Las empresas han encontrado en la nube la plataforma ideal para montar sus operaciones, lo que ha detonado que la industria del cloud computing crezca exponencialmente.
En su informe Cloud Vision 2020: The Future of the Cloud Study, la firma de software LogicMonitor, predice que durante este año, el 83% de las cargas de trabajo empresariales estarán en la nube.
El uso de la nube ofrece varios beneficios como el acceso desde cualquier punto con internet, así como administración y escalabilidad; no obstante, la nube también presenta ciertos peligros respecto a la seguridad. Antes, estos riesgos se centraban en sectores como la pérdida de datos, malware o denegación de servicio; sin embargo, los nuevos riesgos de seguridad se han desplazado a decisiones tomadas en torno a la estrategias e implementación de cómputo en la nube, como la migración de softwares propios a los proporcionados por terceros.
Para mitigar los riesgos de seguridad en el cómputo en la nube, NDS Cognitive Labs enlista cuatro recomendaciones:
1. Filtración de datos
Una violación de datos se refiere a cualquier ataque de ciberseguridad en el que una persona sin autorización accede, usa y trafica información confidencial. En ciertos casos es complicado para el usuario comprobar las prácticas de gestión de datos de su proveedor en la nube, para tener certeza de que sus datos son gestionados conforme a la ley.
Por ello, es recomendable dejar claro al proveedor que los datos proporcionados tienen cierto valor y las consecuencias de su pérdida mediante un contrato. Otra técnica es el cifrado de datos, aunque esto puede obstaculizar el rendimiento del sistema, lo que se traduce en aplicaciones más lentas.
2. Ataques internos
Un infiltrado puede ser la peor amenaza para un a empresa pues tiene mayor facilidad de acceso a la red interna. Al no tener que entrar a las redes privadas virtuales (VPN), pueden entrar a los sistemas informáticos y a los datos confidenciales.
Los daños colaterales que ocasiona esta clase de ataques, son la pérdida de información, filtración de documentos con propiedad intelectual, frenos en la productividad de las empresas que pueden costarles millones de dólares. Un empleado interno o un infiltrado no tiene que pasar por redes privadas virtuales (VPN), mientras que, por tener acceso a los servidores de la empresa, pueden entrar directamente a sistemas informáticos, datos confidenciales, y redes. Lo que desencadena la pérdida de información de propiedad intelectual y poca productividad debido a que se comprometen los sistemas de la empresa.
3. Interfaces inseguras y API
Los proveedores de servicios Cloud desarrollan un conjunto de interfaces de programación (API) para que los usuarios puedan interactuar con su infraestructura tecnológica. Por ello, la seguridad del servicio en la nube depende de que también esté desarrollada la API. Es por esto que tienen que diseñarse para evitar cualquier intento de violar los niveles de seguridad.
Uno de los aspectos clave de seguridad de los servicios en la nube, se encuentra en las API. Esta consiste en un código que permite que dos programas de software se comuniquen entre sí. El API es uno de los elementos diferenciales que ofrecen los proveedores, por lo que si no cuentan con blindaje, expone a los empresas a varios problemas relacionados con la confidencialidad, disponibilidad, integridad y responsabilidad de los datos.
4. Falta de arquitectura y estrategia de seguridad en la nube
Cuando las marcas mudan su infraestructura a la nube pública, el desafío principal es implementar la seguridad adecuada para protegerse contra los ataques cibernéticos. Pues éstos pueden llevar a pérdidas financieras, daños a la reputación de la empresa, multas o problemas legales.
Esto puede ser posible siempre y cuando se delimite que su contrato le permita auditar a sus proveedores de cómputo en la nube, ya que si los acuerdos carecen de esta disposición, sus manos pueden estar atadas si hay un incidente. Por otro lado, los grandes proveedores esta tecnología están rechazando estos requisitos. Una solución es evaluar críticamente la metodología de auditoría desarrollada por el proveedor.