A medida que crece el uso de la nube entre las empresas, también lo hace la cantidad de datos almacenados en ella. Los usuarios de la nube, independientemente del modelo que utilicen (IaaaS, PaaS o SaaS), deben recordar siempre que la seguridad de los datos es principalmente su responsabilidad, no la del proveedor de la nube.
Además de la posibilidad de comprometer los datos, otros riesgos pueden estar relacionados con los servicios en la nube y no deben pasarse por alto. Citrix, que diseña y promueve nuevas formas de trabajar a través de espacios de trabajo digitales seguros, destaca los cinco aspectos principales que toda empresa debe tener en cuenta a la hora de decidir adoptar las tecnologías de nube.
1 – El fracaso de la gobernanza de los datos
Gestionar los datos en la nube es como gestionarlos en un entorno local. En ambos casos, de hecho, el objetivo es evitar el acceso a usuarios no autorizados. Los proveedores de servicios cloud tienden a desarrollar cortafuegos perimetrales, controlar el acceso y proporcionar herramientas de cifrado y supervisión para proteger los datos de sus sistemas. Sin embargo, es responsabilidad del cliente entender e implementar las medidas de seguridad necesarias.
Además, donde los datos residen más allá de los límites geográficos puede jugar un papel crítico en la estrategia y el gobierno de la nube. Por ejemplo, el GDPR, la nueva Ley Europea de Privacidad y Seguridad, exige que los responsables del tratamiento tengan la debida precaución al utilizar los datos dentro de la Unión Europea, y el incumplimiento puede dar lugar a una multa importante. Los proveedores de servicios en la nube deben garantizar que los datos residen dentro de los límites geográficos de la Unión Europea. Si los datos van a almacenarse a través de las fronteras, esto debe indicarse claramente y el propietario debe dar su consentimiento.
Otro aspecto a menudo pasado por alto de la gestión de datos en el entorno de la nube es su ciclo de vida de retención. Los componentes de almacenamiento de los proveedores se ofrecen a los clientes como parte del servicio. Por lo general, los datos se distribuyen entre varias unidades de almacenamiento por razones de redundancia, pero en este escenario fragmentado, el cliente no puede estar seguro de que el proveedor haya borrado los datos correctamente. La mayoría de los proveedores luchan por ofrecer un método seguro de eliminación de datos y, en cualquier caso, la responsabilidad recae en última instancia en el propietario.
2 – Aumento de la complejidad y falta de formación
Los proveedores de servicios cloud deben ser capaces de ofrecer a sus clientes facilidad de uso y rápida recuperación de costos. Sin embargo, la migración de un entorno local a un entorno de nube implica un mayor nivel de complejidad operativa para los departamentos de TI de la empresa. Es posible que el personal de TI no tenga experiencia en la gestión y el soporte de los servicios en la nube, lo que requeriría una formación específica y adecuada.
Los proveedores de servicios cloud suelen ofrecer una solución de cifrado para los departamentos de TI de sus clientes. Estas soluciones son diferentes. Microsoft Azure ofrece Azure Storage Service Encryption, mientras que Amazon Web Services ofrece EBS Volume Encryption. Toda esta complejidad en la curva de aprendizaje puede llevar a brechas de seguridad en despliegues híbridos de nube y multi-nube, por lo que los equipos de TI deben estar adecuadamente capacitados y el proveedor debe instalar su solución de la manera más efectiva y eficiente. Además, el equipo de TI de la empresa debe desarrollar una política operativa sólida antes de pasar a un modelo basado en la nube.
3 – Errores de configuración
La configuración incorrecta del sistema es un riesgo común para la seguridad. Para diferenciarse de la competencia, los proveedores de servicios en la nube utilizan modelos de implementación de un solo clic, en los que se ocultan las complejidades de la configuración. Debido a que la configuración en las instalaciones del cliente debe realizarse después de la implementación, la falta de comprensión técnica puede dar lugar a errores u omisiones.
Este tipo de riesgo puede ser gestionado estratégicamente planificando la seguridad antes del despliegue, y no pensando en ello como algo que añadir más adelante. Los clientes empresariales deben obtener soporte de diseño e implementación del proveedor para garantizar que los servicios cloud estén configurados de la mejor manera posible. La auditoría y las pruebas constantes deben formar parte de la estrategia para detectar las brechas de seguridad y garantizar la salud de los servicios en la nube.
4 – Multi Tenant y falta de disponibilidad
Los proveedores de servicios en la nube ofrecen diferentes arquitecturas basadas en la nube, como nubes privadas, couds híbridos o multi-nubes. Esta variedad normalmente tiene como objetivo alojar múltiples clientes, en una única arquitectura física de nube, o centros de datos ubicados en diferentes ubicaciones. Independientemente del tipo de arquitectura, los proveedores se esfuerzan por confinar a cada inquilino en su enclave y garantizar que el uso de los recursos comunes no perjudique a los demás.
Un hecho importante es que es imposible trazar una línea divisoria clara entre los aspectos técnicos y los comerciales porque tienden a influirse mutuamente y el fracaso de uno de ellos puede causar un efecto dominó. Los proveedores de servicios cloud proporcionan todos los controles de seguridad lógica y física necesarios, un enclave seguro para cada inquilino y múltiples dominios para mitigar los riesgos de los que hemos estado hablando. Los usuarios deben realizar su debida diligencia para comprender el impacto potencial de un entorno de múltiples inquilinos y las estrategias de mitigación de riesgos ofrecidas por el proveedor.
5 – Cryptojacking
La reciente tendencia al alza de la divisa criptográfica trae consigo un nuevo tipo de amenaza llamada cryptojacking. Las criptomonedas como Bitcoin requieren una gran capacidad de procesamiento, lo que ha llevado a los ciberdelincuentes a centrarse en los proveedores de servicios en la nube. Estos nuevos vectores de ataque operan de forma oculta, utilizando recursos de procesamiento para enriquecer a los usuarios malintencionados.
Aunque esto puede parecer inofensivo de alguna manera porque ningún dato de ningún tipo está comprometido o eliminado, sigue siendo un peligro porque las fronteras de seguridad de la nube se erosionan para insertar código malicioso abriendo la puerta a otros métodos similares y potencialmente dañinos.
Los ataques de Cryptojacking han crecido en un 141% desde 2017, con el peor impacto en la cuenta de Tesla en Amazon Web Services con acceso ilegal para la minería de criptocurrency incrustando el script en la plataforma publicitaria de AOL. Las configuraciones incorrectas y la ingeniería social son los dos métodos utilizados por los ciberdelincuentes para transferir el código para el criptojacking al objetivo.
CambioDigital OnLine
