Identifican las principales amenazas para el cloud computing

Investigación encomendada por HP orienta al sector empresarial frente a amenazas actuales y futuras respecto de los datos almacenados en la nube, brindando a la vez estrategias para asegurarlos. Cloud Security Alliance (CSA) y HP anunciaron los hallazgos de la nueva investigación que detallan las amenazas potenciales que rodean el uso de los servicios cloud.

El documento de investigación, titulado “Top Cloud Security Threats Report” es el resultado de una exhaustiva investigación de profesionales especialistas en seguridad de información en 29 empresas, proveedores de soluciones y compañías de consultoría expuestas a algunos de los más exigentes y complejos entornos cloud del mundo. Las principales conclusiones fueron presentadas en la Cloud Security Summit de la RSA conference.

“Los servicios cloud son claramente la próxima generación de tecnología de información que las empresas deben dominar. Tenemos una responsabilidad compartida para entender la amenazas de seguridad que acompañan los servicios cloud y aplicaremos las mejores prácticas necesarias para reducirlas”, afirmó Jim Reavis, Fundador de Cloud Security Alliance.

La investigación identifica las vulnerabilidades más urgentes que amenazan la obstaculización de las ofertas de servicios cloud para que no alcancen su potencial completo. Por ejemplo, las compañías deben estar concientes del “abuso y uso perverso de computación cloud”, que incluye amenazas como botnet Zeus y troyanos InfoStealing, software malicioso que ha comprobado efectividad especialmente en comprometer recursos sensibles privados en ambientes cloud.

Sin embargo, no todas las amenazas en esta categoría están arraigadas en una intención maliciosa. A medida que evoluciona la web social, más sitios dependen de Interfaces de Programación de Aplicaciones (APIs, por sus siglas en inglés), un conjunto de operaciones que permiten la interacción entre programas de software, para presentar datos de fuentes diferentes.

Los sitios que dependen de múltiples APIs frecuentemente sufren de “inestabilidad en seguridad de enlace” en el cual un API sin seguridad puede afectar adversamente un conjunto mayor de participantes. Juntas, estas amenazas encierran una combinación de vulnerabilidades existentes que son magnificadas con gravedad en entornos cloud así como también nuevas técnicas específicas para cloud que colocan datos y sistemas en riesgo. Amenazas adicionales delineadas en la investigación incluyen:

  • – Fuentes maliciosas con acceso a información.
  • – Vulnerabilidades de Tecnología Compartida.
  • – Pérdida/filtración de datos.
  • – Plagio de Cuentas/Servicio y Tráfico.

“A fin de reducir el riesgo de negocio asociado al servicio cloud, las compañías deben invertir tiempo y recursos para asegurar adecuadamente sus activos en los centros de datos”, afirmó Archie Reed, miembro del comité de CSA y especialista técnico jefe para servicios cloud en Secure Advantage de HP.

–>descargar documento Top Cloud Security Threats Report<–

fuente: diarioti.com

Anuncios

Cloud computing y virtualización, en el punto de mira de los ciberdelincuentes

De acuerdo con un estudio publicado por Trend Micro, ante el auge que está experimentando el cloud computing y las tecnologías de virtualización, los ciberdelincuentes están poniendo sus miras en estos entornos para dirigir sus ataques.

Las ventajas, especialmente en términos de ahorro de costes, que permite la adopción de tecnologías como el cloud computing o virtualización, tan en auge en estos momentos, están conllevando que los cibercriminales estén viendo en estos segmentos un filón destacable para introducir sus ataques. Tal y como apunta Trend Micro en su Informe de Amenazas para 2010, los delincuentes informáticos están al acecho para comenzar a atentar contra la seguridad en estos entornos.

Sin embargo, la evolución de las empresas hacia entornos de computación basados “en la nube de Internet”, así como en los virtualizados, no son los únicos que se van a ser objeto de ataques el próximo 2010. Según el estudio de Trend Micro, al fuerte apogeo de las redes sociales también las están convirtiendo en un claro objetivo para los ciberdelincuentes. Así, de acuerdo con esta firma, el creciente uso de estas redes y el incremento de las comunidades llevarán a que los delincuentes que operan en Internet destinen más esfuerzos a atentar contra estos sitios web, como ha ocurrido recientemente con Facebook y el robo de información personal del que han sido víctimas muchos de sus usuarios.

