Conecta con nosotros

A Fondo

La gestión inadecuada de la seguridad pone en riesgo los entornos virtuales

Publicado el

Ejecutivo

CA Technologies anunció los resultados de un estudio independiente según el cual, las organizaciones europeas y estadounidenses están poniendo sus infraestructuras virtuales en riesgo debido a la adopción de medidas inadecuadas en materia de gestión de seguridad de los entornos virtualizados.

El estudio, titulado «Security-An Essential Prerequisite for Success in Virtualisation», recoge las opiniones de 335 directivos de negocio y de TI de 15 países, entre ellos España.

Para comenzar, el estudio desvela que las tecnologías y políticas de seguridad de la virtualización aplicadas actualmente en las organizaciones no están tratando suficientemente los privilegios del hipervisor y la dispersión de los datos. Concretamente, el 81% de los encuestados considera esta última como una amenaza «muy importante» o «importante», ya que encierra el riesgo de que la información viaje sin control por los entornos virtualizados y pueda terminar en entornos menos seguros. La prevención de fuga de datos mitiga eficazmente este riesgo; sin embargo, sólo el 38% de las organizaciones encuestadas tiene implementada una solución de prevención de fuga de datos.

Seguridad virtual

Por otra parte, al 73% de las empresas le preocupan los amplios privilegios de los administradores de los hipervisores, puesto que podrían dar lugar a errores o abusos por parte de esos usuarios privilegiados. Y es que la cuenta de administración del hipervisor tiene amplios privilegios de acceso con muy pocas limitaciones o controles de seguridad. El hipervisor también introduce una capa adicional en los entornos virtualizados, creando nuevas superficies de ataque y abriendo la puerta a los abusos de los usuarios con privilegios. A pesar de esto, según el informe, el 49% de las organizaciones no tiene implementada ni una solución de gestión de usuarios privilegiados, ni de gestión de los registros de seguridad.

Los procesos manuales de seguridad

El estudio también revela que existen demasiadas actividades de seguridad, que siguen dependiendo de procesos manuales que se llevan a cabo sin el apoyo de la tecnología, lo cual pone en riesgo la seguridad de la organización.

Sólo el 65% de los encuestados asegura que obliga a segregar las funciones para las tareas administrativas en las plataformas virtuales, un requisito esencial para las mejores prácticas de cumplimiento y seguridad. Curiosamente, la muestra revela que más del 40% de los encuestados no utiliza las herramientas de software necesarias para automatizar determinadas políticas de obligado cumplimiento, como la certificación de acceso, la gestión de usuarios privilegiados o la gestión de los registros. Asimismo, sólo el 42% de los encuestados realiza certificaciones regulares de acceso para usuarios con privilegios o es capaz de controlar y registrar adecuadamente los accesos privilegiados.

Tendencias de la virtualización

La virtualización todavía no es la base estándar de los entornos de TI en producción para la mayoría de las organizaciones. De hecho, sólo el 34% de las empresas encuestadas ha implementado la virtualización de servidores en más de la mitad de sus sistemas.

Virtualización

Y esta tasa de implantación es aún menor en otros tipos de virtualización. Entre las empresas encuestadas, sólo el 16% ha virtualizado más de la mitad de sus entornos de almacenamiento, un 10% lo ha hecho en más de la mitad de sus aplicaciones y un 8% cuenta con más de la mitad de sus puestos de trabajo virtualizados. Estas cifras, además, ponen de manifiesto la brecha entre las expectativas en torno a la virtualización y su implementación real.

Si bien el principal motor de la virtualización es la mejora de la eficiencia operativa de las TI, citada por el 91% de los encuestados, la seguridad es también una preocupación importante de cara a su adopción; hasta tal punto que el 39% de las organizaciones cree que los entornos virtuales son más difíciles de asegurar que los físicos.

¿Qué es lo que frena la implementación de la seguridad en virtualización?

Para el 19% de las organizaciones, el «principal inhibidor» es la falta de capacidades para implementar seguridad en entornos virtualizados. Sin embargo, si se tienen en cuenta la suma de respuestas de «principal inhibidor» e «inhibidor» para la seguridad de la virtualización, el 55% de los encuestados cree que los factores más importantes son «el presupuesto y el coste inicial de implantación«, así como «la complejidad de la gestión de la seguridad a través de entornos y plataformas virtuales«, citado por el 53%. Tampoco es ninguna sorpresa que los presupuestos y costes iniciales sean una barrera: la seguridad tiene un precio y, lamentablemente, esto se ignora a menudo al embarcarse en nuevos proyectos.

Según el estudio, la mayoría de las organizaciones utilizan al menos dos proveedores diferentes de tecnología de virtualización, entre los que destacan VMware, que está implantado en un 83% de las empresas encuestadas; Citrix, con presencia en un 52%; y Microsoft, con un 41%. Además, el 84% de los participantes afirma que prefiere soluciones integradas para asegurar sin problemas ambos entornos, físicos y virtuales. Sin embargo, sólo el 56% ha implementado o está en proceso de implementar las mismas soluciones de seguridad para entornos virtuales y físicos.

En otro orden de cosas, el informe también revela que la mayoría de las organizaciones no son conscientes de la importancia de integrar la gestión de la seguridad con la gestión de infraestructuras y servicios, de cara a alcanzar los niveles de automatización necesarios en entornos virtuales. Aunque el 39% de los participantes cree que se necesita más automatización para asegurar los entornos virtuales en comparación con los entornos físicos, la integración entre gestión de la seguridad, de la infraestructura y del servicio se considera un reto menos importante en la seguridad de la virtualización (sólo el 66% cree que es «muy importante» o «importante»).

Periodista especializada en tecnologías corporate, encargada de las entrevistas en profundidad y los reportajes de investigación en MuyComputerPRO. En el ámbito del marketing digital, gestiono y ejecuto las campañas de leads generation y gestión de eventos.

Lo más leído