Seguridad en la nube: ¿están sus datos protegidos?

La seguridad en la nube es uno de los temas que produce mayor controversia tanto para defensores como detractores del cloud computingCloud computing, o computación en la nube, es el acceso y almacenamiento de los datos de trabajo en aplicaciones, servidores y plataformas en la nube. Es decir, a través de internet en lugar de hacerlo en el disco duro de cada ordenador. En una gran compañía, la infraestructura interna puede ser inmensa, incluyendo tanto sistemas on-premise como en la nube, aunque se suele hablar de cloud computing sólo cuando se utilizan aplicaciones que estén completamente integradas en la nube. . Esto quizá podría tener su sentido en los comienzos de este tipo de entornos, en los que los consumidores no podían saber si todos los datos que se alojaban en la nube eran susceptibles de ser robados. Hoy en día, sin embargo, los entornos de cloud computing están más presentes y ofrecen ciertas garantías de seguridad TICLa seguridad TIC, o Information Technology Security (IT security) en inglés, se encarga de implementar las medidas de seguridad para proteger la información usando diferentes tipos de tecnología. La seguridad TIC protege los datos empresariales, que comprenden tanto los de formato electrónicos como en papel.. Aun así, sigue habiendo riesgos para la seguridad en la nube que hay que tener en cuenta a la hora de utilizarla o adaptarla para su empresa.

Índice:

1. Amenazas para la seguridad en la nube
2. La seguridad en aplicaciones de terceros
3. Estrategias de seguridad en la nube

¿Existen amenazas reales para la seguridad en la nube?

La seguridad en la nubeLa nube (o cloud, en inglés) hace referencia a una nueva forma de implementación y de uso de software en las empresas, con el propósito de que todos los datos y aplicaciones se conviertan poco a poco en servicios online. Este modelo ha creado el concepto de movilidad total, otorgando al usuario la posibilidad de acceder a su información desde cualquier parte del mundo, con la única limitación de disponer de un dispositivo con acceso a internet. es uno de los aspectos que más se cuidan por parte de los propios proveedores de estos sistemas y entornos. Tanto MicrosoftMicrosoft Cloud es la terminología se utiliza como denominación común para los productos de Microsoft con una versión adaptada exclusivamente para la nube o que se basa en la nube para ofrecer sus servicios o herramientas al usuario. Esta denominación no se ha utilizado desde un principio de esta forma, ya que el sistema de almacenamiento en la nube OneDrive (antes SkyDrive) o la plataforma e infraestructura Azure han sido denominados “Microsoft Cloud” en algún momento., como AmazonAmazon Web Services, también conocida como AWS, es un conjunto de herramientas y servicios de cloud computing de Amazon. Este servicio se lanzó oficialmente en 2006 y para junio de 2007 AWS ya contaba con una base de usuarios de aproximadamente 180 mil personas. Desde almacenamiento a la gestión de instancias, imágenes virtuales, desarrollo de aplicaciones móviles, etc., la nube de Amazon ha ido consolidándose a lo largo de los años como una de las más grandes del mercado. Sin embargo, otros mercados emergentes en estas plataformas han conseguido convertirse en dignos rivales, como Microsoft y su Azure., Google, IBM, Rackspace y otros muchos proveedores de cloud computingLos proveedores de cloud computing forman parte de todo el proceso de implementación de servicios en la nube. Gran parte del tiempo que gaste poniendo en marcha todos los servicios en la nube, lo pasará también en contacto con los proveedores. La elección del proveedor correcto es un factor decisivo para alcanzar el éxito con un servicio de cloud computing., intentan incluir fuertes medidas de seguridad para que el usuario no tenga que preocuparse de este aspecto al utilizar sus servicios.

Sin embargo, esto no significa que el proveedor elimine todas las amenazas posibles para la nube. Algunas amenazas pueden permanecer en forma de riesgos externos como los ataques DoS (Denial of Service o Denegación de servicio), a los que incluso la nube más robusta puede sucumbir. Otros pueden venir del acceso a las credenciales del servicio, que pueden ser robados a través de métodos de phishing.

En la Guía de Cloud Computing podrá encontrar una lista más amplia con los principales riesgos para la seguridad en la nube a los que se enfrentan las empresas.

Aplicaciones de terceros en la nube: ¿son seguras?

