La compañía CA Technologies ha presentado resultados de un estudio independiente según el cual las organizaciones europeas y estadounidenses están poniendo sus infraestructuras virtuales en riesgo debido a la adopción de medidas inadecuadas en materia de gestión de seguridad de los entornos virtualizados. El estudio, titulado “Security?An Essential Prerequisite for Success in Virtualisation”, recoge las opiniones de 335 directivos de negocio y de TI de 15 países, entre ellos España, y ha sido realizado por KuppingerCole, consultora y analista especializada en seguridad de la información centrada en identidades.
El informe desvela que las tecnologías y políticas de seguridad de la virtualización aplicadas actualmente en las organizaciones no están tratando suficientemente los privilegios del hipervisor y la dispersión de los datos. Concretamente, el 81 por ciento de los encuestados considera esta última como una amenaza «muy importante» o «importante», ya que encierra el riesgo de que la información viaje sin control por los entornos virtualizados y pueda terminar en entornos menos seguros. La prevención de fuga de datos (DLP por sus siglas en inglés) mitiga eficazmente este riesgo; sin embargo, sólo el 38 por ciento de las organizaciones encuestadas tiene implementada una solución de prevención de fuga de datos.
Por otra parte, al 73 por ciento de las empresas le preocupan los amplios privilegios de los administradores de los hipervisores, puesto que podrían dar lugar a errores o abusos por parte de esos usuarios privilegiados. Y es que la cuenta de administración del hipervisor tiene amplios privilegios de acceso con muy pocas limitaciones o controles de seguridad. El hipervisor también introduce una capa adicional en los entornos virtualizados creando nuevas superficies de ataque y abriendo la puerta a los abusos de los usuarios con privilegios. A pesar de esto, según el informe, el 49 por ciento de las organizaciones no tiene implementada ni una solución de gestión de usuarios privilegiados, ni de gestión de los registros de seguridad.
El estudio también revela que existen demasiadas actividades de seguridad que siguen dependiendo de procesos manuales que se llevan a cabo sin el apoyo de la tecnología, lo cual pone en riesgo la seguridad de la organización. Sólo el 65 por ciento de los encuestados asegura que obliga a segregar las funciones para las tareas administrativas en las plataformas virtuales, un requisito esencial para las mejores prácticas de cumplimiento y seguridad. Curiosamente, la muestra revela que más del 40 por ciento de los encuestados no utiliza las herramientas de software necesarias para automatizar determinadas políticas de obligado cumplimiento, como la certificación de acceso, la gestión de usuarios privilegiados o la gestión de los registros. Asimismo, sólo el 42 por ciento de los encuestados realiza certificaciones regulares de acceso para usuarios con privilegios o es capaz de controlar y registrar adecuadamente los accesos privilegiados.