Otro de los aspectos que se apuntan en este informe es el que resalta cómo los ataques de malware están pasando de ser más globales a locales, con ataques dirigidos, una estrategia similar a la empleada por Conficker, el gusano que este 2009 ha sido una de las grandes amenazas para la seguridad de muchos equipos.

Junto a todo esto, Trend Micro también destaca otras tendencias que se verán a lo largo del próximo 2010, como el hecho de que los ataques de malware serán más sofisticados, cambiando su forma en pocas horas, lo que hará más difícil su detección y eliminación. Además, otro de los aspectos a los que habrá que prestar especial cuidado es al hecho de que, ahora, la profesionalidad de las amenazas por parte de los ciberdelincuentes hará que sólo una visita a un sitio Web sea suficiente para que un usuario esté infectado por un virus, con lo que habrá que tener mayor cautela a la hora de acceder a determinadas páginas de Internet.

Asimismo, otro de los puntos que no hay que olvidar según se apunta en este informe es que, ante el impacto que ha tenido el lanzamiento de Windows 7, los delincuentes también buscarán formas para explotar las carencias en seguridad que pueda tener el nuevo sistema operativo de Microsoft.

Ante estas amenazas, desde Trend Micro recuerdan la importancia que tiene el disponer de las últimas actualizaciones de seguridad, estar alerta y no abrir mensajes de correo electrónico de remitentes desconocidos, comprar en sitios web en los que se sepa a ciencia cierta que son seguros y, no olvidar no utilizar siempre la misma contraseña para acceder a diferentes sitios Web.

fuente: idg.es

La Agencia de Seguridad Europea advierte de los riesgos del cloud computing

Los usuarios del cloud computing tienen que hacer frente a múltiples problemas, como la pérdida de control sobre los datos o dificultades a la hora de cumplir las normativas, así como otros riesgos legales al mover los datos de una jurisdicción legal a otra. Así lo afirma un estudio realizado por la ENISA, European Network and Information Security Agency.

Esta agencia ha subrayado estos problemas, pues considera que son los que más serias consecuencias pueden tener para aquellos que apuesten por los servicios que ofrece el cloud computing.

ENISA ha examinado los activos que las empresas ponen en riesgo cuando apuestan por el cloud computing, incluyendo los datos de los clientes así como su propia reputación. Esta agencia ha analizado también las vulnerabilidades a las que los sistemas de cloud computing han de enfrentarse así como los riesgos a los que esas vulnerabilidades exponen a los negocios y las probabilidades de que lleguen a producirse.

Cuando una empresa pasa sus sistemas a los servicios basados en la nube, tienen que manejar y controlar, junto con el proveedor de servicios, un gran número de asuntos que podrían afectar a la seguridad de sus sistemas de manera negativa. Por ejemplo, los términos de uso del proveedor podrían NO permitir el escaneo de puertos, así como la evaluación de vulnerabilidades y pruebas de penetración. Además, deben tener en cuenta que los acuerdos de nivel de servicio podrían no incluir todos los servicios citados. El resultado es un hueco en las defensas del sistema, tal y como advierten desde la ENISA.

El cumplimiento de las normativas también podría ser un gran problema si el proveedor no puede ofrecer los niveles adecuados de certificación o el propio esquema de certificación no ha sido adaptado para estos sistemas en la nube. Una de las ventajas de los servicios cloud es que los datos pueden almacenarse en diferentes lugares, lo que permitiría cubrirles las espaldas en el caso de un incidente en alguno de estos centros de datos. En cualquier caso, también podría suponer un gran riesgo si los centros de datos están localizados en países con un sistema legal deficiente.

