seguridad (SOC).
06
La adopción de la
nube se expande
y diversifica
Los diversos usos de servicios y
plataformas en la nube definen los
entornos de multinube híbrida
Las iniciativas estratégicas Las nubes públicas son vistas como

están impulsando la más seguras en entornos on-premises
adopción de la nube
La mayoría ha superado las preocupaciones acerca de si las nubes públicas son
La migración hacia servicios en la nube a menudo
seguras y otras preocupaciones que inhiben su adopción. De hecho, la conversación
forma parte de un iniciativas estratégicas más amplias,
ahora es sobre la relatividad: qué tan seguros se considera que son los entornos de
principalmente de transformación digital (DX) y de nube
nube pública en relación a los centros de datos gestionados por el cliente. El veredicto
primero1. El profundo impacto que tiene la DX en la estrategia
está emitido y el parecer es claro, los entornos de nube pública se consideran más
de negocios, en los modelos de negocios y en los procesos
seguros de lo que las organizaciones pueden ofrecer en sus entornos on-premises.
de negocios al aprovechar nuevas tecnologías, a menudo
es activado por una agresiva estrategia de nube primero,
que llama a ofrecer nuevas aplicaciones de negocios desde
la nube. La relación simbiótica entre estas estrategias se
encuentra directamente relacionada con la adopción de
la nube, de acuerdo con el 88% de las organizaciones
que han logrado un nivel más maduro de transformación El veredicto está emitido y el parecer
digital utilizando los servicios en la nube, concretamente
los servicios de infraestructura, que son vistos como es claro, los entornos de nube pública
habilitadores críticos de la economía en 2020. Además, 3
veces más profesionales de TI están más preocupados por la se consideran más seguros de lo que
seguridad de las finanzas y de la propiedad intelectual (IP) de
su empresa que por la seguridad de su propia casa y familia. las organizaciones pueden ofrecer en
sus entornos on-premises.
Fuente: ESG Research Report,

1
2020 Technology Spending Intentions Survey, febrero de 2020.

Incluso frente a los muy publicitados incidentes de

pérdida de datos en nube pública, muchos consideran
a las nubes públicas como entornos más seguros
y resilientes. De hecho, el 40% de los encuestados
comparten una opinión: ellos consideran a las nubes
públicas como mucho más seguras de lo que pueden
ofrecer en su entorno on-premises, lo que representa
un notable aumento del 13% con respecto al año
anterior. Dicho aumento realza la opinión positiva de
la postura de seguridad de las nubes públicas.
Pero para algunos, hay por lo menos cierta

preocupación cuando se trata de confiar en
los proveedores de servicios de nube (CSP).
Concretamente, la concentración de participación
en el mercado por un puñado de proveedores de
servicios de nube hace que el 81% de los encuestados
se preocupe por una potencial complacencia. Otro
80 por ciento de los profesionales de TI también está
preocupado de que los proveedores de servicios de
nube con los que hacen negocios, se convertirán en
sus competidores en sus mercados principales. No
hay ninguna ambigüedad, ahora que los clientes han
conseguido sentirse cómodos con la seguridad de
las nubes públicas, quieren asegurarse de que los
CSP permanezcan vigilantes y comprometidos con
robustas medidas de ciberseguridad.
Las aplicaciones críticas de negocios se están trasladando hacia las nubes públicas
El hecho de que casi 9 de cada 10 que son la columna vertebral de ¿Qué porcentaje de tus aplicaciones de negocios críticos
empresas que participaron en el estudio sus operaciones de negocios — son SaaS? ¿Cómo esperas que esto cambie en los
de este año están utilizando Software planificación de recursos empresariales
próximos 24 meses? (Porcentaje de encuestados)
como servicio (SaaS) no cuenta toda la (ERP), gestión de relaciones con clientes
historia de la adopción de SaaS. Detrás de (CRM), gestión de capital humano
esta estadística, está el uso generalizado (HCM), gestión de servicio de TI (ITSM),
de SaaS para la productividad y y más — ahora están en proceso de
colaboración de oficina y, en particular, trasladarse hacia la nube.
un aumento planificado en SaaS para
las aplicaciones críticas para el negocio.
La expansión de SaaS como un modelo La expansión de SaaS como
de consumo y mecanismo de entrega
incluye la pila completa de aplicaciones un modelo de consumo
críticas para el negocio, desde interfaces
de front-office de contacto con el y mecanismo de entrega
cliente, pasando por procesamiento de incluye la pila completa de
transacciones de middle-office, hasta
operaciones de back-office. aplicaciones críticas para el
A la hora de consumir las aplicaciones
negocio, desde interfaces
críticas para el negocio como servicio (i.e. de front-office de contacto
vía SaaS), las organizaciones mencionan,
en promedio, un aumento del 9% durante con el cliente, pasando
los próximos 24 meses. Este cambio a
SaaS para aquellas aplicaciones que son por procesamiento de
verdaderamente de misión crítica, es
otro indicador de que las empresas están
transacciones de middle-
cada vez más cómodas con la postura de office, hasta operaciones
seguridad de los proveedores de servicios
de nube. De hecho, las aplicaciones de back-office.
Cambios de uso de IaaS y PaaS hacia la producción

Este año la investigación revela que el son uno de los impulsores de un notable ¿Cuál de los siguientes tipos de servicios en la nube –
recorrido de una organización hacia la nube incremento interanual en el uso de ICS. autorizados o no – están en tu organización?
puede tomar diferentes formas, siendo que
(Porcentaje de encuestados, se admitieron varias respuestas)
algunas empresas optan por migrar sus Además de un repunte en la adopción de
actuales aplicaciones on-site de negocios IaaS, el uso de la plataforma como servicio
críticos hacia la nube a través de un (PaaS) ha aumentado, lo que indica que
abordaje de "elevación y desplazamiento". muchas organizaciones están desarrollando
Hace poco más de un tercio de las nuevas aplicaciones nativas de nube.
aplicaciones de negocios críticos, operadas La elevación y el desplazamiento de las
por las compañías que participaron en aplicaciones hacia una nube pública es a
nuestro estudio, se migrarán hacia la nube menudo un paso intermedio para volver a
"tal como están" durante los próximos colocar en plataforma dichas aplicaciones,
24 meses. Los proyectos de elevación y o consumirlas como una oferta SaaS de
desplazamiento, que utilizan una plataforma terceros.
de CSP de infraestructura como servicio El resultado neto es el amplio portafolio
(IaaS), ostensiblemente como un entorno de de servicios en la empresa de multinube
hospedaje para aplicaciones de producción, híbrida de hoy.
Este año la investigación revela que el recorrido

de una organización hacia la nube puede tomar
diferentes formas, siendo que algunas empresas
optan por migrar sus actuales aplicaciones on-
site de negocios críticos hacia la nube a través de
un abordaje de "elevación y desplazamiento".
Destaque: Están surgiendo las verdaderas implementaciones de nube híbrida
Los términos "nube híbrida" y "multinube" siguen ¿Alguna de las cargas de trabajo de tu empresa actualmente se ejecuta en este modo híbrido?
fomentando la confusión. Sin embargo, para la mayoría (Porcentaje de encuestados, N=750)
de las organizaciones, los entornos de multinube híbrida
son en efecto, el rostro de los centros de datos modernos.
Ya que las definiciones están en orden, para fines del
informe de este año, los entornos de multinube son
simplemente aquellos que utilizan los servicios de más
de un proveedor de servicios en nube. Aunque una nube
híbrida podría simplemente significar tener tanto un centro
de datos gestionado por el cliente como una huella en
una plataforma IaaS pública, podremos observar nubes
híbridas a nivel de aplicaciones, en las cuales los niveles de
una aplicación se implementan tanto en un entorno on-
premises como en una nube pública.
Así, bajo este contexto, ¿qué compartieron los

participantes de investigación acerca de las verdaderas
implementaciones de nube híbrida? Aunque el 55% de
las organizaciones señalaron que el 41% de sus cargas de
trabajo de servidor estarán en una nube pública dentro
de los 24 meses2, muchos servidores permanecerán on-
premises o en las instalaciones de coubicación gestionadas
por el cliente. Casi la mitad (47%) de los encuestados
de este año de la encuesta de Oracle/KPMG han
implementado una única aplicación bajo una forma híbrida,
en la que los niveles de una aplicación se implementan en
diferentes entornos, y casi una cuarta parte (23%) lo han
hecho con varias aplicaciones. ¿Qué hay detrás de estas Fuente: ESG Master Survey Results, Leveraging
2
DevSecOps to Secure Cloud-native Applications,
verdaderas implementaciones híbridas? diciembre de 2019.
Para algunas empresas, las consideraciones de
seguridad y cumplimiento son tales, que los niveles
La complejidad es un enemigo de
de base de datos necesitan permanecer directamente
bajo su control. Al mismo tiempo, existen claras
los programas de ciberseguridad, ya
ventajas al aprovechar las plataformas de nube pública que las nubes híbridas exacerban los
para consideraciones relacionadas con el desempeño,
incluyendo grupos de ajuste de escala automático actuales desafíos de ciberseguridad al
para adaptarse a los períodos de máxima demanda,
obviando la necesidad de aprovisionamiento excesivo introducir nuevos obstáculos.
de granjas de servidores, y superar los desafíos de
personal que afectan a los negocios de hoy en día.
Otros impulsores de desempeño incluyen el uso de las
redes de entrega de contenido (CDN) para optimizar el
acceso local a los front-ends basados en web a través
de memoria caché.
Otra dinámica que impulsa las implementaciones

de aplicaciones de nube híbrida, es el aumento
del uso de contenedores de aplicaciones, que
proporcionan un nivel de portabilidad, y de esta
manera, la flexibilidad para implementar en los
diferentes entornos que componen las organizaciones
de multinube híbrida. En relación a ese punto, el
46% de los participantes en otra encuesta reciente
dijo que sus aplicaciones basadas en contenedor
serán implementadas a través de una combinación
de plataformas de nube pública y centros de
datos privados en el futuro3. Lamentablemente, la
complejidad es un enemigo de los programas de
ciberseguridad, y como se discute en este informe,
las nubes híbridas exacerban los actuales desafíos
de ciberseguridad al introducir nuevos obstáculos.
Fuente: ESG Master Survey Results, Leveraging

