Seguridad en la nube: ¿están sus datos protegidos?
La seguridad en la nube es uno de los temas que produce mayor controversia tanto para defensores como detractores del cloud computing. Esto quizá podría tener su sentido en los comienzos de este tipo de entornos, en los que los consumidores no podían saber si todos los datos que se alojaban en la nube eran susceptibles de ser robados. Hoy en día, sin embargo, los entornos de cloud computing están más presentes y ofrecen ciertas garantías de seguridad TIC. Aun así, sigue habiendo riesgos para la seguridad en la nube que hay que tener en cuenta a la hora de utilizarla o adaptarla para su empresa.
¿Existen amenazas reales para la seguridad en la nube?
La seguridad en la nube es uno de los aspectos que más se cuidan por parte de los propios proveedores de estos sistemas y entornos. Tanto Microsoft, como Amazon, Google, IBM, Rackspace y otros muchos proveedores de cloud computing, intentan incluir fuertes medidas de seguridad para que el usuario no tenga que preocuparse de este aspecto al utilizar sus servicios.
Sin embargo, esto no significa que el proveedor elimine todas las amenazas posibles para la nube. Algunas amenazas pueden permanecer en forma de riesgos externos como los ataques DoS (Denial of Service o Denegación de servicio), a los que incluso la nube más robusta puede sucumbir. Otros pueden venir del acceso a las credenciales del servicio, que pueden ser robados a través de métodos de phishing.
En la Guía de Cloud Computing podrá encontrar una lista más amplia con los principales riesgos para la seguridad en la nube a los que se enfrentan las empresas.
Aplicaciones de terceros en la nube: ¿son seguras?
Con la llegada de la nube también se han popularizado los sistemas SaaS (Software as a Service o Software como Servicio). Este tipo de aplicaciones de terceros son muy variadas: CRM, ERP, software RRHH, email, etc., lo que provoca que sean utilizadas distintos ámbitos. No obstante, este tipo de aplicaciones tiene ciertos inconvenientes en cuanto a la seguridad en la nube, como por ejemplo:
- Las actualizaciones o modificaciones pueden llegar sin pedir consentimiento al usuario. Puede ser positivo, arreglando agujeros de seguridad o mejorando funcionalidades. Sin embargo, puede ocurrir exactamente lo contrario, y que una actualización traiga una nueva brecha de seguridad.
- Imposibilidad de saber qué hace realmente el programa. Sin acceso al código fuente o al archivo ejecutable, es difícil saber si el programa realiza algún tipo de proceso en segundo plano. Esto no quiere decir que haya aspectos de un SaaS que hayan sido diseñados de forma maliciosa, pero no deja de existir la posibilidad de que el usuario sea totalmente ajeno a ciertos aspectos de seguridad del programa en la nube.
Estos son algunos de los inconvenientes que presentan las aplicaciones de terceros para la seguridad en la nube, pero puede encontrar aún más en la Guía de Cloud Computing.
Estrategias de seguridad en la nube
La mejor opción para la seguridad en la nube pasa por establecer una serie de estrategias que ayuden a proporcionar una mayor protección a los datos y aplicaciones de su empresa. Algunas de estas estrategias pasan por aplicar procesos de autenticación en dos pasos para sus empleados, de forma que puedan prevenir el acceso por parte de personas no autorizadas a los datos.
Por otro lado, se puede intentar limitar el acceso a los datos más sensibles. Para ello, hay empresas que se han decidido por establecer redes virtuales híbridas con los datos sensibles en las instalaciones on-premise, a los que se conectan las aplicaciones en la nube. Así al menos se tendrá el conocimiento de que los datos no dependen de la seguridad en la nube sino de sus propios métodos de acción para evitar accesos no deseados. En la Guía de Cloud Computing hay ejemplos de configuraciones de red híbrida que ayudarán a conseguir aumentar la seguridad en la nube de sus datos y aplicaciones.
Un artículo muy interesante, y que menciona puntos importantes sobre la seguridad en la nube.
Yo trabajo en una empresa de desarrollo de software en la nube, y por ejemplo nunca realizamos actualizaciones sin aviso previo a todos los clientes.
Creo que es necesaria una dosis de confianza mutua entre proveedor-cliente, como en toda relación humana o de negocios.
Un saludo, les seguiré leyendo.