Otras áreas de preocupación, según el informe de la ENISA son las garantías de seguridad del fabricante; el fallo de los mecanismos que separan datos de diferentes empresas; la gestión de interfaces a las que pueden acceder los hackers o los datos no borrados apropiadamente o los propios empleados con malas intenciones. Para minimizar estos riesgos, el informe propone una lista de preguntas que las empresas deberían plantear a sus potenciales proveedores de servicios en la nube . Por ejemplo, qué garantía ofrece el proveedor para asegurar que los recursos del cliente están completamente aislados; qué programa de formación en seguridad tiene la empresa para sus empleados o qué medidas ha tomado para asegurar los niveles de servicio de terceras empresas.

Y es que, según la ENISA, un buen contrato puede minimizar los riesgos. Por eso, las compañías deberían prestar especial atención a sus derechos y obligaciones relacionados con la transferencia de datos, accesos a datos por imperativo legal o las notificaciones de brechas de seguridad, por ejemplo.

Sin embargo, el informe de ENISA no es todo pesimismo, pues también explica que los servicios en la nube pueden ser mucho más robustos, escalables y proporcionar unas defensas mucho más efectivas en lo que a costes se refiere frente a ciertos tipos de ataques. Por ejemplo, la capacidad de ubicar dinámicamente recursos podría proporcionar una mejor protección contra ataques DDoS.

fuente: csospain.es


Up or Down de la Nube…Cloud Computing

Es el término de moda en el sector de tecnologías de la información. El que más debate genera, con defensores y detractores enfrentados en dos bandos que parecen irreconciliables. Es lo que los anglosajones han bautizado como cloud computing o informática en la nube.

Ante la variedad de definiciones sobre el cloud computing, la avalancha de noticias y de proveedores que se han puesto a volar por las nubes, y las incertidumbres que genera, se ha elaborado una pequeña guía para aclarar conceptos sobre esta tecnología.

1. ¿Qué es el ‘cloud computing’?
Es un modelo que permite proveer, vía Internet y en tiempo real, servicios y productos tecnológicos, tanto a los consumidores como a las empresas. Un ejemplo sencillo: en vez de utilizar un procesador de textos que resida en el ordenador, el usuario se conecta vía web a una aplicación con la que redacta su documento, que luego se guarda en la nube de Internet.

2. ¿Acabará todo en la nube?
Algunos son muy críticos con el cloud computing, y lo ven como otra moda más de una industria muy dada a “inventar” términos reciclando tecnologías existentes (articulo relacionado). En el otro extremo, están quienes creen que es una revolución de tal calibre que, en el futuro, la informática se consumirá en pago por uso como ahora hacemos con el agua o la luz. “No es una moda, es la tendencia natural. No hay marcha atrás”, opina Carlos Gracia, director de Google Enterprise.

“Será difícil que se dé el caso extremo de que todo se base en entornos cloud computing”, aun asi se  prevé que el mercado potencial de cloud computing se duplique en los próximos cuatro años, hasta sobrepasar los 135.000 millones de dólares, 91.748 millones de euros.

3. ¿Dónde se puede aplicar?
Hay tres grandes ámbitos de actuación. El primero es el que se conoce como el software como servicio (SaaS en su acrónimo en inglés): las empresas no instalan aplicaciones en sus centros de datos, porque un proveedor se las suministra a través de Internet.

También existe la infraestructura como servicio (IaaS): las compañías, en un modelo de autoaprovisionamiento, pagan por el consumo que realicen de capacidad de almacenamiento o de computación en los centros de proveedores externos. Por último, se encuentra lo que se conoce como plataforma como servicio (PaaS), donde se provisiona, por ejemplo, una plataforma para programar aplicaciones. De los tres, es el primero el que más recorrido tiene a sus espaldas: en España, lo han adoptado un 27% de las empresas, según IDC.

4. ¿Me ahorro dinero?
Una empresa puede empezar a utilizar una tecnología sin necesidad de hacer una inversión inicial en infraestructura informática y software, puesto que se sigue el modelo de pago por uso. “Se paga únicamente por aquello que se necesita y se ahorra en costes de mantenimiento, tanto de hardware como de software necesario”.

Por ejemplo, Google Apps, las aplicaciones en la nube del gigante de Internet para empresas, que incluyen el correo electrónico Gmail. Los clientes pagan 40 euros anuales por cada usuario. “Estamos hablando de una solución entre 4 y 5 veces más barata que una tradicional”.