3
DevSecOps to
Secure Cloud-native Applications, diciembre de 2019.
13
La brecha en la preparación
de la seguridad en la nube
Al no estar preparadas para la velocidad de uso de la
nube, las organizaciones luchan con el reequipamiento
La migración de la nube supera la preparación en materia de seguridad

La enorme velocidad en la que el uso de los la disponibilidad de tal magnitud? Para ¿Cree que su organización tiene una brecha en la preparación creada
servicios en la nube se está expandiendo, empezar, los servicios y las aplicaciones por su actual uso de la nube, la tasa de expansión y la madurez de su
genera una brecha notable en la preparación en la nube a menudo son consumidos
programa de seguridad en la nube? (Porcentaje de encuestados, N=750)
de la seguridad de la nube. De hecho, el por una unidad de negocios fuera del
92% de los entrevistados en la encuesta de ámbito de los equipos centralizados de
este año admitió que su organización tiene TI y de ciberseguridad. Entonces, en la
una brecha entre el uso actual y previsto medida en que las líneas de negocios
de la nube, y la madurez de su programa obtengan un valor rápidamente, el uso
de seguridad en la nube. Este problema se de expandirá. La colaboración con el
ve realzado por un desconcertante 44% de equipo de ciberseguridad es percibida
los participantes en las organizaciones que como una amenaza para obtener las cosas
dijeron tener una brecha amplia. rápidamente. Aquí radican los problemas
donde la velocidad sobrepasa la preparación
Pero, ¿cómo hemos llegado a una situación en materia de seguridad, y la necesidad de
donde hay una brecha entre el uso y un cambio cultural en la forma en que las
organizaciones abordan la ciberseguridad.
El 92% de los entrevistados en la encuesta de

este año admitió que su organización tiene una
brecha entre el uso actual y previsto de la nube,
y la madurez de su programa de seguridad en
la nube.
Las herramientas
especiales están
aumentando la
necesidad de seguridad
La brecha en la preparación de la seguridad en la nube
se manifiesta en diversos desafíos para los encuestados,
incluyendo diferencias de entornos, siendo que el
78% señaló que las diferencias entre las aplicaciones e
infraestructuras residentes en la nube y on-premises,
requieren un conjunto diferente de políticas y procesos
de seguridad. Dichas diferencias de entornos han
conducido directamente a la adquisición de nuevos
controles discretos, lo que presenta una complejidad
adicional. En este punto, el 70% de los participantes en
nuestra encuesta dijeron que se necesitan demasiadas
herramientas especializadas para proteger su huella de
nube pública.
En promedio, los entrevistados de Así que, ¿cuántos productos de ciberseguridad son

utilizados por las organizaciones encargadas de proteger
nuestra encuesta informan de su los cada vez más complejos entornos de multinube
organización utiliza más de 100 híbrida? En promedio, ¡los entrevistados de nuestra
encuesta informan de su organización utiliza más de
controles de ciberseguridad discretos. 100 controles de ciberseguridad discretos!
Aproximadamente, ¿cuántos productos de ciberseguridad Hay, sin embargo, el control sobre

discretos crees/estimas que están en uso en toda tu empresa/ la economía de dichas inversiones
incrementales. Algunas empresas
organización hoy en día? (Porcentaje de encuestados, N=750)
tratan la necesidad de actualizar su pila
de controles de ciberseguridad como
una oportunidad para consolidar un
conjunto de herramientas dispares en
una plataforma integrada. De hecho, el
80% de las organizaciones considera
comprar una cantidad significativa de
sus tecnologías de ciberseguridad de un
único proveedor4. Las empresas también
están empezando a alinear su modelo
organizativo para obtener un abordaje
más unificado para proteger sus entornos
de multinube híbrida. Mientras que sólo
el 18% ya lo han hecho, otro 50% de los
encuestados señalan que, a pesar de que
actualmente tienen diferentes equipos
responsables de proteger las aplicaciones
nativas de nube, planean fusionar esas
responsabilidades en el futuro5. ¿Quién
que encabeza este esfuerzo requiere una
perspectiva estratégica?
Fuente: ESG Master Survey Results, Enterprise-class

4
Cybersecurity Vendor Sentiment, marzo de 2020.

Fuente: ESG Master Survey Results, Leveraging
5
DevSecOps to Secure Cloud-native Applications,

diciembre de 2019.
Destaque: Están surgiendo
nuevas carreras de liderazgo El estudio de este año revela que más organizaciones
en ciberseguridad tienen un arquitecto de seguridad en la nube que
un arquitecto de seguridad, lo que refleja una
Informes previos de amenazas para la nube de Oracle y KPMG,
han notado el aumento de arquitectos de seguridad en nube para reorganización de los programas de ciberseguridad
facilitar la implementación de estrategias de seguridad en la nube,
que incluyen políticas y selección de herramientas. El estudio de para abordar la brecha de preparación.
este año revela que más organizaciones tienen un arquitecto de
seguridad en la nube que un arquitecto de seguridad, lo que refleja
una reorganización de los programas de ciberseguridad para ¿Cuál de las siguientes funciones de liderazgo de seguridad tiene tu empresa?
abordar la brecha de preparación. Los arquitectos de seguridad en (Porcentaje de encuestados N=750, se admitieron varias respuestas)
la nube trabajan con el CISO y otros en la evaluación de la forma en
que se debe cambiar hacia la nube, y la necesidad de reformular
su pila de controles de ciberseguridad, lo que representa una
oportunidad para reducir el número de controles que operan.
La amplia adopción de los servicios en la nube ha dado lugar a

la aparición de un nuevo rol de liderazgo de ciberseguridad, el
director de seguridad de la información de negocios (BISO). No es
de extrañar que las grandes organizaciones, estén por delante de
las empresas de mercado medio en la ampliación y diversificación
de sus líderes de ciberseguridad, siendo que más de un tercio
ya emplean al menos un BISO. Esta serie de informes incluirá un
debate más a profundidad sobre el papel del BISO en nuestro
próximo informe del CISO.
Persiste una orientación Vista previa: Desmitificación de modelo

centrada en la red de responsabilidad compartida de la
Los programas de ciberseguridad on-premises a
seguridad de la nube
menudo han sido diseñados, en gran parte, con El concepto de seguridad en la nube como una responsabilidad compartida es una noción
base en un modelo de amenazas de "castillo con fundamental para la seguridad de la nube y la gestión de los riesgos, para comunicar la división
fosa", y por los tanto con un enfoque en procesos de trabajo entre el proveedor de servicios en nube y los suscriptores del servicio. Una clara
de seguridad de red, tecnologías y habilidades. comprensión del modelo de responsabilidad compartida para todos los tipos de servicios en
En la medida en que las empresas con una la nube, es nada menos que la piedra angular de los programas de seguridad en la nube. La
orientación centrada en la red realizan la transición confusión ha empeorado en torno a todos los tipos de servicios en la nube, lo que incluye
de más de sus aplicaciones e infraestructura hacia a aproximadamente dos tercios (67%) de los encuestados que indicaron que encontrar el
las nubes públicas, es natural esperar, conforme modelo de responsabilidad compartida para proteger aplicaciones SaaS es de lo más confuso,
dijo el 73% de los encuestados, que la falta de lo que representó un 13% de incremento interanual. Y sólo el 8% de los encuestados este año
acceso a la red física, junto con la naturaleza dijo que entiende plenamente el modelo de responsabilidad compartida en la nube para todos
elástica de la computación en nube, genera los tipos de servicios en la nube, en comparación con el 18% en 2019.
puntos ciegos. La mejora de la visibilidad de la
seguridad en la nube comienza con reconsiderar
lo que pensamos sobre el perímetro amorfo de los
entornos de multinube híbrida de hoy en día.
Una clara comprensión del modelo de responsabilidad
compartida para todos los tipos de servicios en la
nube, es nada menos que la piedra angular de los
programas de seguridad en la nube.
Entiendo plenamente el papel de mi equipo con respecto al Cuando se trata de aplicaciones SaaS, los suscriptores deben tener claro que son
modelo de seguridad de responsabilidad compartida. (Porcentaje responsables de la seguridad de los datos, la gestión de identidades y de acceso,
y la conformidad con los reglamentos aplicables de la industria. Considerando la
de encuestados N=750, se admitieron varias respuestas)
amplia adopción de las aplicaciones SaaS, nosotros, como industria y comunidad,
tenemos trabajo por hacer.
Esta falta de claridad sobre este concepto fundamental de seguridad en la nube, es

un contribuyente clave para la brecha en la preparación de la seguridad en la nube.
El problema se agrava debido al amplio portafolio de servicios en nube que casi
todas las organizaciones utilizan, donde existen discrepancias no sólo en el tipo de
servicios, sino también entre los proveedores de servicio.
Como un pilar de la seguridad en la nube, este tema merece un estudio más

detallado. Debido a ello, debes estar al pendiente de nuestro próximo informe,
Desmitificación de modelo de responsabilidad compartida de la seguridad de la
nube, que será parte de las series del Informe de Amenazas para la Nube en curso.
Cuando se trata de aplicaciones SaaS, los

suscriptores deben tener claro que son
responsables de la seguridad de los datos,
la gestión de identidades y de acceso, y la
conformidad con los reglamentos aplicables
de la industria.
20
Los desafíos y
las ramificaciones
de la gestión de
configuración
de la nube
Muchos no están siguiendo las mejores
prácticas, lo que conduce a la pérdida de
datos y a la necesidad de reestructurar.
El consumo de la nube está creando puntos ciegos en la visibilidad

La naturaleza abstracta de operar en el centro de datos ¿Qué áreas consideras que son las más importantes para mejorar la visibilidad de la seguridad
de otro y compartir la responsabilidad ha dado lugar a un del uso de tu organización de los servicios de nube pública? (Porcentaje de encuestados N=674,
estribillo común: falta de visibilidad. Deseábamos poner
se admitieron tres respuestas)
alguna definición a este problema en el informe de este año
y encontramos un tema claro: La adopción de la nube ha
creado una serie de desafíos de gestión de configuración.
De hecho, el mayor desafío para la seguridad en la nube
que comparten nuestros encuestados, es el de las áreas
en las que se necesita mejorar la visibilidad del uso de
su organización de los servicios en la nube pública: la
configuración de las cargas de trabajo del servidor.
Otros dos problemas relacionados con la gestión de

configuración que están estrechamente relacionados — la
identificación de los grupos de seguridad mal configurados
(i.e., firewalls basados en host) y los servidores orientados
hacia el exterior — también están muy presentes. Dichos
problemas de configuración de exponen los servidores a
tráfico no autorizado entre cargas de trabajo, que puede
permitir el movimiento lateral de malware, así como el
escaneo casi instantáneo de puertos por ejércitos de bots
maliciosos.
El concepto Las organizaciones no están siguiendo
fundamental de la regla del mínimo privilegio
restringir los derechos
de acceso para Más allá de la necesidad de una mayor visibilidad
de la configuración de la infraestructura de nube,
• C
uentas con privilegios en exceso (37%). No todas las cuentas
necesitan privilegios de raíz o de administrador. Mientras más cuentas
usuarios y cuentas deseábamos determinar si los participantes en la
encuesta detectaron algún servicio en nube mal
tengan derechos escalados, mayor será el riesgo para el negocio y
mayor será la recompensa para los atacantes.
al mínimo necesario configurado durante los últimos 12 meses. ¿Qué
descubrimos? No faltaron servicios en nube mal • S
ervidores web expuestos y otros tipos de cargas de trabajo de
para llevar a cabo configurados, lo cual, dada la brecha en visibilidad, servidor (35%). Las cargas de trabajo de servidor que están orientadas
no es de sorprender. Pero el hilo que conecta los hacia el exterior están sujetas a escaneo de puertos si no se enrutan
una tarea y hacer su tipos de problemas de configuración reportados a través de un host bastión, o si sus grupos de seguridad no están
por nuestros encuestados, nos recuerda que los correctamente configurados para impedir protocolos no autorizados y
trabajo, es primordial principios de on-premises se aplican en la nube. tráfico sobre puertos abiertos en exceso. Un host bastión es un proxy
mínimamente configurado, endurecido y de propósito único que
hoy en la realidad de la A la vanguardia de estas prácticas está la proporciona acceso a una red interna desde Internet.
multinube híbrida. necesidad de implementar políticas de acceso
de mínimos privilegios. Para ser claros, esto no • D
atos residentes en el almacén de objetos que no están
es responsabilidad del proveedor del servicio, debidamente protegidos mediante listas de control de acceso (ACL)
independientemente del tipo de servicios nube. El (34%). La confusión relacionada con las ACL, que controlan quién
concepto fundamental de restringir los derechos de puede acceder a qué tipos de datos almacenados en el almacén de
acceso para usuarios y cuentas al mínimo necesario objetos, ha generado acceso no autorizado y pérdida de datos.
para llevar a cabo una tarea y hacer su trabajo,
es primordial hoy en la realidad de la multinube • L
a falta de autenticación multifactor (MFA) (33%). Las consolas de
híbrida. Un entorno abstraído en el que hay una nube son el punto de control para las cuentas de nube y, como tal, el
matriz de relaciones muchos a muchos entre acceso debe ser protegido con un desafío de autenticación adicional.
usuarios, cuentas y nubes, posiblemente complica Volveremos a este importante tema.
la aplicación de mínimos privilegios, como lo
• R
egistro deshabilitado para capturar un registro de auditoría de la
demuestran los resultados de nuestra investigación.
actividad de la nube (31%). La dinámica y la naturaleza temporal de las
En el centro de la atención, y encabezando el
plataformas IaaS, hacen que se necesite conservar un rastro de auditoría
principal servicio en nube mal configurado, están las
de actividad, para fines de cumplimiento regulatorio y de investigación.
cuentas con privilegios en exceso.
Destaque: Los secretos de la Mencionaste que tu organización descubrió secretos de nube sin
protección (ej., contraseñas, claves API, claves de cifrado, credenciales
nube desprotegida aumentan la de administrador). ¿Dónde se ubican estos secretos? (Porcentaje de
encuestados N=226, se admitieron varias respuestas)
vulnerabilidad de los negocios
De los tipos de servicios en nube mal configurados que fueron informados por
nuestros encuestados, uno es de particular preocupación: los secretos de la nube sin
protección (i.e., contraseñas, claves API, claves de cifrado y credenciales de cuenta de
administrador y servicio). Conectemos algunos descubrimientos de esta investigación.
El servicio en nube mal configurado que se cita más frecuentemente, las cuentas
con privilegios en exceso, está relacionado directamente con los secretos de la
nube sin protección. Es evidente que estas credenciales son buscadas por los
atacantes, debido al alto porcentaje de las organizaciones que informaron ataques
de phishing de objetivo definido, diseñados para robar credenciales privilegiadas de
nube. Las credenciales de nube privilegiadas pueden usarse para obtener acceso a
más secretos de nube y, desde allí, a una amplia variedad de servicios en nube que
incluyen almacenes de datos, como bases de datos y almacenes de objetos.
La ubicación de dichos secretos forma claramente parte del problema, ya que

los encuestados señalaron que los secretos han sido descubiertos en lugares
desprotegidos, tales como:
La colocación de los secretos de nube, a veces en texto

De los tipos de servicios en nube mal configurados que claro, en lugares desprotegidos es otro subproducto de los
objetivos contradictorios. Los equipos de desarrollo están
fueron informados por nuestros encuestados, uno es simplemente moviéndose rápido y no piensan en dónde
colocar los secretos. Las mejores prácticas para asegurar
de particular preocupación: los secretos de la nube sin los secretos de la nube incluyen, de nuevo, la aplicación de
políticas de mínimo privilegio y almacenamiento de secretos
protección (i.e., contraseñas, claves API, claves de cifrado en un almacén seguro, como un módulo de almacenamiento
de hardware (HSM) o una bóveda de claves.
y credenciales de cuenta de administrador y servicio).
Vista previa: El impacto en

el negocio de la fuga de
datos moderna
Las causas de la pérdida de datos son muchas, siendo que
el perímetro amorfo creado por el uso de servicios en nube
representa otro punto de salida para la fuga de datos. Nuestra
investigación reveló que el fracaso de los suscriptores en
proteger correctamente la configuración de los servicios en la
nube, contribuye para la pérdida de datos. Considerado como
una de las principales consecuencias de los servicios en nube
mal configurados, más de la mitad de nuestros encuestados
compartió que esto ha causado pérdida de datos. De hecho, las
organizaciones que dijeron que descubrieron servicios de nube mal
configurados tuvieron 10 o más incidentes de pérdida de datos.
Nuestra investigación reveló que el

