Aunque una falla en la prestación del servicio de la empresa cloud contratada puede equipararse a una posible falla en los servidores locales, un router o un switch, pero en general las empresas ponen más atención a la posibilidad de acceso a la información de usuarios no autorizados. Esto también puede suceder en un servidor local, pero no todos tienen la confianza plena en que los servidores cloud garanticen reserva absoluta.

¿Qué Software es apto para su empresa?

El uso del cloud computing lleva asociados amenazas y riesgos que hay que tener en cuenta y gestionarlos. Toda la información que se recibe, genera o conserva en la empresa, son activos de negocio y de conocimiento. Parte de esta información se almacena durante un tiempo porque supone una evidencia de que se ha realizado una transacción comercial o profesional y está sujeta a algún tipo de obligación legal. Por ejemplo los contratos de servicios o de personal, las facturas, presupuestos, etc.

Esta información requiere un tratamiento específico y se deben preservar su autenticidad, fiabilidad, usabilidad y confidencialidad, sean ficheros de documentos, hojas de cálculo, bases de datos, formularios web, archivos de imágenes, video o multimedia, archivos CAD, XML, SMS, páginas web, archivos de log, etc. Si se usan servicios en la nube es fácil que estén gestionados desde todo tipo de dispositivos: PC, portátiles, tabletas o móviles, por eso si se utilizan servicios en la nube hay que cerciorarse que se conservan estas propiedades.

Amenazas en la nube

Las amenazas en la nube dependen del tipo de servicio contratado. Será distinta la forma de afrontarlas según el grado de control sobre el servicio. La responsabilidad de hacer backup o la de actualizar las aplicaciones pueden recaer en el proveedor o en el cliente del servicio en la nube. Las más importantes son:

Accesos no autorizados

Si proveedor y cliente no toman las medidas de seguridad adecuadas, no habrá posibilidad de controlar los accesos a la información de la organización. Los no autorizados pueden provocar robo de datos, inyección de código malicioso, etc.

Amenazas en la nube internas

Empleados insatisfechos o ex empleados pueden provocar situaciónes de riesgo si no se gestionan los privilegios de acceso. Cuando un trabajador que usa un servicio en la nube deja la empresa se debe notificar al proveedor de servicios en la nube su baja para evitar que siga teniendo acceso a la información.

Interfaces inseguras

Si las interfaces que proporciona el proveedor para acceder a la plataforma en la nube no son del todo seguras y presentan fallas de seguridad, estas pueden ser explotadas por terceros para acceder a la información.

Problemas por el uso de tecnologías compartidas

Si contratamos una infraestructura compartida existe la amenaza de que por un fallo de seguridad, usuarios de otras empresas puedan acceder a nuestra información.

Fuga de información

Como resultado de un ataque de ingeniería social o malware, un delincuente puede conseguir que un usuario envíe información confidencial. Y en operaciones de transferencia de datos no cifradas puede producirse una fuga de información.

Suplantación de identidad

Si los ciberdelincuentes consiguen por ingeniería social, fuerza bruta o descuido, las credenciales de algún usuario, podrán acceder a la plataforma y manipular la información actuando en su nombre.

Desconocimiento del entorno

Si el personal encargado de las políticas de seguridad no conoce el entorno de la nube, no serán eficaces.

Ataques de hacking

Suceden cuando una persona intenta robar o acceder a la información que maneja algún empleados de la organización o el administrador de la plataforma.

Riesgos de la nube

Las amenazas pueden transformarse en incidentes provocando daños en la reputación y pérdidas económicas. Es necesario realizar una evaluación de los riesgos de la nube que afectan al servicio que vamos a contratar.

Acceso de usuarios con privilegios

Este riesgo aparece cuando un empleado con privilegios de administrador accede cuando no debería o actúa de forma maliciosa alterando datos o configuraciones. También es posible que se den privilegios por error a empleados que no deban tenerlos y estos por desconocimiento provoquen daños.

Incumplimiento normativo

Este riesgo puede tener consecuencias administrativas o penales y aparece cuando el proveedor no cumple, o no nos permite cumplir las obligaciones legales.

Desconocimiento de la localización de los datos

Cuando se contrata a un proveedor que aloja los datos en un Centro de Datos del cual se desconoce su ubicación, se pone en riesgo la seguridad de los mismos al desconocer la legislación de otros países. Por ejemplo, si se trata de datos de carácter personal, en caso de alojarse fuera del Espacio Económico Europeo es necesario que se proporcionen las garantías jurídicas necesarias sobre la privacidad de los mismos.

Falta de aislamiento de los datos

En los servicios en los que la empresa contratante comparte la infraestructura en la nube con otras, es necesario que el proveedor gestione que los datos de las distintas compañías no se mezclen y que cada una sólo tenga acceso a los suyos.

Indisponibilidad del servicio en caso de desastre o incidente

Si el proveedor sufre un incidente grave o un desastre y no tiene un plan de continuidad, por ejemplo los servicios y los datos replicados en otro centro de datos, no podrá seguir dando el servicio.

Carencia de soporte investigativo

En caso de que ocurra un incidente, es necesario revisar los accesos a los datos para saber qué ha ocurrido. En este caso, no se podrá actuar si el proveedor no garantiza el acceso a los logs o registros de actividad.

Viabilidad a largo plazo

Existe el riesgo de que las condiciones del contrato sufran alguna modificación debido al cambio de estructura del proveedor, de la alta dirección, a la entrada en situación de quiebra del mismo o a que decida externalizar parte de sus servicios. Por ello es recomendable asegurarse el acceso a los datos y su recuperación.