Ya hace un tiempo hablamos del Cloud Computing y todas sus versiones de lo que se conoce como La Nube (SaaS, IaaS, Paas, ITaaS). Hoy quiero hablaros del informe que acaba de presentar INTECO sobre la seguridad de estas tecnologías. Cada vez operamos más, tanto como particulares como empresas, con servicios en la nube con lo que la seguridad en estos entornos cada vez debe ser más importante para nosotros.
INTECO ha elaborado el informe Riesgos y amenazas en Cloud Computing que analiza la problemática de estos entornos desde los puntos de vista de instituciones de gran reputación como NIST, Gartner y CSA, ofreciendo al usuario una visión global de estos entornos, partiendo de la clasificación de los mismos para finalizar con el análisis de los principales riesgos y amenazas, entre los cuales se encuentran: seguridad de los datos, identidad y control de acceso, cumplimiento legal y normativo, complejidad de los servicios, disponibilidad y recuperación.
Tras el análisis realizado en este informe se obtiene una visión global de esta problemática y se extraen conclusiones comunes a todos los puntos de vista:
La seguridad y la propiedad de los datos es uno de los aspectos clave. Los informes muestran una gran preocupación por la propiedad y el tratamiento de los datos dado que estas infraestructuras pueden gestionar los datos en múltiples países lo que puede generar conflictos en cuanto al marco legal en el que son tratados. También se plantea que estos entornos, al manejar gran cantidad de datos, pueden ser objeto de fugas de información, ya sean intencionadas o fortuitas.
El cumplimiento normativo también es uno de los pilares de la seguridad en entornos cloud. En este caso el problema se presenta debido a la falta de transparencia de estas infraestructuras, por lo que es muy recomendable que el suscriptor del servicio se informe claramente de cómo se gestiona el entorno.
Para la creación de un servicio cloud interviene multitud de software de distintos proveedores. Es decir, son entornos complejos por lo que se ha de poner especial atención a las posibles vulnerabilidades del mismo e implantar procedimientos de parcheado.
Otro de los aspectos considerados importantes es la identidad y el control de acceso. Por lo general, la mayoría de las infraestructuras son compartidas por múltiples empresas o usuarios y la mala definición de los controles de acceso puede provocar accesos no autorizados a datos confidenciales. La definición de una buena política de identidad y control de acceso basada en políticas de mínimo privilegio es esencial en entornos cloud.
Por último, existe un denominador común a todos estos aspectos mencionados. Se trata de los contratos de acuerdo de servicio (SLA’s). Todas las recomendaciones en cuanto a este asunto indican que éstos deben de ser revisados y creados específicamente, detallando los controles, las normativas, las medidas de protección, los plazos de recuperación del servicio, etc.
Fuente: INTECO
