¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores

El uso de la nube o cloud computing lleva asociados amenazas y riesgos que es necesario tener en cuenta y gestionar. Su conocimiento y su gestión van a hacer posible mantener el control sobre la información que debe permanecer protegida y disponible en cualquier momento.

Toda la información que se recibe, se genera o se conserva en la empresa en el desarrollo de su actividad son activos de negocio, de conocimiento , intelectuales.

Parte de esta información se almacena durante un tiempo porque supone una evidencia de que se ha realizado una transacción comercial o profesional, es decir, está sujeta a algún tipo de obligación legal. Por ejemplo los contratos de servicios o de personal, las facturas, presupuestos, etc.

Esta información requiere un tratamiento específico durante todo su ciclo de vida, ya que se deben preservar sus propiedade s de autenticidad, fiabilidad y usabilidad y en algunos casos confidencialidad . Pueden ser ficheros de documentos, hojas de cálculo o PDF, bases de datos, formularios web, archivos de imágenes, video o multimedia, archivos CAD, XML, SMS, páginas web, archivos de log, etc. Además si se usan servicios en la nube es fácil que estén gestionados desde todo tipo de dispositivos: PC, portátiles, tabletas o móviles. Por eso si se utilizan servicios en la nube hay que cerciorarse que se conservan estas propiedades esté donde esté la información.

Amenazas

Las amenazas dependen del tipo de servicio contratado y de su forma de contratación y de despliegue. También será distinta la forma de afrontarlas según el grado de control sobre el servicio que recae en el proveedor y en el cliente acordado en el Acuerdo de Nivel de Servicio (SLA). Por ejemplo, la responsabilidad de hacer backup o la de actualizar las aplicaciones pueden recaer en el proveedor o en el cliente (la empresa) del servicio en la nube dependiendo del modelo contratado. No obstante a pesar de las diferencias, las más importantes son:

Accesos no autorizados

Si proveedor y cliente no toman conjuntamente las medidas de seguridad adecuadas, no habrá
posibilidad de controlar los accesos a la información de la organización. Los no autorizados pueden provocar robo de datos, inyección de código malicioso, etc.

Amenazas internas

Empleados insatisfechos o ex empleados pueden provocar situación es de riesgo si no se gestionan los permisos y privilegios de acceso. Por ejemplo cuando algún trabajador que usa un servicio en la nube deja la empresa (por fin de contrato o por despido), se debe notificar al proveedor de servicios en la nube su baja para evitar que sigan teniendo acceso a la información.

Interfaces inseguras

Si las interfaces que proporciona el proveedor para acceder a la plataforma en la nube no son del todo seguras y presentan fallos de seguridad, estos pueden ser explotados por terceros para acceder a nuestra información.

Problemas derivados de uso de las tecnologías compartidas

Si contratamos una infraestructura compartida existe la amenaza de que por un fallo de seguridad usuarios de otras empresas puedan acceder a nuestra información.

Fuga de información

Como resultado de un ataque de ingeniería social o por una infección con malware, un delincuente
puede conseguir que algún usuario envíe información confidencial. También en el caso de que las operaciones de transferencia de datos no estén cifradas puede producirse una fuga de información.

Suplantación de identidad

Si los ciberdelincuentes consiguen, por ingeniería social, fuerza bruta o descuido, las credenciales de algún usuario podrán acceder a la plataforma suplantando, pudiendo manipular la información, actuar en su nombre, etc.

Desconocimiento del entorno

Si el personal encargado de implantar las políticas de seguridad no conoce el entorno de la nube, las políticas están mal configuradas y no serán eficaces.

Ataques de hacking

Suceden cuando una persona maliciosa intenta robar o acceder a la información que maneja alguno de los empleados de nuestra organización o el administrador de la plataforma.

Riesgos

Las amenazas pueden transformarse en incidentes si se dan las circunstancias para ello, provocando daños en la reputación y pérdidas económicas. Para ser consciente de estas circunstancias es necesario realizar una evaluación de los riesgos que afectan al servicio que vamos a contratar para así poder poner las medidas adecuadas para tratarlos.

De las características de los servicios en la nube y conociendo las amenazas, se derivan estos riesgos que hay que valorar para darles el tratamiento adecuado.

Acceso de usuarios con privilegios

Este riesgo, pérdida de confidencialidad, integridad e incluso disponibilidad, aparece cuando un empleado con privilegios de administrador accede cuando no debería o actúa de forma maliciosa (empleados descontentos por ejemplo) alterando datos o configuraciones. También es posible que se den privilegios por error a empleados que no deban tenerlos y estos por desconocimiento provoquen daños.

Incumplimiento normativo

Este tipo de riesgos, que puede tener consecuencias administrativas o penales, aparece cuando el proveedor no cumple, o no nos permite cumplir con nuestras obligaciones legales. Por este tipo de infracciones nos podemos enfrentar a sanciones legales.

Desconocimiento de la localización de los datos

Cuando se contratan servicios a un proveedor que aloja los datos en un Centro de Datos del cual se desconoce su ubicación, se pone en riesgo la seguridad de los mismos al desconocer la legislación de otros países. Por ejemplo, si se tratan con datos de carácter personal, en caso de alojarse fuera del Espacio Económico Europeo es necesario que se proporcionen las garantías jurídicas necesarias sobre la privacidad de los mismos.

Falta de aislamiento de los datos

En los servicios en los que la empresa contratante comparte la infraestructura en la nube con otras, es necesario que el proveedor gestione que los datos de las distintas compañías no se mezclen y que cada una sólo tenga acceso a los suyos.

Indisponibilidad del servicio en caso de desastre o incidente

Si el proveedor sufre un incidente grave o un desastre y no tiene un plan de continuidad por ejemplo, los servicios y los datos replicados en otro centro de datos, no podrán seguir dando servicio.

Carencia de soporte investigativo

En caso de que ocurra un incidente, es necesario revisar los accesos a los datos para saber qué ha ocurrido. En este caso, no se podrá actuar si el proveedor no garantiza el acceso a los logs o registros de actividad.

Viabilidad a largo plazo

Existe el riesgo de que las condiciones del contrato sufran alguna modificación debido al cambio de estructura del proveedor, de la alta dirección, a la entrada en situación de quiebra del mismo o a que decida externalizar parte de sus servicios. Por ello es recomendable asegurarse el acceso a los datos y su recuperación.

¿Cómo reducir los riesgos?

Tanto si se contrata en la nube un servidor de correo, un servidor web, un CRM, un ERP en la nube o un servicio de almacenamiento como si se decide contratar capacidad de proceso para instalar las propias aplicaciones de una empresa, se debe trasladar la seguridad que exigida en las instalaciones en el local de la empresa contratante a la nube. No olvidar que los activos de información siguen siendo igual de confidenciales, tienen que mantenerse íntegros y estar disponibles cuando los necesites.

La siguiente ilustración muestra algunas estrategias para mitigar los riesgos que, en su mayoría, van de estar reguladas por el contrato y los acuerdos de nivel de servicio o SLA.

nube

Figura 1 – Estrategias para mitigar riesgos

Adaptado por la división consultoría de EvaluandoCRM.com

 

¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores