¿Cómo mitigar los riesgos de seguridad en la nube?
Las empresas han encontrado en la nube la plataforma ideal para montar sus operaciones, lo que ha detonado que la industria del cloud computing crezca exponencialmente. En su informe Cloud Vision 2020: The Future of the Cloud Study, la firma de software LogicMonitor, predice que durante este año, el 83% de las cargas de trabajo empresariales estarán en la nube.
El uso de la nube ofrece varios beneficios como el acceso desde cualquier punto con internet, así como administración y escalabilidad; no obstante, la nube también presenta ciertos peligros respecto a la seguridad. Antes, estos riesgos se centraban en sectores como la pérdida de datos, malware o denegación de servicio; sin embargo, los nuevos riesgos de seguridad se han desplazado a decisiones tomadas en torno a la estrategias e implementación de cómputo en la nube, como la migración de softwares propios a los proporcionados por terceros.
Anteriormente, los servicios en la nube sólo se dedicaban al almacenamiento; sin embargo, hoy existen sistemas más complejos como los de Planificación de Recursos Empresariales (ERP, por sus siglas en inglés), que se pueden utilizar desde la nube. Bajo esta primicia es que los directores de información de las empresas deben ser capaces de prevenir los nuevos riesgos que se presentan al implementar esta tecnología.
“Los usuarios de la nube requieren que sus proveedores les aseguren que realizan los procesos adecuados de seguridad para reducir los riesgos. Necesitan esta garantía para poder tomar decisiones de negocio correctas y para mantener u obtener certificados de seguridad. Un síntoma inicial de esta necesidad es que numerosos proveedores de nube se ven bombardeados con solicitudes de auditorías”, comenta Gustavo Parés, director de NDS Cognitive Labs, firma especializada en cómputo cognitivo e Inteligencia Artificial.
Para mitigar los riesgos de seguridad en el cómputo en la nube, NDS Cognitive Labs enlista cuatro recomendaciones:
- Filtración de datos
Una violación de datos se refiere a cualquier ataque de ciberseguridad en el que una persona sin autorización accede, usa y trafica información confidencial. En ciertos casos es complicado para el usuario comprobar las prácticas de gestión de datos de su proveedor en la nube, para tener certeza de que sus datos son gestionados conforme a la ley.
Por ello, es recomendable dejar claro al proveedor que los datos proporcionados tienen cierto valor y las consecuencias de su pérdida mediante un contrato. Otra técnica es el cifrado de datos, aunque esto puede obstaculizar el rendimiento del sistema, lo que se traduce en aplicaciones más lentas.
2. Ataques internos
Un infiltrado puede ser la peor amenaza para un a empresa pues tiene mayor facilidad de acceso a la red interna. Al no tener que entrar a las redes privadas virtuales (VPN), pueden entrar a los sistemas informáticos y a los datos confidenciales.
Los daños colaterales que ocasiona esta clase de ataques, son la pérdida de información, filtración de documentos con propiedad intelectual, frenos en la productividad de las empresas que pueden costarles millones de dólares.
Un empleado interno o un infiltrado no tiene que pasar por redes privadas virtuales (VPN), mientras que, por tener acceso a los servidores de la empresa, pueden entrar directamente a sistemas informáticos, datos confidenciales, y redes. Lo que desencadena la pérdida de información de propiedad intelectual y poca productividad debido a que se comprometen los sistemas de la empresa.
“Para mitigar este riesgo se debe capacitar a los equipos de seguridad, para configurar, monitorear o instalar correctamente sus sistemas informáticos, dispositivos móviles y los de respaldo. Además, es imperativo que cada sistema o dispositivo dentro o fuera de las instalaciones de la empresa sea verificado y validado antes de conectarse a sus sistemas”, comenta Gustavo Parés. “Cada usuario con permisos añade un riesgo adicional, por lo que es necesario regular los niveles de acceso de los empleados”, añade.
3. Interfaces inseguras y API
Los proveedores de servicios Cloud desarrollan un conjunto de interfaces de programación (API) para que los usuarios puedan interactuar con su infraestructura tecnológica. Por ello, la seguridad del servicio en la nube depende de que también esté desarrollada la API. Es por esto que tienen que diseñarse para evitar cualquier intento de violar los niveles de seguridad.
Uno de los aspectos clave de seguridad de los servicios en la nube, se encuentra en las API. Esta consiste en un código que permite que dos programas de software se comuniquen entre sí. El API es uno de los elementos diferenciales que ofrecen los proveedores, por lo que si no cuentan con blindaje, expone a los empresas a varios problemas relacionados con la confidencialidad, disponibilidad, integridad y responsabilidad de los datos.
4. Falta de arquitectura y estrategia de seguridad en la nube
Cuando las marcas mudan su infraestructura a la nube pública, el desafío principal es implementar la seguridad adecuada para protegerse contra los ataques cibernéticos. Pues éstos pueden llevar a pérdidas financieras, daños a la reputación de la empresa, multas o problemas legales.
“Es recomendable que las firmas desarrollen e implementen un marco de arquitectura de seguridad, apostando por un modelo que se actualice a la par de las amenazas. Deben asegurarse que la estrategia de seguridad se alinee con las metas y objetivos del negocio”, agrega el director de NDS Cognitive Labs.
Esto puede ser posible siempre y cuando se delimite que su contrato le permita auditar a sus proveedores de cómputo en la nube, ya que si los acuerdos carecen de esta disposición, sus manos pueden estar atadas si hay un incidente. Por otro lado, los grandes proveedores esta tecnología están rechazando estos requisitos. Una solución es evaluar críticamente la metodología de auditoría desarrollada por el proveedor.