fracaso de los suscriptores en proteger
correctamente la configuración de los
servicios en la nube contribuye para la
pérdida de datos
¿Qué de lo siguiente es resultado directo de los problemas que su organización sufrió
con la mala configuración de los servicios en la nube? (Porcentaje de encuestados)
En la medida en que más datos migran hacia almacenes de
nube pública, dichos problemas de configuración serán aún
más importantes. Este año la investigación muestra que la
tendencia continuará: Durante los próximos dos años, la mitad
de los datos de nuestras organizaciones participantes residirán
en la nube. El hecho de que nuestros encuestados señalen
problemas de configuración como la causa de la pérdida de
datos, es alentador, ya que es una medida de autoconciencia.
Es también claro que las brechas de datos sufridas por
otras organizaciones incitan acciones, ya que el 79% de las
empresas señalaron que dichos incidentes hicieron que
aumentaran su enfoque en la protección de sus datos.
El sorprendentemente alto número de veces en que las

organizaciones señalaron que perdieron datos residentes
en la nube pública es muy preocupante, y plantea una serie
de preguntas: ¿Cuáles fueron las principales causas de la
pérdida de datos en la nube? ¿Qué sectores han sido los más
afectados? ¿Cómo han respondido los negocios y quién fue el
responsable (si lo hubo)?
Exploraremos estas preguntas y más en un próximo informe

de las series del Informe de Amenazas en la Nube, El impacto
en el negocio de la fuga de datos moderna.
La protección de las ¿Qué de lo siguiente es resultado directo de los problemas que su organización sufrió
con la mala configuración de los servicios en la nube? (Porcentaje de encuestados)
configuraciones de
la nube requieren un
enfoque en la identidad
Los servicios en la nube mal configurados sirvieron
como catalizador para que muchos iniciaran la
reorganización de sus procesos y controles de seguridad
en la nube, con un enfoque en proteger el perímetro
humano a través de fuertes medidas de gestión de
identidad y acceso. En ese punto, el principal resultado
directo de servicios en nube mal configurados, como
los citó más de la mitad (51%) de los encuestados, fue la
adopción de la autenticación de múltiples factores (MFA)
para sus cuentas de nube más críticas.
Necesitamos pensar en estas cuentas uso moderado de la MFA para proteger ¿Para cuál de los siguientes tipos de servicios y sistemas en la nube tu
y credenciales como el equivalente en el acceso a repositorios de gestión de organización utiliza o piensa utilizar la autenticación multifactor (MFA)?
la nube de aquellos que proporcionan código fuente (SCM).
(Porcentaje de encuestados N=695, se admitieron varias respuestas)
acceso privilegiado a controladores de
dominio on-premises. Dado el daño que Pero la MFA realmente debería ser vista
se puede hacer con el acceso irrestricto a como algo esencial. Afortunadamente,
las credenciales privilegiadas de la nube nuestros encuestados están de acuerdo
como medio para poner en riesgo los y están haciendo más para proteger el
servicios esenciales de la nube, el informe elemento humano que la mera aplicación
de este año tiene una clara llamada a de la MFA para bloquear el acceso a
la acción: todas las cuentas de nube los servicios en la nube. Casi la mitad
que requieran el uso de credenciales de estas organizaciones también están
privilegiadas deben ser protegidos implementando una solución de analítica
mediante el uso de la MFA. de comportamiento de entidad de
usuario (UEBA). Y todo esto se conecta
¿Cómo nos va con la MFA cuando se a través de la autenticación adaptativa
trata de proteger cuentas críticas de que representará un desafío secundario
nube? Menos de la mitad de nuestras en el caso de que una solución UEBA
organizaciones participantes están detecte actividad anómala, un abordaje
utilizando la MFA para acceder a consolas que debería aplicarse a algo más que las
de gestión de nube, herramientas de cuentas privilegiadas.
orquestación de DevOps y cuentas de
administración para sus aplicaciones de
negocios SaaS. También tiene que ver un
El informe de este año tiene una clara llamada a la

acción: Todas las cuentas de nube que requieran
el uso de credenciales privilegiadas deben ser
protegidos mediante el uso de la MFA.
28
La gestión de la configuración
de la nube través de DevSecOps
Dev y OPS han convergido, pero ¿qué pasa con la seguridad?

Integración de la seguridad con DevOps requiere un cambio cultural

El desarrollo de software ágil y DevOps Pero, ¿dónde deja esto a la seguridad? Para el informe de este año, DevSecOps se
Al igual que se basan en un abordaje iterativo hacia la define como la automatización de procesos
Debido a que un porcentaje similar de las
DevOps requiere mejora continua, con base en la transparencia
organizacional y una cultura de colaboración. Al empresas ahora incorpora la seguridad en
y controles de ciberseguridad mediante la
integración de una cadena de herramientas
sus procesos de DevOps, es evidente que
de un cambio igual que DevOps requiere de un cambio cultural
que lleve a una mentalidad distinta, la cultura la seguridad está surgiendo como un caso
con integración continua y entrega continua
(CI/CD) que orqueste el ciclo de vida de
de uso principal para DevOps, un abordaje a
cultural que lleve será el punto de partida para la integración de
la seguridad en procesos de DevOps. Como menudo referido como "DevSecOps". Como
la aplicación. Como tal, una iniciativa de
DevOps segura, habilitada por una cultura
a una mentalidad precursor de este cambio que, en última
instancia, trata la seguridad como un requisito
término, DevSecOps ha sido un tema polémico
en la industria de la ciberseguridad. Algunos
para serlo, desplazará la seguridad a la
izquierda en la incorporación del tiempo de
distinta, la cultura de negocios y una responsabilidad compartida consideran que el término es confuso y que
necesita una definición clara. Otros asumen que
desarrollo y del tiempo de compilación, a
por todos los miembros de un equipo de través de la integración con lo siguiente:
será el punto proyecto, veamos primero el estado de adopción DevOps ya incluye a la seguridad, obviando la
necesidad del término. Es la visión en el informe
de DevOps. • H
erramientas de ciclo de vida de
de partida para de este año que hasta que la seguridad se
desarrollo de software (SDLC), incluyendo
convierta en la norma cultural, DevSecOps sirve
la integración DevOps ya no es una metodología empleada
exclusivamente por empresas nativas de nube,
como una llamada a la acción.
entornos de desarrollo interactivos (IDE).
de la seguridad aquellas con menos de 10 años que nunca han

operado su propio centro de datos. De hecho,
• G
estión repositorios de código fuente
(SCM).
en procesos de nuestra base de investigación de organizaciones Hasta que la
empresariales que comparten en gran medida
DevOps DevOps, está siendo adoptada de forma seguridad se • Herramientas de compilación
automatizadas.
generalizada, siendo que sólo el 6% dice que
su empresa no tiene planes para emplear convierta en la
• Sistemas de gestión de proyecto ágil.
DevOps. Siendo que cerca de un tercio de los
encuestados ya emplea DevOps, y casi otro
•
norma cultural,
• Plataformas de mensajería de
cuarto que planea hacerlo en los próximos 12-
24 meses, y otro tercio interesado en hacerlo,
DevSecOps servirá colaboración.
es evidente que DevOps se está convirtiendo
rápidamente en el abordaje estándar para
como una llamada a
la manera en que se compila software y se
implementan aplicaciones.
la acción.
Este abordaje de "cambio a la izquierda" Como era de esperar, el recorrido de ¿En qué medida tu organización planea incorporar procesos y controles
debe ser intensificado con un enfoque DevSecOps es un trabajo en curso para de seguridad a lo largo de sus procesos de DevOps (i.e., DevSecOps)?
continuo en el tiempo de ejecución, nuestros los participantes de nuestra
(Porcentaje de encuestados, N=667)
mediante la integración de controles investigación. Poco más de un tercio de los
de seguridad con herramientas de CI/ encuestados cuya organización emplea,
CD que orquesten la entrega de nuevas plana emplear o está interesado en emplear
compilaciones en la producción. Una vez DevOps, señaló que su organización ya
más, la cultura organizacional será un factor ha integrado la seguridad en sus procesos
crítico de éxito, y los equipos de DevOps de DevOps. ¿Qué pasa con los otros dos
necesitan comprender las operaciones tercios? Como observamos con la adopción
de seguridad. ¿Cómo? Los equipos de de DevOps, el 28% ya está planeando
operaciones de seguridad necesitan una implementar medidas de DevSecOps y otro
pista de auditoría de eventos de seguridad tercio está evaluando los casos de uso de
para propósitos de investigación y respuesta, seguridad que pueden ser incorporados en
lo que requerirá el uso de controles que sus procesos de DevOps. Este es un primer
puedan capturar eventos de actividad del ejemplo de que las oportunidades para
sistema en instancias efímeras de nube establecer una cultura de seguridad se están
como contenedores de aplicaciones. perdiendo desde la fase de diseño.
Para apoyar el avance de la madurez de los

Este abordaje de "cambio a la programas de DevOps seguros, la adopción
actual y prevista de DevSecOps requiere
izquierda" debe ser intensificado especificidad de casos de uso y repetibilidad
a lo lago de los equipos de proyecto, con el
con un enfoque continuo en el apoyo del consenso en la organización de
tiempo de ejecución, mediante que se tiene que dar la debida importancia
a la ciberseguridad.
la integración de controles de
seguridad con herramientas de
CI/CD que orquesten la entrega
de nuevas compilaciones en la
producción.
La necesidad de automatización ¿Cuáles son los principales motivos

por los que tu organización utiliza
Otros controladores de DevSecOps son muy
consistentes con los principios fundamentales de
impulsa la adopción de o planea utilizar DevSecOps?

