La Agencia de Seguridad Europea advierte de los riesgos del cloud computing

Los usuarios del cloud computing tienen que hacer frente a múltiples problemas, como la pérdida de control sobre los datos o dificultades a la hora de cumplir las normativas, así como otros riesgos legales al mover los datos de una jurisdicción legal a otra. Así lo afirma un estudio realizado por la ENISA, European Network and Information Security Agency.

Esta agencia ha subrayado estos problemas, pues considera que son los que más serias consecuencias pueden tener para aquellos que apuesten por los servicios que ofrece el cloud computing.

ENISA ha examinado los activos que las empresas ponen en riesgo cuando apuestan por el cloud computing, incluyendo los datos de los clientes así como su propia reputación. Esta agencia ha analizado también las vulnerabilidades a las que los sistemas de cloud computing han de enfrentarse así como los riesgos a los que esas vulnerabilidades exponen a los negocios y las probabilidades de que lleguen a producirse.

Cuando una empresa pasa sus sistemas a los servicios basados en la nube, tienen que manejar y controlar, junto con el proveedor de servicios, un gran número de asuntos que podrían afectar a la seguridad de sus sistemas de manera negativa. Por ejemplo, los términos de uso del proveedor podrían NO permitir el escaneo de puertos, así como la evaluación de vulnerabilidades y pruebas de penetración. Además, deben tener en cuenta que los acuerdos de nivel de servicio podrían no incluir todos los servicios citados. El resultado es un hueco en las defensas del sistema, tal y como advierten desde la ENISA.

El cumplimiento de las normativas también podría ser un gran problema si el proveedor no puede ofrecer los niveles adecuados de certificación o el propio esquema de certificación no ha sido adaptado para estos sistemas en la nube. Una de las ventajas de los servicios cloud es que los datos pueden almacenarse en diferentes lugares, lo que permitiría cubrirles las espaldas en el caso de un incidente en alguno de estos centros de datos. En cualquier caso, también podría suponer un gran riesgo si los centros de datos están localizados en países con un sistema legal deficiente.

Otras áreas de preocupación, según el informe de la ENISA son las garantías de seguridad del fabricante; el fallo de los mecanismos que separan datos de diferentes empresas; la gestión de interfaces a las que pueden acceder los hackers o los datos no borrados apropiadamente o los propios empleados con malas intenciones. Para minimizar estos riesgos, el informe propone una lista de preguntas que las empresas deberían plantear a sus potenciales proveedores de servicios en la nube . Por ejemplo, qué garantía ofrece el proveedor para asegurar que los recursos del cliente están completamente aislados; qué programa de formación en seguridad tiene la empresa para sus empleados o qué medidas ha tomado para asegurar los niveles de servicio de terceras empresas.

Y es que, según la ENISA, un buen contrato puede minimizar los riesgos. Por eso, las compañías deberían prestar especial atención a sus derechos y obligaciones relacionados con la transferencia de datos, accesos a datos por imperativo legal o las notificaciones de brechas de seguridad, por ejemplo.

Sin embargo, el informe de ENISA no es todo pesimismo, pues también explica que los servicios en la nube pueden ser mucho más robustos, escalables y proporcionar unas defensas mucho más efectivas en lo que a costes se refiere frente a ciertos tipos de ataques. Por ejemplo, la capacidad de ubicar dinámicamente recursos podría proporcionar una mejor protección contra ataques DDoS.

fuente: csospain.es


Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s