Las 6 principales amenazas de los servicios cloud y cómo combatirlas

21 Mar Las 6 principales amenazas de los servicios cloud y cómo combatirlas

Poco a poco, las organizaciones están empezando a consumir infraestructuras TI y aplicaciones como servicio en la Nube. A nivel de negocio este modelo proporciona múltiples ventajas, ya sea a través de una estructura de cloud privada, híbrida o pública. Sean como sean se buscan nubes flexibles y rentables.

Implementar soluciones de cloud computing abre la puerta a un sinfín de nuevas oportunidades, pero también de nuevos retos para la seguridad corporativa TI. Justamente, la seguridad continúa siendo un motivo de desconfianza que impide un mayor desarrollo del mercado cloud. Sin embargo, esta no debe ser un obstáculo para desaprovechar sus beneficios. Basta con conocer qué vulnerabilidades tiene, cuáles son las principales amenazas y tomar las medidas oportunas para combatirlas.

Riesgos del Entorno Cloud y qué exigir a los proveedores de servicios

• Fuga de datos. Es una preocupación que siempre ha existido en la protección de las redes corporativas tradicionales. Pero en el mundo de la computación en la Nube es una amenaza más potente dado el vasto volumen de datos (de todo tipo, financieros, salud, personales…) que aloja, algo muy apetecible para los ciberdelincuentes. Una fuga de datos se salda no solo con una importante multa, sino con una pérdida de reputación que puede ser letal para el negocio.

La encriptación y la autenticación multifactor son tecnologías imprescindibles para evitarla. Esta última se ha revelado con una eficaz barrera para prevenir ataques dentro de la ciberseguridad corporativa. Consiste en verificar una acción solicitada o detectada mediante múltiples formas, ya sea una llamada telefónica, el envío de sms o notificaciones a apps, la exigencia de incluir una clave para continuar la acción, etc.

• Robos de identidades. Detrás de estos está muchas veces cierta laxitud en la definición de políticas de seguridad y autenticación, en el uso de claves débiles o en la gestión certificados. Un riesgo típico es olvidarse de eliminar los passwords de usuarios que ya no trabajen en la compañía o hayan cambiado de función.

Para contrarrestar estos ‘despistes’ de nuevo es muy recomendable la implementación de sistemas de autenticación multifactor que dificultan el uso de esas identidades robadas para lanzar un ataque.

En este sentido, es importante hacer una llamada de atención especial a aquellos que embeban acreditaciones y claves encriptadas en códigos fuente y que los alojen en repositorios públicos. Es fundamental que cambien periódicamente las claves.

• Cuidado con las APIs. El uso de interfaces y APIs es necesario para interactuar con los servicios cloud: aprovisionamiento, gestión, orquestación, monitorización… Tanto uno como otros son eslabones muy vulnerables ya que son la conexión con la Internet pública. En ellos hay que situar la primera línea defensiva. Por eso, en el ciclo de vida de un servicio cloud es necesario implementar sistemas de seguridad que revisen y comprueben códigos, flujo de datos e incluso diseños/arquitecturas de cualquier interacción.

• Vulnerabilidades de los sistemas. Ni estas ni los errores en las aplicaciones (los famosos bugs) son una novedad, pero en el entorno cloud multipropietario cobran mayor importancia. La buena noticia es que resulta relativamente fácil luchar contra ellos, basta con un buen servicio de mantenimiento TI. Es decir, realizar revisiones regulares de vulnerabilidades, aplicar puntualmente parches y actuar rápidamente ante informes que avisen sobre la existencia de amenazas. Revisar y documentar resulta infinitamente más barato que hacer frente a un ataque.

• Pérdida de datos. Pese a que los proveedores de servicios cloud desplieguen políticas de seguridad correctas, todos están expuestos a sufrir algún ataque que ponga a prueba sus defensas. Para evitar males mayores, es recomendable distribuir los datos y las aplicaciones alojadas en distintas zonas. Pero lo más acertado es, sin duda, contar con una estrategia activa de Backup, recuperación y disaster recovery combinando recursos in-site y off-site. No solo se protegerán al máximo los datos corporativos, sino que se cumplirá lo establecido por la ley en cuanto a su retención. De nuevo seguridad y continuidad de negocio van de la mano.

Importante señalar que si se encriptan datos antes de subirse a la Nube, es vital que las claves no se pierdan; si esto ocurre, se perderán también los datos.

• SLAs como escudo protector. Los datacenters cloud suelen contar con medidas de seguridad mucho más avanzadas que los propios datacenters físicos de las organizaciones. Sin embargo, el riesgo cero, como en la propia vida, no existe. Por eso es básico estudiar bien las condiciones de cada proveedor, exigir servicios de seguridad IT, responsabilidades e incluir cláusulas de SLAs. De esta manera, tendremos claro el plan B si algo falla. Un simple ejemplo, si tu infraestructura sufre un ataque DDoS, esta se bloqueará o ralentizará impidiendo el desarrollo normal de tu negocio. Sería ilógico que mientras este no se elimina tú siguieras pagando lo mismo por un servicio que no es óptimo.

Este último punto y el resto de los esbozados hacen muy recomendable que las organizaciones sin conocimientos en los modelos en la Nube se dejen asesorar por especialistas TI y de servicios de soporte informático en el momento de seleccionar ofertas SaaS y/o IaaS para desplegar entornos TI seguros de cloud computing para Pymes.

Orbit Consulting Group es una empresa especializada en diseñar e implantar soluciones de arquitectura TI para pymes y empresas de Madrid, y el resto de España.