Amenazas y riesgos de la nube
El uso del cloud computing lleva asociados amenazas y riesgos de la nube que son necesarios a tener en cuenta y gestionar. Su conocimiento y su gestión van a hacer posible mantener el control sobre la información que debe permanecer protegida y disponible en cualquier momento.
Toda la información que se recibe, se genera o se conserva en la empresa en el desarrollo de su actividad son activos de negocio, de conocimiento, intelectuales.
Parte de esta información se almacena durante un tiempo porque supone una evidencia de que se ha realizado una transacción comercial o profesional, es decir, está sujeta a algún tipo de obligación legal. Por ejemplo: los contratos de servicios o de personal, las facturas, presupuestos, etc.
Esta información requiere un tratamiento específico durante todo su ciclo de vida, ya que se deben preservar sus propiedades de autenticidad, fiabilidad y usabilidad y, en algunos casos, confidencialidad. Pueden ser ficheros de documentos, hojas de cálculo o PDF, bases de datos, formularios web, archivos de imágenes, video o multimedia, archivos CAD, XML, SMS, páginas web, archivos de log, etc. Además, si se usan servicios en la nube es fácil que estén gestionados desde todo tipo de dispositivos: PC, portátiles, tabletas o móviles. Por eso, si se utilizan servicios en la nube, hay que cerciorarse que se conservan estas propiedades esté donde esté la información.
Amenazas en la nube
Las amenazas en la nube dependen del tipo de servicio contratado y de su forma de contratación y de despliegue. También será distinta la forma de afrontarlas según el grado de control sobre el servicio que recae en el proveedor y en el cliente, acordado en el Acuerdo de Nivel de Servicio (SLA). Por ejemplo, la responsabilidad de hacer backup o la de actualizar las aplicaciones pueden recaer en el proveedor o en el cliente (la empresa) del servicio en la nube, dependiendo del modelo contratado. No obstante, a pesar de las diferencias, las más importantes son:
Accesos no autorizados
Si proveedor y cliente no toman conjuntamente las medidas de seguridad adecuadas, no habrá posibilidad de controlar los accesos a la información de la organización. Los no autorizados pueden provocar robo de datos, inyección de código malicioso, etc.
Amenazas en la nube internas
Empleados insatisfechos o exempleados pueden provocar situaciones de riesgo si no se gestionan los permisos y privilegios de acceso. Por ejemplo, cuando algún trabajador que usa un servicio en la nube deja la empresa (por fin de contrato o por despido), se debe notificar al proveedor de servicios en la nube su baja, para evitar que sigan teniendo acceso a la información.
Interfaces inseguras
Si las interfaces que proporciona el proveedor para acceder a la plataforma en la nube no son del todo seguras y presentan fallos de seguridad, estos pueden ser explotados por terceros para acceder a nuestra información.
Problemas derivados de uso de las tecnologías compartidas
Si contratamos una infraestructura compartida, existe la amenaza de que, por un fallo de seguridad, usuarios de otras empresas puedan acceder a nuestra información.
Fuga de información
Como resultado de un ataque de ingeniería social o por una infección con malware, un delincuente puede conseguir que algún usuario envíe información confidencial. También en el caso de que las operaciones de transferencia de datos no estén cifradas puede producirse una fuga de información.
Suplantación de identidad
Si los ciberdelincuentes consiguen, por ingeniería social, fuerza bruta o descuido, las credenciales de algún usuario, podrán acceder a la plataforma suplantando, pudiendo manipular la información, actuar en su nombre, etc.
Desconocimiento del entorno
Si el personal encargado de implantar las políticas de seguridad no conoce el entorno de la nube, las políticas estarán mal configuradas y no serán eficaces.
Ataques de hacking
Suceden cuando una persona maliciosa intenta robar o acceder a la información que maneja alguno de los empleados de nuestra organización o el administrador de la plataforma.
Riesgos de la nube
Las amenazas en la nube pueden transformarse en incidentes si se dan las circunstancias para ello, provocando daños en la reputación y pérdidas económicas. Para ser consciente de estas circunstancias, es necesario realizar una evaluación de los riesgos de la nube que afectan al servicio que vamos a contratar, para así poder poner las medidas adecuadas para tratarlos.
De las características de los servicios en la nube y conociendo las amenazas, se derivan estos riesgos de la nube que hay que valorar para darles el tratamiento adecuado:
Acceso de usuarios con privilegios
Este riesgo, que puede resultar en pérdida de confidencialidad, integridad e incluso disponibilidad, aparece cuando un empleado con privilegios de administrador accede cuando no debería o actúa de forma maliciosa (empleados descontentos, por ejemplo) alterando datos o configuraciones. También es posible que se den privilegios por error a empleados que no deban tenerlos y estos, por desconocimiento, provoquen daños.
Incumplimiento normativo
Este tipo de riesgos de la nube puede tener consecuencias administrativas o penales. Aparece cuando el proveedor no cumple o no nos permite cumplir con nuestras obligaciones legales. Por este tipo de infracciones nos podemos enfrentar a sanciones legales.
Desconocimiento de la localización de los datos
Cuando se contratan servicios a un proveedor que aloja los datos en un Centro de Datos del cual se desconoce su ubicación, se pone en riesgo la seguridad de los mismos al desconocer la legislación de otros países. Por ejemplo, si se tratan con datos de carácter personal, en caso de alojarse fuera del Espacio Económico Europeo, es necesario que se proporcionen las garantías jurídicas necesarias sobre su privacidad.
Falta de aislamiento de los datos
En los servicios en los que la empresa contratante comparte la infraestructura en la nube con otras, es necesario que el proveedor gestione que los datos de las distintas compañías no se mezclen y que cada una solo tenga acceso a los suyos.
Indisponibilidad del servicio en caso de desastre o incidente
Si el proveedor sufre un incidente grave o un desastre y no tiene un plan de continuidad, por ejemplo, los servicios y los datos replicados en otro centro de datos no podrán seguir dando servicio.
Carencia de soporte investigativo
En caso de que ocurra un incidente, es necesario revisar los accesos a los datos para saber qué ha ocurrido. En este caso, no se podrá actuar si el proveedor no garantiza el acceso a los logs o registros de actividad.
Viabilidad a largo plazo
Existe el riesgo de que las condiciones del contrato sufran alguna modificación debido al cambio de estructura del proveedor, de la alta dirección, a la entrada en situación de quiebra del mismo o a que decida externalizar parte de sus servicios. Por ello, es recomendable asegurarse el acceso a los datos y su recuperación.
¿Cómo reducir los riesgos de la nube?
Tanto si se contrata en la nube un servidor de correo, un servidor web, un CRM, un ERP en la nube o un servicio de almacenamiento, como si se decide contratar capacidad de proceso para instalar las propias aplicaciones de una empresa, se debe trasladar la seguridad que es exigida en las instalaciones en el local de la empresa contratante a la nube. No se debe olvidar que los activos de información siguen siendo igual de confidenciales, y tienen que mantenerse íntegros y estar disponibles cuando los necesites.
La siguiente ilustración muestra algunas estrategias para mitigar los riesgos de la nube que, en su mayoría, van de estar reguladas por el contrato y los acuerdos de nivel de servicio o SLA.
Reproducido de: Amenazas y riesgos de la nube - Evaluando Cloud