(Porcentaje de encuestados N=415,
DevOps, incluyendo:
DevSecOps
• C
olaboración: El 40% dijo que DevSecOps
se admitieron tres respuestas) fomenta un alto nivel de colaboración entre
desarrollo, gestión de infraestructura, propietarios
Para que la seguridad no se quede fuera del proceso de desarrollo, de aplicaciones y profesionales de ciberseguridad,
integración y entrega de software, debe integrarse en la automatización un pilar de la cultura de DevOps.
CI/CD. Los encuestados coinciden plenamente, la principal razón de
que las empresas que empleen o prevean emplear DevSecOps es • E
ficiencia: El 40% señaló que DevSecOps le
mejorar la postura de seguridad al incorporar la seguridad en cada permite obtener mayor eficiencia operativa
etapa de la cadena de herramientas de entrega continua con respecto a la automatización, siempre un
beneficio bienvenido dado que los equipos de
ciberseguridad cuentan con recursos limitados.
DevSecOps sirve también a las consideraciones de

La principal razón de que las cumplimiento, siendo que más de un tercio (36%) dice
que DevSecOps le permite asegurar que sus negocios
empresas que empleen o prevean cumplan y mantengan la conformidad con las normas
aplicables de la industria.
emplear DevSecOps es mejorar la
Aunque estos son motivos proactivos para integrar
postura de seguridad al incorporar la seguridad en los procesos de DevOps, algunos
encuestados revelaron que lo hacen de forma reactiva
la seguridad en cada etapa de en respuesta a un incidente de ciberseguridad, que
la cadena de herramientas de bien podría haber sido debido a servicios en la nube
mal configurados. De hecho, los encuestados también
entrega continua están conscientes de cómo DevSecOps puede ayudar
a abordar los desafíos de la gestión de configuración
discutidos previamente, siendo que el 39% mencionó
que ha adoptado o adoptará DevSecOps para
automatizar la actualización de la configuración de sus
cargas de trabajo de servidor que residen en la nube.
Destaque: Las mascotas versus ¿Tu organización trata sus cargas

de trabajo de servidor que residen
el ganado de la infraestructura en la nube como infraestructura
inmutable? (Porcentaje de
inmutable encuestados, N=750)
La naturaleza transitoria de las cargas de trabajo que residen en la nube

es tal que a menudo son tratadas como inmutables. Eso significa que La metáfora de "mascotas versus
la producción de cargas de trabajo de servidor que residen en la nube ganado" ha sido utilizada para transmitir
no se suele actualizar; se reemplaza por nuevas instancias con base en eficazmente la distinción entre cómo se
una imagen de oro actualizada, que puede incluir una actualización de gestionan los servidores de centro de
sistema operativo, un parche para una aplicación o código nuevo, pero datos on-premises y las cargas de trabajo
también raíz de confianza de hardware para borrar el código malicioso que residen en la nube. Los servidores
del hardware. El tratar las cargas de trabajo que residen en la nube on-premises han sido tratados casi como
como infraestructura inmutable ya es habitual, siendo que casi dos mascotas de la familia, al darles nombres
tercios de los encuestados de este año dijeron que todas o la mayoría bonitos, criarlos con cuidado y alimentarlos
de sus cargas de trabajo en la nube son inmutables, y un poco más de para minimizar cualquier impacto en
otro cuarto dijeron que algunas de sus cargas de trabajo que residen su estado de tiempo de ejecución. En
en la nube son tratadas como inmutables. contraste, a los servidores de producción
inmutables no se les colocan parches y
son tratados como ganado criados para
ser sacrificado. Es decir, el abordaje de
gestión del cambio para la infraestructura
inmutable está derribando y sustituyendo
La automatización de la gestión de las flotas de instancias de servidor a través
de la orquestación automatizada. Es bajo
configuración es simple y llanamente el este contexto que la automatización de
la gestión de configuración es simple y
abordaje necesario para la actualización llanamente el abordaje necesario para la
actualización de las cargas de trabajo de
de las cargas de trabajo de servidor que servidor que son inmutables.
son inmutables.
DevSecOps automatiza la protección

del ciclo de vida de las aplicaciones
Dado que hay más servidores que residen Casos de uso de tiempo de compilación
en la nube que están siendo tratados como
inmutables, y organizaciones están dando La mayoría de los casos de uso de DevSecOps
pasos hacia la plena automatización, ¿qué citados representan hilos que conectan los temas
depara el futuro? Un impresionante 88% de los centrales analizados en el informe de este año:
encuestados está de acuerdo en que, dentro falta de visibilidad de las configuraciones de la
de los próximos tres años, la mayoría de sus nube, la gama de servicios mal configurados y la
servidores que residen en la nube aprovecharán urgente necesidad de automatización. Con ese
colocación de parches y las actualizaciones fin, los encuestados están abordando la gestión
inteligentes y autónomas. Además de de configuración en tiempo de compilación
los sistemas que ya son verdaderamente mediante la automatización de la identificación y la
autónomos, DevSecOps desempeñará un papel corrección de vulnerabilidades de configuración de
central en la automatización y la actualización servidores y contenedores y de software, antes de
de los servidores que residen en la nube. su implementación en producción. Con imágenes
reforzadas en mano, DevSecOps se está utilizando
para automatizar la introducción de nuevos
contenedores y cargas de trabajo en producción
como un medio para implementar estas nuevas
configuraciones que incluyen parches. Otro caso
de uso popular es automatizar la introducción de
controles preventivos en tiempo de ejecución.
La mayoría de los casos de uso de DevSecOps citados representan hilos

que conectan los temas centrales analizados en el informe de este año: falta
de visibilidad de las configuraciones de la nube, la gama de servicios mal
configurados y la urgente necesidad de automatización.
¿Cuál de las siguientes opciones representa mejor cómo tu organización emplea actualmente Casos de uso de tiempo de ejecución
DevSecOps? (Porcentaje de encuestados N=225, se admitieron varias respuestas) Para muchas organizaciones, un beneficio central de las
plataformas de infraestructura como servicio es el perfecto
autoescalamiento automático, en el cual las nuevas instancias
de servidor se instancian y retiran conforme la aplicación los
requiera dinámicamente. En los grupos de autoescalamiento en
los que todos los miembros están basados en la misma imagen
de oro, no debe haber desviaciones en comportamientos de
tiempo de ejecución. Como tal, otro caso de uso convincente
de DevSecOps es automatizar la implementación de
controles de tiempo de ejecución, que pueden detectar
cualquiera de dichas desviaciones de una referencia de buen
comportamiento del sistema. Otros controles de tiempo de
ejecución incluyen la aplicación automatizada de controles
que segmenta la comunicación entre cargas de trabajo para
la implementación de un modelo de seguridad de mínimos
privilegios entre niveles de aplicación.
Casos de uso de tiempo de desarrollo

Con los casos de uso de tiempo de compilación y tiempo
de ejecución en mente, nuestros encuestados también
están utilizando DevSecOps en tiempo de desarrollo con
diversos abordajes para el análisis de código. Estos casos de
uso incluyen análisis de composición que podría identificar
componentes de terceras partes o de software de código abierto
con vulnerabilidades conocidas, así como análisis estático y
dinámico para identificar vulnerabilidades orgánicas introducidas
accidentalmente. Como es el caso con todas las vulnerabilidades,
los equipos de proyecto tendrán que establecer y respetar las
políticas sobre qué niveles de gravedad garantizan la corrección y
fallaría una compilación si no se aborda en la fase de desarrollo.
Vista previa: La misión del

CISO centrado en la nube
El cambio cultural, que es el requisito previo para aprovechar la automatización ¿Qué de lo siguiente contribuyó a que el CISO/CSO de tu organización se
de DevSecOps para cerrar la brecha en la preparación de la seguridad en involucrara cada vez más en proyectos de nube pública durante los últimos 12 a
la nube, requerirá que los líderes de ciberseguridad adopten un abordaje
24 meses? (Porcentaje de encuestados N=370, se admitieron varias respuestas)
fundamentalmente nuevo. Nuestra investigación es inequívoca en lo que respecta
a algunas dinámicas organizacionales fundamentales relacionadas.
Para empezar, los CISO demasiado a menudo se involucran en proyectos de

nube pública de manera reactiva, esto se basa en que el 69% informó que sus
CISO se involucraron en la iniciativa de nube pública después de un incidente
de ciberseguridad. Y dos tercios señalaron que su CISO la adoptó debido a
una solicitud de financiamiento. Estos hallazgos de la investigación son un
claro recordatorio de la desconexión entre las líneas de negocios y el equipo
de ciberseguridad. Pero hay buenas noticias: el advenimiento del director de
seguridad de información de negocios (BISO) puede ayudar a poner en práctica
un mandato de ciberseguridad dentro de las líneas de negocios.
Una revisión de las descripciones de trabajo del BISO en las bolsas de trabajo
revela un tema central para esta función: la integración de una cultura de la
seguridad en la empresa. Nuestros encuestados coinciden, más de la mitad ¿Qué tan verdaderamente involucrado ha estado el CISO en proyectos en la nube? ¿A las
señaló que la adición de un BISO encargado de colaborar con el CISO, fue un organizaciones les parece que su CISO añade valor estratégico de tal forma que les gustaría
catalizador para hacer que el CISO se involucre más en sus proyectos de nube. que se involucrara en más cosas? ¿Y qué pasa con el impacto de la brecha en la preparación
de la seguridad en la nube en la seguridad en el trabajo? ¿Los CISO son responsabilizados
por las fallas en la protección de datos y privacidad? ¿Las organizaciones contratan CISO
proclives a la nube que tienen más conocimientos acerca de la seguridad en la nube?
Una revisión de las descripciones de trabajo
del BISO en las bolsas de trabajo revela un La evolución del papel del CISO es un tema básico de seguridad en la nube que
exploraremos en otro informe de esta serie, La misión del CISO centrado en la nube.
tema central para esta función: la integración
de una cultura de la seguridad en la empresa.
36
Ciberataques y
el fraude en los
negocios
Mientras persistan los tipos de ataques

comprobados, el fraude en negocios
cibernéticos presentará nuevos desafíos
Los blancos y las técnicas de phishing se están ampliando

