Riesgos y amenazas en Cloud Computing

INTECO-CERT ha publicado un informe sobre los riesgos y amenazas asociadas al Cloud Computing. Según INTECO, el documento sirve de guía para comprender mejor estas infraestructuras y los riesgos y amenazas a tener en cuenta en su uso.

En la actualidad una de las tendencias del mercado de los sistemas de información es la proliferación de los servicios operando en la nube, los cuales son servicios que permiten la asignación dinámica de recursos en función de necesidades de los clientes y que aportan una reducción de costes en infraestructuras considerable.

La problemática de estos servicios se basa, en gran parte, en la complejidad de los mismos ya que suelen estar formados por multitud de componentes tanto software como hardware, lo cual dificulta la gestión y, por ende, la protección. Además, el  termino cloud computing es amplio y su definición poco precisa. Por ello, a la hora de la elección de servicios  cloud  se  ha  de  tener  claro  el  tipo  de  infraestructura que  lo  soporta  y  el  tipo  de servicio que se ofrece.

La  reciente  publicación  del  NIST (National  Institute  of  Standards  and  Technologies) «Guidelines  on  Security  and  Privacy  in  Public  Cloud  Computing»  pone  de  manifiesto, además  de  la  actualidad  de  este  nuevo  modelo  para  la  distribución  de  servicios  y aplicaciones, la necesidad de difundir buenas prácticas de seguridad para este modelo. Este no es el único documento que refleja la creciente preocupación por la seguridad en estas plataformas,  como  se  refleja  en  documentos  de  entidades  de  referencia  que  también abordan este tema.

El informe publicado por INTECO realiza una  descripción  de  los  tipos  de  infraestructuras  y servicios cloud para, a continuación, abordar los distintos elementos que han de tenerse en cuenta para abordar su seguridad, según el citado documento del NIST e informes recientes de la organización internacional CSA (Cloud Security Alliance) y de la consultora Gartner.

Las preocupaciones que derivan de estos informes se centran en aspectos la gestión de los  datos,  fundamentalmente  en  la  propiedad de  los  mismos  y  la  forma  de  operarlos y tratarlos por parte de los proveedores, así como en la identificación y control de acceso a los recursos.

Conclusiones

  1. La  seguridad  y  la  propiedad de  los  datos  es  uno  de  los  aspectos  clave.  Los  informes muestran una gran preocupación por la propiedad y el tratamiento de los datos  dado que estas infraestructuras pueden gestionar los datos en múltiples países lo que puede generar conflictos en cuanto al marco legal en el que son tratados. También se plantea que estos entornos, al manejar gran cantidad de datos, pueden ser objeto de fugas de información, ya sean intencionadas o fortuitas.
  2. El  cumplimiento  normativo también  es  uno  de  los  pilares  de  la  seguridad  en  entornos cloud.  En  este  caso  el  problema  se  presenta  debido  a  la  falta  de  transparencia  de  estas infraestructuras, por lo que es muy recomendable que el suscriptor del servicio se informe claramente de cómo se gestiona el entorno.
  3. Para  la  creación  de  un  servicio  cloud  interviene  multitud  de  software  de  distintos proveedores.  Es  decir,  son  entornos  complejos por  lo  que  se  ha  de  poner  especial atención   a   las   posibles   vulnerabilidades   del   mismo   e   implantar   procedimientos   deparcheado.
  4. Otro de los aspectos considerados importantes es la identidad y el control de acceso. Por lo  general,  la  mayoría  de  las  infraestructuras  son  compartidas  por  múltiples  empresas  ousuarios  y  la  mala  definición  de  los  controles  de  acceso  puede  provocar  accesos  no autorizados a datos confidenciales. La definición de una buena política de identidad y control de acceso basada en políticas de mínimo privilegio es esencial en entornos cloud.
  5. Por último, existe un denominador común a todos estos aspectos mencionados. Se trata de los  contratos  de  acuerdo  de  servicio.  Todas  las  recomendaciones  en  cuanto  a  este asunto indican que éstos deben de ser revisados y creados específicamente, detallando los controles,  las  normativas,  las  medidas  de  protección,  los  plazos  de  recuperación  del servicio, etc.

En este enlace os podréis descargar el informe completo.

Comparte este artículo:

No hay comentarios a este artículo

Sé el primero en enviar un comentario: