Cloud Computing (III)

by Fernando on 29/08/2016

Cloud Computing
Es evidente que, en términos generales, si bien el uso de servicios de cloud computing ofrece un gran número de ventajas, representa asimismo, dadas sus características, una serie de riesgos específicos que deben afrontarse con una adecuada elección del prestador del servicio, para lo cual se antoja fundamental analizar las condiciones de prestación del servicio, que evidentemente, han de tener en cuenta en todo momento los elementos que permitan que el tratamiento de datos se realice sin merma de las garantías que le son aplicables.

Una primera catalogación de la tipología de riesgos asociados al uso de estos servicios es la que los agrupa asociados a falta de transparencia en las condiciones en las que se presta el servicio y falta de control del responsable sobre el uso y gestión de los datos personales por parte de los agentes implicados en el servicio.

No hay que olvidar que es el prestador del servicio quien conoce todos los detalles del servicio que ofrece, por lo que si este último no da una información clara, precisa y completa sobre todos los elementos inherentes a la prestación, el responsable no podrá tener en consideración de forma adecuada requisitos básicos como la ubicación de los datos, la existencia de subencargados, los controles de acceso a la información o las medidas de seguridad.

Por otra parte, dadas las peculiaridades del modelo de tratamiento en «la nube» y, en parte, lo indicado respecto a la posible ausencia de transparencia en la información, la falta de control del responsable se manifiesta, por ejemplo, ante las dificultades para conocer en todo momento la ubicación de los datos, las inherentes a la disposición de los datos en poder del proveedor, la relativa a su disposición en un formato válido e interoperable, los obstáculos a una gestión efectiva del tratamiento o, en definitiva, la ausencia de control efectivo a la hora de definir los elementos sustantivos del tratamiento en lo tocante a salvaguardas técnicas y organizativas.

Desconocimiento Del Perfil De Riesgo

La evolución que representa el cloud computing respecto a otros entornos informáticos tradicionales –en los que las herramientas de seguridad están más desarrolladas y donde es relativamente sencillo aplicar soluciones informáticas que disminuyan las vulnerabilidades del sistema y dificulten las entradas no autorizadas–, en la medida en que ofrece funcionalidades nuevas, supone el riesgo añadido de ser un modelo expuesto a nuevas amenazas en la Red.

Es por ello por lo que, aun cuando esto no implique que «la nube» sea un modelo menos seguro que los anteriores, los expertos en seguridad se afanan en el estudio de los posibles fallos de diseño existentes, así como en los nuevos modus operandi de los usuarios malintencionados.

Una de las cuestiones a tener en cuenta en este sentido es el uso de tecnologías compartidas, en cuya seguridad se ha de incidir significativamente, a los efectos de lograr el aislamiento necesario de la información de los diferentes usuarios que comparten una misma infraestructura, de manera que los proveedores de servicios de cloud computing sean capaces de garantizar que cada usuario tiene acceso únicamente a su información.

Hay que tener presente que el propio diseño de la infraestructura de «la nube» supone una disminución tanto del hardware como del software del que deben disponer los usuarios, lo que evidentemente representa un importante ahorro de costes, pero que también puede repercutir en un deterioro de la seguridad.

Es importante, por tanto, conocer con quién se comparte la infraestructura, así como la información técnica de la plataforma que se va a usar, disponiendo de acceso a los registros de actividad (logs) de las aplicaciones y los datos y monitorizando (e incluso recibiendo alertas) el uso de información crítica y los intentos de acceso no autorizados.

Uso Malintencionado

Un registro de acceso poco restrictivo puede traer como consecuencia envíos de spam, robos de contraseñas, denegación del servicio distribuido…, ataques que también llevan a cabo los piratas informáticos en el ámbito de «la nube», donde resultan más sencillos y baratos, y para cuya ejecución pueden optar por contratar servicios de cloud computing.

Asimismo, los ciberdelincuentes pueden optar por contratar servicios de almacenamiento para guardar datos robados o maliciosos, con la correspondiente dificultad de acceso a esta información que para las autoridades esto supone. Por tanto, es recomendable, a los efectos de minimizar este tipo de riesgo, llevar a cabo acciones como la implementación de un sistema de registro de acceso más restrictivo, la coordinación y monitorización del fraude en tarjetas de crédito, la monitorización del tráfico de clientes para la detección de posibles actividades ilegales o la comprobación de listas negras públicas, que no son sino bases de datos de servidores de Internet en las que se incluyen direcciones IP consideradas como poco fiables.

Apis Insegura

El único punto de interacción con los programas que se estén ejecutando en «la nube» son las APIs (Application Programming Interfaces). Una interfaz de programación de aplicaciones es un conjunto de funciones y procedimientos que ofrecen las bibliotecas para ser empleados por otro software como una capa de abstracción (forma de ocultar los detalles de implementación de ciertas funcionalidades).

En el caso del cloud computing, constituyen un punto crítico de seguridad y privacidad del sistema, pues no son sino las puertas de entrada hacia los servicios de «la nube».

Estas APIs de conexión son ofrecidas por cada proveedor de servicios de cloud computing, y permiten desde iniciar o detener los servicios hasta aumentar o disminuir los recursos de los mismos.

No son descartables ataques de malware destinados a que las APIs efectúen acciones adicionales o distintas a las programadas y cuyo objetivo sea el acceso y/o robo de información. Es por ello por lo que se antoja fundamental disponer de una correcta política de seguridad.

Por lo tanto, y puesto que acceso, autenticación, cifrado de datos… se lleva a cabo mediante estas herramientas, estas interfaces han de estar diseñadas de forma segura, así como asegurarse de que los controles de acceso y la autenticación se implementen teniendo en cuenta el cifrado de datos.

Suplantación De Identidad

Si bien es este un riesgo siempre presente en los sistemas informáticos, adquiere mayor relevancia aún más si cabe en el ámbito del cloud computing.

El acceso a cualquier sistema informático requiere, por lo general, una identificación como paso previo a la ejecución de las tareas que permite el mismo; identificación que habitualmente se realiza a través de un nombre de usuario y una contraseña o password.

No obstante, pueden darse casos en los que, en función del uso que se esté haciendo de «la nube», la identificación mediante usuario y contraseña no sea lo suficientemente segura, por lo que conviene optar por otras alternativas más robustas para evitar la suplantación de identidad en la Red.

Es el caso, por ejemplo, del DNI electrónico, que incluye medidas biométricas y criptográficas que complementan a las medidas de seguridad más tradicionales.

Fugas De Información

Al igual que sucede en otros casos, los riesgos inherentes al cloud computing también pueden derivarse de la propia empresa que tiene contratados los servicios en «la nube», ya sea por errores humanos involuntarios, ya lo sea por actuaciones intencionadas de los usuarios de dichos servicios.

Tales circunstancias pueden provocar pérdidas de información –de las que obviamente se derivan daños en la imagen de la organización, posibles consecuencias legales y/o jurídicas y, por supuesto, pérdidas económicas–, en casos en los que puedan producirse borrados o modificaciones de datos sin que exista la correspondiente copia de seguridad, con la consiguiente pérdida de los datos originales.

A los efectos de paliar tales circunstancias, las empresas establecen políticas de seguridad e incorporan en sus contratos laborales cláusulas de confidencialidad. Además, y dado que en no pocas ocasiones es el propio proveedor del servicio quien gestiona las altas y bajas de los usuarios,
es importante que las empresas tengan muy presente informar a este de manera puntual cuando se produzcan bajas de personal en la plantilla.

Concretamente, es recomendable la protección del tránsito de datos mediante su cifrado; la implementación de interfaces potentes para el control de acceso; el uso de potentes mecanismos de generación de claves y de almacenamiento –y, en su caso, destrucción– de la información… También, un adecuado análisis de la protección de datos tanto en tiempo de diseño como en tiempo de ejecución, con una adecuada definición –por contrato– de las medidas de destrucción de datos antes de que los medios de almacenamiento sean eliminados de la infraestructura y una adecuada política de copias de seguridad.

En este sentido, cuando se produce una fuga de información es habitual llevar a cabo una auditoría interna sobre el incidente, a los efectos de determinar la cantidad de información que ha sido objeto de sustracción o filtración, el tipo de datos contenidos en la misma (más aún cuando se trate de datos de carácter personal), si la información es propia o externa (que hace referencia a otras personas o empresas) y, obviamente, tratar de identificar en la medida de lo posible si el hecho ha tenido un origen técnico o humano.

Es igualmente recomendable efectuar una auditoría externa, de cara a conocer la dimensión, gravedad y nivel de difusión pública de la información, pues no es lo mismo la información filtrada, sustraída o perdida que la que efectivamente se haya podido hacer pública.

Fuente: http://www.cedro.org

Por tu éxito,
Fernando Amaro

Banner Horiz.590px Únete Al Club De Los Hacedores

Artículos Relacionados
=> Cloud Computing (I)
=> Modelos De Cloud Computing

Comments on this entry are closed.

Previous post:

Next post:

Página 1 de 11