Este año la El estudio de este año revela que los ataques cibernéticos que han probado su eficacia persisten, siendo resaltados por la
interminable batalla contra el phishing) que, de nuevo, es el tipo de ataque cibernético más comúnmente sufrido por los
investigación revela encuestados en la investigación. Si bien el predominio del phishing como un método de ataque y vector es bien conocido,
nuevas técnicas de phishing son empleadas para alcanzar nuevos objetivos.
nuevas formas en
las que se perpetran ¿De cuál de los siguientes ataques de ciberseguridad ha sido víctima tu
organización durante los últimos 24 meses? (Porcentaje de encuestados, N=372)
ataques de phishing
para robar un
nuevo conjunto de
objetos valiosos:
las credenciales
privilegiadas de nube
Destaque: El phishing de credenciales de nube privilegiadas
Los delincuentes ahora roban credenciales ¿Las cuentas privilegiadas de nube de algún miembro de su organización han estado en riesgo por un
privilegiadas mediante phishing selectivo, para acceder ataque de phishing diseñado para robar sus credenciales de nube? (Porcentaje de encuestados, N=236)
a los servicios críticos de nube de una organización,
así como a los datos asociados con dichos servicios.
Una lección clave del informe de este año, es que las
credenciales privilegiadas de nube son las nuevas
llaves de este reino. Por desgracia, un asombroso
59% de los entrevistados en la investigación dijeron
que credenciales de cuentas privilegiadas de nube
pertenecientes a miembros de su organización han
estado en riesgo debido a ataques de phishing.
¿Para qué fin? Quienes han sido víctimas de dichos

ataques de phishing de objetivo definido, informan que
sufrieron pérdida de datos así como fraude y pérdidas
financieras. Los lectores deben estar conscientes de
que las credenciales privilegiadas de nube no sólo son
aquellas que tienen acceso de configuración crítica a
consolas de nube, sino también a cuentas de servicio.
Las credenciales
privilegiado de nube
son las nuevas llaves
de entrada al reino
Un enfoque en el perímetro humano

es necesario para combatir el phishing
La alta tasa de incidentes de phishing
en curso, y el hecho de que los hackers
Los controles esenciales incluyen: • L
os equipos de TI y de
ciberseguridad también deben
Debido al aumento
• G
estión de identidades y acceso
han intensificado los ataques al ir tras
las credenciales privilegiadas de nube, incluyendo autenticación multifactor
considerar el siguiente conjunto
de medidas proactivas:
exponencial de los
amerita la revisión de un conjunto (MFA) para acceder a los sistemas
críticos, y autenticación adaptativa doptar el gobierno de gestión
• A trabajadores remotos,
de mejores prácticas para mitigar la
amenaza frecuente de ataques de para emitir un reto secundario al
detectar anómala de la
de identidades y acceso como un
marco para examinar las políticas
sugerimos un abordaje
phishing. Este año, debido al aumento
exponencial de los trabajadores actividad del usuario final. y los procesos para gestionar
identidades y sus privilegios.
temático, uno enfocado
remotos, sugerimos un abordaje
temático, uno enfocado en proteger el
• S
eguridad del correo electrónico
que controla la validez de todos los • F
ormación de equipos rojos en proteger el perímetro
perímetro humano con un conjunto de
tecnologías modernas indispensables y
aspectos de la dirección de correo
electrónico, desde el remitente
continuos para establecer una
referencia de los ataques de
humano con un conjunto
procesos endurecidos. pasando por el contenido, hasta los
archivos adjuntos y URL, incluyendo
phishing exitosos y para medir
el progreso a lo largo del tiempo.
de tecnologías modernas
la habilidad para detectar
• C
apacitación continua de usuarios indispensables y
páginas falsas creadas para robar
credenciales y tomar el control de finales, especialmente a medida
que los usuarios remotos necesitan
procesos endurecidos
las cuentas.
funcionar de forma segura e
• S
eguridad de punto de conexión independiente.
de próxima generación que
detecte y prevenga tanto malware or último, dada la avalancha de fraudes
P
basado en archivos como malware en negocios cibernéticos, los equipos
sin archivo, introducido mediante de TI, ciberseguridad y finanzas deben
phishing, así como control de colaborar en revisar y hacer más
aplicaciones que sólo permita que rigurosos los procesos internos para el
se ejecuten binarios confiables y procesamiento de pagos, considerando
aprobados. la implantación de un nuevo conjunto
de controles y equilibrios.
Vista previa: Abordando el riesgo

cibernético y el fraude en la nube
Al hacer el seguimiento desde el ascenso del ransomware hace unos pocos años, la
tasa de incidencia de los ataques de riesgos de correo electrónico de negocios (BEC)
es desconcertante, ya que el 39% de los encuestados dijo que su empresa había
sufrido un ataque BEC durante los últimos 24 meses. Este método de explotar correo
electrónico para suplantar la identidad de un remitente que encarga a un subordinado
procesar un pago fraudulento, está dando lugar a enormes pérdidas financieras.
Con base en las estadísticas compartidas por el FBI Internet Crime Center (IC3) en
su Informe de criminalidad en Internet de 2019, de casi 500.000 denuncias, el BEC
es claramente un buen negocio para los ciberdelincuentes. El informe señala que las
estafas BEC realizadas en 2019 rindieron US$1,8 mil millones para los perpetradores,
lo que es la mitad de los US$3,5 mil millones atribuidos a la ciberdelincuencia, un
notable incremento interanual de 500 millones de dólares en fraude BEC. Y siendo
que muchos casos BEC no son denunciados, estas estadísticas probablemente
subestiman el impacto financiero real de BEC y otros tipos de fraude cibernético.
Las estafas BEC realizadas en 2019 rindieron US$1,8

mil millones para los perpetradores, lo que es la
mitad de los US$3,5 mil millones atribuidos a la
ciberdelincuencia, un notable incremento interanual
de 500 millones de dólares en fraude BEC.
Mientras que el BEC es el tipo de fraude
cibernético que más llama la atención,
el 40% de los encuestados dijo que su
organización fue víctima de otros tipos de
fraude cibernético de negocios durante los
últimos 24 meses. Estos ataques incluyen
aquellos perpetrados por personas internas
para obtener lucro personal.
¿De cuál de los Pero, ¿qué nivel de riesgo tiene la amplia

adopción de los servicios de nube,
siguientes ataques de específicamente las aplicaciones SaaS,
ciberseguridad ha sido introducido por la creación de nuevos
víctima tu organización medios por los cuales los ciberdelincuentes
durante los últimos 24 y el personal interno malintencionado
meses? (Porcentaje de llevan a cabo fraudes? ¿Cómo se realiza
el fraude de identidad a través de ataques
encuestados, N=372)
de toma de cuentas (ATO) y páginas de
inicio de sesión de SaaS falsas? ¿Y de
qué manera no están bien protegidas las
aplicaciones SaaS, tales como las que tienen
acceso sobreaprovisionado y les falta de
segregación de funciones, exponiendo a
las empresas a diversas formas de fraude
cibernético?
Estos son algunos de los temas que se

tratarán con mayor profundidad en el
próximo informe, abordando el riesgo
cibernético y el fraude en la nube, parte de
las series en curso del Informe de Amenazas
para la Nube.
42
Las altas expectativas

del machine learning
La inteligencia artificial (IA) y el machine learning (ML) han

surgido como tecnologías fundacionales de ciberseguridad
IA/ML son los requisitos esenciales de producto

Antes de que los Informes de Amenazas ¿Qué grado de prioridad coloca tu organización sobre el uso de las
de Nube de Oracle y KPMG posicionaran al capacidades de inteligencia artificial (IA) en los controles de ciberseguridad
machine learning (ML), una aplicación de IA/ML ahora afectan que tu empresa considera comprar? (Porcentaje de encuestados, N=206)
inteligencia artificial (IA), como una tecnología
del futuro que se avecina. Rapidez: IA/ML drásticamente
ahora afectan drásticamente las decisiones
de compras y se confía en ellas para diversos las decisiones de
casos de uso.
compras y se confía
Casi todos los proveedores de ciberseguridad
ahora mencionan el uso de alguna forma de
en ellas para diversos
machine learning en sus productos, como casos de uso
un medio para proteger contra amenazas
de día cero y comportamientos maliciosos
que escapan de las formas más tradicionales
de detección. Pero, ¿cómo los compradores
puedan ver la importancia relativa de los
controles de ciberseguridad que utilizan
IA/ML? Cuando se trata de IA como un
impulsor para la selección de controles de
ciberseguridad, no hay ambigüedad: el uso
de IA/ML es prioritario, siendo que casi 9 de
cada 10 de nuestros encuestados citaron a la
tecnología como un requisito fundamental.
Las intenciones de gasto reflejan este parecer.

Cuando se les preguntó a los encuestados qué
áreas de su presupuesto de ciberseguridad
se incrementarían más durante los próximos
12 a 18 meses, la IA estuvo en primer lugar,
siendo que el 32% mencionó que la tecnología
de ciberseguridad que emplea la IA es el área
principal del incremento en su inversión6.
Las razones por las que IA/ML han surgido

como tecnologías de ciberseguridad
fundacionales se basan en los desafíos que
los equipos de ciberseguridad enfrentan
diariamente. Además de aprovechar IA/ML
para detectar, y evitar así, amenazas nuevas
y desconocidas (ej., nuevas variantes de
malware, exploits o tácticas de phishing),
crecientes streams de telemetría de eventos
están inundando los centros de operaciones
de seguridad (SOC). La amplia utilización de
servicios en la nube, como se analiza en el
presente informe, sólo contribuye a aumentar
La amplia utilización de servicios en la nube, el nivel de ruido en el que los analistas
de seguridad buscan una señal de alta
como se analiza en el presente informe, sólo fidelidad. No es de extrañar, entonces, que las
expectativas para la aplicabilidad de IA/ML son
contribuye a aumentar el nivel de ruido en el altas y los casos de uso potencial son muchos.
que los analistas de seguridad buscan una

señal de alta fidelidad Fuente: ESG Research Report, 2020 Technology Spending
6
Intentions Survey, febrero de 2020.

IA/ML se consideran aplicables a una amplia gama de casos de uso de ciberseguridad

La gama de casos de uso que está impulsando la demanda de soluciones ¿Para cuál de los siguientes casos de uso de ciberseguridad tu organización
de ciberseguridad que utilizan IA/ML claramente se ha ampliado, desde las empleará inteligencia artificial dentro de los próximos 24 meses?
aplicaciones de cabeza de playa de la tecnología para aplicar algoritmos de
(Porcentaje de encuestados N=202, se admitieron tres respuestas)
machine learning entrenados en grandes colecciones de archivos binarios
para detectar malware nuevo y desconocido. Un conjunto ampliado de casos
de uso citados por nuestros encuestados, revela la expectativa de que la IA
resultará eficaz para detectar una amplia gama de amenazas que van más
allá del malware. Los casos de uso de detección ejecutan una amplia gama
de tipos de ataques, con el fraude evidentemente a la cabeza, seguido por
las intrusiones, el malware, los ataques de denegación de servicio y el uso
indebido de credenciales.
Los casos de uso planificado de IA/ML no se limitan a la detección, ya que

más de un tercio de los encuestados señaló que considera que la tecnología
juega un papel a la hora de abordar los desafíos de gestión de configuración
citados en el Informe de Amenazas para la Nube de Oracle y KPMG de este
año. Y al promover el conjunto más amplio de casos de uso, casi la mitad
(48%) de los encuestados considera que IA/ML juega un papel mucho más
amplio en el SOC.
Un conjunto ampliado de casos de

uso citados por nuestros encuestados,
revela la expectativa de que la IA
resultará eficaz para detectar una
amplia gama de amenazas que van
más allá del malware
Hay demasiada confianza en la

eficacia de los casos de uso para ¿En cuál de las siguientes tareas te parece que la inteligencia artificial
puede desempeñarse más eficazmente que los analistas de ciberseguridad
ciberseguridad de IA/ML de su organización? (Porcentaje de encuestados, N=350)
El punto de vista de que la inteligencia artificial y el machine learning son

altamente aplicables a una amplia gama de casos de uso, hace que uno se
pregunte si la IA puede ayudar a aliviar la actual escasez de habilidades de
ciberseguridad. La escasez de habilidades de ciberseguridad sigue siendo
un problema grave, siendo que el 44% de las organizaciones dice que la
ciberseguridad es, nuevamente, una de las áreas en las que su compañía
tiene la más problemática escasez de conocimientos de TI7. Bajo este
contexto, la pregunta es: ¿La IA tiene el potencial de superar a los analistas
de ciberseguridad que conforman el SOC?
Cuando se les preguntó si la IA tiene ese potencial, los encuestados tuvieron

una posición positiva, y posiblemente muy tajante, sobre la capacidad actual y
futura potencial de las tecnologías basadas en IA para superar a los analistas
de ciberseguridad. De hecho, del 40% al 45% se sienten seguros de que la IA
puede hacer un mejor trabajo que sus analistas de seguridad en:
• Identificar acciones fraudulentas.
• Mantener controles de configuración.
• Identificar actividades de usuario anómalas.
• Seleccionar y priorizar los eventos de seguridad.
Fuente: ESG Research Report, 2020

7
Technology Spending Intentions
Survey, febrero de 2020.
De estas aplicaciones de IA, la confianza en IA para Pero es razonable considerar a IA/ML para que ayuden
clasificar y priorizar los eventos de seguridad mejor que con el problema de la escala. Simplemente no hay
un analista parece ambiciosa, en el mejor de los casos. suficientes analistas para clasificar las alertas. La IA y
El clasificar y priorizar los eventos de seguridad requiere los seres humanos no se excluyen mutuamente, ya que
el contexto con respecto al perfil de riesgo de los activos
que están potencialmente en riesgo, y cómo los atributos
la primera actúa como un potente filtro para reducir
el número de alertas que los analistas de seguridad
La IA y los seres
de un ataque en curso podría poner en riesgo dichos
activos. Es decir, automatizar la detección de la actividad
necesitan investigar. El resultado de aplicaciones más
pragmáticas de IA/ML será mejorado, investigaciones
humanos no se excluyen
de los adversarios con respecto a un modelo de amenazas
específico organizacional es ambicioso, sino un objetivo
eficientes que ofrezcan los resultados de negocios en que
todos los equipos de ciberseguridad se esfuerzan para:
mutuamente, ya que
no realista para el estado actual de IA/ML. No obstante, prevenir que los incidentes se conviertan en brechas, la primera actúa como
en adelante, los encuestados confían en que la IA superará mantener la disponibilidad de los servicios y más.
a los analistas en la caza de amenazas y en analizar las un potente filtro para
cadenas de ataque.
reducir el número de
alertas que los analistas
de seguridad necesitan
investigar
48
En resumen: La cultura es
el catalizador para cerrar la
brecha en la preparación
La seguridad ha sido vista con demasiada frecuencia Ser un catalizador para lograr un cambio cultural
como un impuesto sobre el negocio, y torpemente pero en el seno de tu organización, de modo que el uso
literalmente, atada a los proyectos ya en producción. La de los servicios y las aplicaciones en la nube no esté
alarmante brecha de preparación de la seguridad en la nube en contradicción con tus objetivos de ciberseguridad.
que se ha expuesto en el informe de este año, revela que el
consumo de servicios en nube impulsados por la línea de
negocios, amenaza con hacer que las consideraciones de Conviértete en un experto del
seguridad estén aún más rezagadas. El incesante ciclo de modelo de responsabilidad
phishing, el malware, el aumento de los fraudes cibernético compartida de la seguridad en
y una gama de servicios de nube mal configurados, ponen la nube para eliminar cualquier
más presión en la ya desafiada ciberseguridad. ambigüedad sobre cómo tú y
tus proveedores de servicios
El imperativo de la seguridad en la nube de fusionar de nube dividen la protección
agendas en paralelo, que aprovechen los servicios en la del portafolio de tu empresa de
nube para obtener agilidad para el negocio y gestionar los servicios en la nube.
riesgos asociados, puede obtenerse al enfocarse en algunas
iniciativas críticas.
Aprovechar la automatización de DevSecOps como un
El informe de este año explora muchos temas importantes medio para implementar las mejores prácticas repetibles
mientras se reserva otras cuestiones igualmente críticas de gestión de configuración de nube, para proteger todo
para explorarlas en futuros informes que se publicarán en el ciclo de vida de las aplicaciones en la nube.
el transcurso de 2020. Concluimos el primero de una serie
de Informes de Amenazas para la Nube de Oracle y KPMG
de este año, ofreciendo un tema para todos los informes:
la cultura. Es esencial que compartamos mejores prácticas, Conviértete en experto sobre el fraude de
aprendizajes y consejos los unos con los otros para ayudar negocios cibernético para proteger mejor lo
a todas las organizaciones a proteger su recorrido hacia la que será el uso ampliado de las aplicaciones
nube, abordando las cuestiones tácticas, como la gestión SaaS en todas las áreas de tu negocio.
de configuración de nube, con una cultura de seguridad
primero.
50
Apéndice
Metodología de Demografía de los participantes

