Si la seguridad de los datos cuando el software es un servicio, también llamado SaaS, no está completamente garantizada por el proveedor del servicio, se debería pedir al proveedor de este servicio que por lo menos nos ponga al tanto de cómo se realiza la gestión para subsanar los riesgos expuestos posteriormente, para saber a qué atenerse en caso de que suceda.
Almacenamiento de datos
El requisito fundamental es que el proveedor, cuando el software es un servicio (SaaS), mantenga múltiples usuarios sin que unos vean los datos de otros, debido a esto existe un alto riesgo que los datos alojados en otra instancia pero en el mismo servidor se vean comprometidos también.
Con la finalidad de asegurar que los datos tengan una alta disponibilidad, redundancia y copia de seguridad, el proveedor de servicios se ve en la necesidad de duplicar los datos y almacenarlos en otros países. Tiene un alto grado de riesgo que la información sensible sea filtrada a partes inesperadas, los datos en otra ubicación pueden viajar a través de fronteras. Sin embargo, en algunos países, la ley establece que cierto tipo de datos sensibles no se les permite cruzar la frontera, y en tiempos de emergencia el gobierno tiene el derecho de invocar el sistema de registro para comprobar la entrada y salida de tráfico, esto es considerado como una gran amenaza a la confidencialidad de los datos de los usuarios.
Del mismo modo, cuando los usuarios toman la decisión de ya no emplear SaaS, se supone que los datos de los usuarios deben ser completamente destruidos y que no puedan ser recuperados por ningún medio. No obstante, el medio ambiente SaaS complica este panorama porque como se mencionó anteriormente, los datos de los usuarios podrían ser replicados en varias partes del mundo, afirmando que se hace esto para mantener la disponibilidad, redundancia o la copia de seguridad. No hay garantía de que todos los archivos sean eliminados, se puede encontrar múltiples copias de datos por el almacenamiento en múltiples ubicaciones.
Puede suceder que algunos discos de copia de seguridad o de otros medios de comunicación se dejan olvidados en algún lugar que no están conectados con el medio ambiente de SaaS, por lo que se podría deducir que los métodos tradicionales tales como la destrucción física resulta ser obsoleta en la plataforma SaaS.
Para protegerse contra la pérdida ocasional de datos cuando el software es un servicio (SaaS),es que el proveedor adopte cifrado de datos siendo considerada como una buena solución a este problema. Este método se refiere a los cálculos matemáticos y algoritmo que convierte el texto sin formato a texto cifrado, que no pueda ser leída por usuarios no autorizados, este es utilizado con el fin de mejorar la confidencialidad de los datos alojados en la base de datos. Sin embargo, las técnicas de cifrado tienen su propio conjunto de desafíos, incluyendo la gestión de claves, el uso correcto de los algoritmos de criptografía y las bibliotecas.
Control de acceso a los datos
La violación de la seguridad o la privacidad puede venir del socio de confianza en el interior, donde por negligencia o por alguna otra razón, causan la pérdida o fuga de datos, también puede originarse a partir de los atacantes maliciosos externos que tengan la intención de explotar la debilidad del sistema y beneficios de la misma.
En este caso, el proveedor debe garantizar que el acceso a los datos sólo se limitará a personal con autorización de acceso mediante el control de quién puede acceder a qué tipo de información en la base de datos.
Por lo general, el control de acceso de base de datos está establecido por los administradores autorizados a través de la consola del sistema de gestión de base de datos segura o interfaz.
Algunas veces la empresa cliente, para que sus datos estén seguros, solicita que el proveedor permita a la empresa adherir a la aplicación SaaS sus propias políticas de acceso, por lo tanto, el software es un servicio (SaaS), los proveedores deben ser capaces de incorporar estas políticas específicas en sus propios ajustes de control de acceso, en caso que el cliente logre que los datos estén protegidos con sus políticas particulares de acceso, el proveedor se verá libre de toda responsabilidad, ya que el cliente tendrá esta competencia a su cargo. Sin embargo debe ser considerado que los usuarios no tienen las instalaciones al nivel de seguridad de un proveedor el software es un servicio (SaaS).
Copia de seguridad y recuperación de datos
La corrupción de datos, fallos de hardware y fallas en los datos es posible en una base de datos, los clientes de SaaS son totalmente dependientes de los proveedores de este modelo para realizar la copia de seguridad y recuperación de datos. Será devastador para los clientes sufrir una pérdida de datos ya que esto se ve reflejado en la pérdida de ingresos.
La responsabilidad de asegurarse que cuando se produce un accidente estén disponibles algunas contramedidas para llevar la base de datos al estado anterior y minimizar el impacto del accidente, recae sobre los proveedores el software es un servicio (SaaS).
Integridad de los datos
La integridad es uno de los elementos más críticos en cualquier sistema, significa proteger los datos contra accesos no autorizados, eliminación y modificación por parte de un intruso y da la seguridad para garantizar la transmisión de datos desde el origen al destino, refiriéndose a mantener y garantizar la exactitud y consistencia de datos a través de todo su ciclo de vida.
La integridad de los datos puede verse comprometida por errores humanos cuando son introducidos en la base de datos o cuando los datos se migran de forma inapropiada de un servidor a otro. Los errores de software, hardware, virus y los desastres naturales pueden afectar el compromiso de mantener la integridad de los datos.
El proveedor de servicios debe asegurar que los datos se transmiten en un sistema seguro y que son reales. El sistema transaccional de datos debe seguir las propiedades de atomicidad, coherencia, aislamiento y durabilidad para asegurar la integridad de los datos. La mayor parte de la base de datos utiliza estas propiedades para asegurar la transacción de datos y mantener la integridad de los mismos.
Transferencia de datos
El canal de transmisión que se establece entre los proveedores de SaaS y los usuarios no siempre se considera seguro en el entorno SaaS.
Los datos se transmiten en un gran número de paquetes y fluyen a través de numerosos dispositivos de otras infraestructuras antes de llegar al destino.
Por lo tanto el proceso de transmisión del flujo de datos puede estar sujeto a las amenazas de la red, tales como ataque DNS, ataque MITM (man-in-the middle), suplantación de IP, escaneo de puertos y ataques sniffer.
El proceso de transmisión de datos, incluye la parte remitente y la parte de recepción, por lo que la identidad de verificación entre ellos se convierte en esencial y deben asegurar que los datos transferidos no han sido modificados por un tercero.
Los riesgos de seguridad para los datos en tránsito han aumentado debido al espionaje, se lleva a cabo con sigilo esta tarea y es difícil de detectar que la red ha sido víctima de espionaje por los piratas informáticos.
Los atacantes pueden hacer uso de espionaje para interceptar la sesión TCP, luego los atacantes pueden buscar el número de secuencia de las comunicaciones en curso y forjar un segmento falso con una carga maliciosa o hacerse pasar como la dirección IP del remitente para hacer el acto aún más malicioso.
Fuente: Universidad Nacional de Loja, “Análisis de la seguridad de datos en la arquitectura de Software como Servicio (SaaS)”, Esther Elizabeth Jaramillo Malla.
Adaptado por la División Consultoría de EvaluandoCloud.com