Con la llegada de la nube también se han popularizado los sistemas SaaSEl SaaS (Software as a Service, o software como servicio, en español) es una modalidad para la adquisición de software. Con esta modalidad, la empresa que implementa el software no es dueña del sistema, pero consigue acceso a distancia a un paquete de software que está instalado en el servidor del proveedor. Este acceso se realiza a través de una conexión en la nube. Por lo tanto, el modelo SaaS pertenece a la categoría de “Todo como servicio” o XaaS (Anything as a Service). (Software as a Service o Software como Servicio). Este tipo de aplicaciones de terceros son muy variadas: CRMLa gestión de relaciones con el cliente (Customer Relationship Management, CRM) se centra en almacenar, analizar y usar toda la información relevante de los clientes. Lo que se considera información relevante de los clientes, depende naturalmente del tipo de empresa y de clientes. En algunas empresas consiste en mantener una estructura de los datos de contacto o de las acciones que se llevan a cabo en relación con los clientes. Otras empresas requieren tener funcionalidades más avanzadas e inteligencia de negocios (BI) dentro del CRM para comprender bien al cliente., ERPEl término ERP se refiere a Enterprise Resource Planning, que significa “sistema de planificación de recursos empresariales”. Estos programas se hacen cargo de distintas operaciones internas de una empresa, desde producción a distribución o incluso recursos humanos. Los sistemas ERP suponen una gran inversión para las empresas., software RRHHEl software de recursos humanos se utiliza en empresas que disponen un departamento de RRHH o un responsable dedicado a planificar y administrar la gestión del personal. Dentro de las funciones de este departamento puede encontrarse la atención al personal, el registro de ausencias, bajas y horas trabajadas, la gestión de nóminas y salarios, la asignación de vacaciones y otras solicitudes directas del personal. Además, también pueden encargarse de los distintos procesos de selección para puestos vacantes, las evaluaciones de desempeño de trabajadores o la planificación de ascensos., email, etc., lo que provoca que sean utilizadas distintos ámbitos. No obstante, este tipo de aplicaciones tiene ciertos inconvenientes en cuanto a la seguridad en la nube, como por ejemplo:

• Las actualizaciones o modificaciones pueden llegar sin pedir consentimiento al usuario. Puede ser positivo, arreglando agujeros de seguridad o mejorando funcionalidades. Sin embargo, puede ocurrir exactamente lo contrario, y que una actualización traiga una nueva brecha de seguridad.
• Imposibilidad de saber qué hace realmente el programa. Sin acceso al código fuente o al archivo ejecutable, es difícil saber si el programa realiza algún tipo de proceso en segundo plano. Esto no quiere decir que haya aspectos de un SaaS que hayan sido diseñados de forma maliciosa, pero no deja de existir la posibilidad de que el usuario sea totalmente ajeno a ciertos aspectos de seguridad del programa en la nube.

Estos son algunos de los inconvenientes que presentan las aplicaciones de terceros para la seguridad en la nube, pero puede encontrar aún más en la Guía de Cloud Computing.

Estrategias de seguridad en la nube

La mejor opción para la seguridad en la nube pasa por establecer una serie de estrategias que ayuden a proporcionar una mayor protección a los datos y aplicaciones de su empresa. Algunas de estas estrategias pasan por aplicar procesos de autenticación en dos pasos para sus empleados, de forma que puedan prevenir el acceso por parte de personas no autorizadasEl control de acceso es una técnica de seguridad que verifica el permiso que tiene una persona o dispositivo para entrar en un área y hasta qué punto. Esta función se encuentra dentro de la gestión de identidad y acceso de una empresa. Existen 2 tipos de control de acceso: Físico y Lógico. El físico consiste en recibir autorización para entrar a lugares concretos, como determinados departamentos o áreas de la empresa. El control de acceso lógico, sin embargo, permite el acceso al usuario o dispositivo a unas determinadas redes informáticas, archivos del sistema y datos. a los datos.

Por otro lado, se puede intentar limitar el acceso a los datos más sensibles.La gestión de identidad y acceso se conoce también por sus siglas en inglés, IAM (Identity and Access Management). IAM se encarga de la administración de usuarios y sus derechos de acceso dentro de la red (comercial). Con esta gestión, la empresa mantiene el control sobre qué usuarios inician sesión y realizan ediciones en los sistemas, aplicaciones, bases de datos, etc. Los usuarios pueden variar desde empleados a clientes o proveedores. Para ello, hay empresas que se han decidido por establecer redes virtuales híbridas con los datos sensibles en las instalaciones on-premiseEl término on-premise o en local se refiere al tipo de instalación de una solución de software. Esta instalación se lleva a cabo dentro del servidor y la infraestructura (TIC) de la empresa. Es el modelo tradicional de aplicaciones empresariales. Con el modelo on-premise, la empresa es la responsable de la seguridad, disponibilidad y gestión del software. Por lo que la empresa debe tener un departamento de sistemas que dedique parte de sus recursos a la gestión de la infraestructura in situ., a los que se conectan las aplicaciones en la nube. Así al menos se tendrá el conocimiento de que los datos no dependen de la seguridad en la nube sino de sus propios métodos de acción para evitar accesos no deseados. En la Guía de Cloud Computing hay ejemplos de configuraciones de red híbrida que ayudarán a conseguir aumentar la seguridad en la nube de sus datos y aplicaciones.