investigación Las siguientes cifras detallan la demografía de las organizaciones encuestadas.
Los datos presentados en este ¿Cuál de las siguientes opciones

informe fueron recolectados a través describe mejor tu actual
de una amplia encuesta en línea responsabilidad dentro de tu
realizada por Enterprise Strategy organización? (Porcentaje de
Group, aplicada a 750 profesionales encuestados, N=750)
de ciberseguridad y de TI de
organismos de los sectores público y
privado en América del Norte (Estados
Unidos y Canadá), Europa Occidental
(Reino Unido y Francia), y la región
de Asia Pacífico (Australia, Japón y
Singapur) entre el 16 de diciembre
de 2019 y el 16 de enero de 2020.
Para calificar para esta encuesta, los
encuestados debían ser responsables ¿Cuántos empleados totales
de la evaluación, la adquisición y la tiene tu organización en todo el
gestión de productos y servicios de mundo? (Porcentaje
tecnologías de ciberseguridad y tener
de encuestados, N=750)
un alto nivel de familiaridad con la
utilización de la nube pública de su
organización. Todos los encuestados
recibieron un incentivo para
completar la encuesta.
Nota: el total en cifras y tablas a lo

largo de este informe pueden no
sumar el 100% debido al redondeo.
¿Cuál es la industria principal de tu organización? Encuestados por región.

(Porcentaje de encuestados, N=750) (Porcentaje de encuestados, N=750)
Contribuidores clave
Mary Ann Davidson
Directora de Seguridad de Oracle Corporation
Agradecimientos especiales:
Greg Jensen
Director Sénior de Seguridad en la Nube de Oracle Corporation
Mike Beaudet, Fred Kost, Steve Daheb, Ariel Kelman, Adam Demattia,
Tony Buffomante Mary Beth McCombs, Jennifer Gahm, John Hodson, Tristana Flores,
Director de KPMG LLP Darren Calmen, Johnnie Konstantas, Taylor Lewis, David B Cross,
Graham Hardt, Dan Koloski, Richard Evans, Simon Jones,
Laeeq Ahmed
Director Ejecutivo de KPMG LLP Nicole Maloney, Travis Anderson, Eric Maurice, Steve Enevold,
Maywun Wong, Sean T Cahill, Miles McAlister, Genissa Ross,
Brian Jensen John Grady, Alan Zeichick, WaiSau Sit y Sami Munassar.
Director Ejecutivo de KPMG LLP
Doug Cahill,
Vicepresidente y Director de Grupo de Enterprise Strategy
Group
Jon Oltsik
Analista Principal Sénior de Enterprise Strategy Group
Oracle es la empresa líder en innovación y soluciones de seguridad construidas sobre Mejorar el rendimiento de las empresas, convertir el riesgo y el cumplimiento de normas en
la infraestructura de Gen2 Oracle Cloud. Más información de cómo Oracle puede oportunidades, desarrollar estrategias y mejorar el valor, son cosas que están en el núcleo de lo
ayudarte a proteger tu recorrido hacia la nube y habilitar una experiencia digital segura. que hacemos para las organizaciones líderes. Más información en: http://read.kpmg.us/cyber
@OracleSecurity facebook.com/ blogs.oracle.com/ @KPMG US @KPMG US

oraclesecurity cloudsecurity
54
Copyright © 2020, Oracle y/o sus filiales. Todos los derechos reservados. Este documento se proporciona solamente con fines
informativos, y su contenido está sujeto a cambios sin previo aviso. Además, no se garantiza que esté libre de errores ni que esté sujeto
a cualquier otra garantía o condición, ya sea comunicada oralmente o implícita en la legislación, incluidas las garantías y condiciones
implícitas de comercialización o las garantías de adecuación para un fin particular. Negamos específicamente cualquier responsabilidad
con relación a este documento, que no supone ninguna obligación contractual, ya sea de manera directa o indirecta. Este documento
no se puede reproducir ni transmitir de ninguna forma ni por ningún medio, electrónico o mecánico, para ningún fin, sin nuestra
autorización previa por escrito. Oracle y Java son marcas comerciales registradas de Oracle y/o sus filiales. Otros nombres pueden ser
marcas comerciales de sus respectivos propietarios. VDL50794 200429
El nombre y el logotipo de KPMG son marcas comerciales o marcas registradas de KPMG International. La información aquí contenida
es de naturaleza general y no pretende abordar las circunstancias particulares de ningún individuo o entidad. Aunque nos esforzamos
en proporcionar información precisa y oportuna, no puede haber ninguna garantía de que dicha información sea exacta a partir de la
fecha en que se reciba, o de que seguirá siendo precisa en el futuro. Nadie debe actuar con base en dicha información sin la asesoría
profesional adecuada tras un examen minucioso de la situación particular.
La información contenida en esta publicación ha sido obtenida por fuentes que The Enterprise Strategy Group (ESG) considera
confiables, pero no está garantizada por ESG. ESG logo © 2020 by The Enterprise Strategy Group, Inc. Todos los derechos reservados.

Oracle Cloud Threat Report 2020 Lad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Oracle Cloud Threat Report 2020 Lad

Cargado por

Copyright:

Formatos disponibles

Informe de amenazas

06 La adopción de la nube 14 La adopción de la nube supera la

09 Las aplicaciones críticas de negocios se 18

Vista previa: Desmitificación de modelo de

23 Destaque: Los secretos de la nube 37 Los blancos y las técnicas de phishing se

24 Vista previa: El impacto en el negocio de la 38 Destaque: El phishing de credenciales de

26 La protección de las configuraciones de la 39 Un enfoque en el perímetro humano es

40 Vista previa: Abordando el riesgo cibernético

Resumen ejecutivo Se deben unificar diferentes

Las iniciativas estratégicas Las nubes públicas son vistas como

Fuente: ESG Research Report,

2020 Technology Spending Intentions Survey, febrero de 2020.

Incluso frente a los muy publicitados incidentes de

Pero para algunos, hay por lo menos cierta

Cambios de uso de IaaS y PaaS hacia la producción

Este año la investigación revela que el recorrido

Destaque: Están surgiendo las verdaderas implementaciones de nube híbrida

Así, bajo este contexto, ¿qué compartieron los

Otra dinámica que impulsa las implementaciones

Fuente: ESG Master Survey Results, Leveraging

La migración de la nube supera la preparación en materia de seguridad

El 92% de los entrevistados en la encuesta de

En promedio, los entrevistados de Así que, ¿cuántos productos de ciberseguridad son

Aproximadamente, ¿cuántos productos de ciberseguridad Hay, sin embargo, el control sobre

Fuente: ESG Master Survey Results, Enterprise-class

Cybersecurity Vendor Sentiment, marzo de 2020.

DevSecOps to Secure Cloud-native Applications,

La amplia adopción de los servicios en la nube ha dado lugar a

Persiste una orientación Vista previa: Desmitificación de modelo

Esta falta de claridad sobre este concepto fundamental de seguridad en la nube, es

Como un pilar de la seguridad en la nube, este tema merece un estudio más

Cuando se trata de aplicaciones SaaS, los

El consumo de la nube está creando puntos ciegos en la visibilidad

Otros dos problemas relacionados con la gestión de

La ubicación de dichos secretos forma claramente parte del problema, ya que

La colocación de los secretos de nube, a veces en texto

Vista previa: El impacto en

Nuestra investigación reveló que el

El sorprendentemente alto número de veces en que las

Exploraremos estas preguntas y más en un próximo informe

El informe de este año tiene una clara llamada a la

Dev y OPS han convergido, pero ¿qué pasa con la seguridad?

Integración de la seguridad con DevOps requiere un cambio cultural

de la seguridad aquellas con menos de 10 años que nunca han

Para apoyar el avance de la madurez de los

La necesidad de automatización ¿Cuáles son los principales motivos

impulsa la adopción de o planea utilizar DevSecOps?

DevSecOps sirve también a las consideraciones de

Destaque: Las mascotas versus ¿Tu organización trata sus cargas

La naturaleza transitoria de las cargas de trabajo que residen en la nube

DevSecOps automatiza la protección

La mayoría de los casos de uso de DevSecOps citados representan hilos

Casos de uso de tiempo de desarrollo

Vista previa: La misión del

Para empezar, los CISO demasiado a menudo se involucran en proyectos de

Mientras persistan los tipos de ataques

Los blancos y las técnicas de phishing se están ampliando

Destaque: El phishing de credenciales de nube privilegiadas

¿Para qué fin? Quienes han sido víctimas de dichos

Un enfoque en el perímetro humano

Vista previa: Abordando el riesgo

Las estafas BEC realizadas en 2019 rindieron US$1,8

¿De cuál de los Pero, ¿qué nivel de riesgo tiene la amplia

Estos son algunos de los temas que se