El grupo turístico Serhs tiene más de 1.000 cuentas activas en Google Apps, con las que se ha gastado un 70% menos respecto a otras soluciones. Los ahorros anuales, al contabilizar también ancho de banda, servidores, licencias de antivirus, etc., se han cuantificado en 50.000 euros.

Sin embargo, los ahorros no son siempre evidentes. “Es importante que, antes de mover cargas de trabajo a estos entornos, se haga un estudio de viabilidad técnica y de rentabilidad, para que la empresa vea si le sale a cuenta la inversión”.

5. ¿Es más flexible?

Es uno de los grandes atractivos del cloud computing. Éste fue uno de los motivos por los que la empresa española de seguridad Panda Security optó por utilizar una solución de gestión de relaciones con los clientes (CRM) de Salesforce.com, uno de los grandes proveedores de la nube.

“Con 12 filiales y 44 franquicias, el tiempo de implantación era el mejor. La decisión no se basó tanto en los costes como en el ahorro de tiempo en el despliegue. Además, la plataforma es flexible, lo que permite adaptar la aplicación estándar a nuestros procesos de negocio”.

6. ¿Es seguro?
Muchas empresas recelan de tener que alojar los datos en un entorno que comparten otras empresas y está controlado por un tercero. Además, ¿qué pasa si el servicio se interrumpe? “Se ha abierto un debate acerca de si las redes de provisionamiento van a ser públicas (Internet), o si se van a crear centros privados, en los que varias empresas compartan infraestructura para proveer servicios en la nube”.

Las empresas deberían evaluar las credenciales de seguridad del proveedor, conocer qué estándares sigue, a qué revisiones externas se somete y qué capacidades de recuperación dispone en caso de alguna contingencia.

Los proveedores deben ofrecer acuerdos de nivel de servicio. Pero, dado que el consumo se realiza a través de la nube, también el proveedor de comunicaciones tiene que ofrecer ese mismo nivel. “Esto puede ser realmente caro, disminuyendo el peso de uno de los principales factores de compra, como es la reducción de costes e inversión”, explica Alonso.

7. ¿Qué proveedores hay?
“El mercado está por definir y la cadena de valor no está clara”. Figuran los jugadores de Internet como Google o Amazon, las empresas de hosting, los operadores de telecomunicaciones como Telefónica, las empresas de tecnología como IBM o HP, y los proveedores de software como Salesforce.com o Microsoft.

El debate tecnológico del año

A favor

  • Permite utilizar un servicio tecnológico sin tener que hacer una inversión inicial.
  • Se paga únicamente por aquello que se necesita.
  • Flexibilidad a la hora de realizar actualizaciones.
  • Más facilidad para escalar la infraestructura.

En contra

  • Falta de cultura sobre qué supone el ‘cloud computing’.
  • Bajo nivel de confianza en la privacidad de los datos.
  • Dudas acerca de la seguridad de los sistemas.
  • Sensación de pérdida de control y gran dependencia del proveedor.-

cloud-question-mark-cloud-computing

Cloud computing, el mejor antídoto contra la crisis

Según un estudio de IDC, las empresas deben utilizar únicamente cloud computing como medida para sobrevivir en tiempos de crisis.

Un estudio de IDC revela que los servicios en la nube sólo proporcionan ahorro de costes a corto plazo. Según la consultora, en tres años de aplicación de un modelo de software como servicio en una gran empresa tendrá un coste superior a una gestión propia de los sistemas.

Matthew McCormack, señala: “Los costes de cloud deben disminuir mucho más para convertirse en una opción real a largo plazo. Actualmente son una alternativa viable en el corto plazo para aquellas empresas con costes elevados”. “La gestión del centro de datos debería ser realmente mala para que el cloud computing sea un opción rentable en el largo plazo”, agregó.

Según el analista, antes de dar el salto al cloud computing, las empresas deberían examinar los costes operativos correspondientes a los últimos cinco años, para conocer la carga de trabajo de su centro de datos y tener una visión detallada a largo plazo.

Hasta ahora las empresas estaban preocupadas sobre temas como la seguridad, la disponibilidad y el ancho de banda, y “tenían razón”, señaló McCormack, por lo que apostaron por la encriptación, control de acceso y usuabilidad. “Pero también debían ser conscientes de las cuestiones reales de negocio en torno a servicios en la nube antes de dar el salto a este nuevo entorno de trabajo”, comentó McCormack.

Por último, insistió en el “busque y compare” las propuestas de los proveedores en cloud computing, ya que no hay un claro dominador, y conseguir el mejo precio.

fuente: idg.es

cloud-computing- servers

MIS NOTAS

MIS NOTAS es un apartado en donde se trata de abarcar, por medio de posts, los temas mas sobresalientes e interesantes a lo que Seguridad informatica se refiere.

Estos “post” son recopilación de la experiencia profesional del autor asi como de “recortes” de información de artículos, blogs, e-magazines, etc, dentro del mundo de la SegInfo, tratando de enfocar de forma sencilla y rápida la mejor manera de vincular la vida cotidiana con la tecnología pasando por la seguridad informática, haciendo la experiencia del lector mas amena.

Listado de Mis NOTAS publicadas:

Dispositivos MOVILES.

Redes SOCIALES Y PRIVACIDAD.

REDES.

Seguridad INFORMATICA.

Navegacion SEGURA.

Seguridad en GENERAL.

Próximas NOTAS relacionadas con:

  • Politicas de Seguridad
  • Informatica Forense
  • Planes de Continuidad de Negocio
  • Recuperacion de Desastres
  • Seguridad en casas de apuestas online
  • Seguridad en la virtualizacion
  • y otros…

by komz

5 lecciones sobre Cloud Security by Microsoft

Cuando se habla de Cloud Computing se suelen generar vivos debates sobre si el paradigma es o no revolucionario, si realmente aporta tanto como dice o si se trata de una moda pasajera (muy recomendable, para todos los interesados en Cloud Computing seguir Nubeblog). Independientemente de estas disquisiciones, uno de los aspectos que generalmente se obvian es la seguridad asociada a este tipo de servicios.

Hace poco cayó en mis manos un artículo en la que se hablaba sobre el punto de vista de la seguridad que ha aplicado Microsoft a sus servicios Cloud llamados Azure, tal vez el hecho de haber sido un jugador tardío le ha permitido diseñar con mas tino aspectos relacionados con la seguridad.

Haciendo un resumen libre sobre el artículo, en el se destacan los cinco planteamientos en los que Microsoft ha diseñado la seguridad de sus productos:

  • Entender los riesgos asociados al Cloud Computing y explicarlos sin tapujos: En vez de optar por una estrategia de venta tipo ‘mercado de coche usado’ haciendo hincapié en las bondades del producto, Microsoft se ha tomado en serio el hecho de que un escenario cloud tiene sus implicaciones de seguridad y que el cliente debe ser consciente de ello
  • Cumplir estándares: Aunque suene un poco extraño leer eso de Microsoft, parece que en la compañía entienden que los estándares y las métricas de seguridad están diseñadas y escritas por un motivo y cumplirlas, es beneficioso para todos
  • Estandarización de plataformas: Aquí Microsoft afronta sin tapujos uno de los problemas del Cloud Computing, la ausencia de interoperabilidad de plataformas, trabajar con Amazon o Google probablemente te convierta en el temido ‘cliente cautivo’ debido a que no existe interoperabilidad mutua.
  • Privacidad y Seguridad al mismo nivel: Cuando se habla de seguridad muchas estrategias se centran en la fortificación y la implementación de controles de acceso, pero se obvia un aspecto bastante critico: la privacidad. Parece que Microsoft se ha tomado en serio ambas cosas
  • Modelos de seguridad diferentes para escenarios diferentes: Es lógico que un servicio de correo electrónico tenga un modelo de seguridad parametrizado para su función y otro de tipo Office Online tenga otras consideraciones. Múltiples políticas para múltiples servicios.

Parece que Microsoft sigue sumando security-points

fuente: securitybydefault.com

cloudcomputing