Principales preocupaciones en torno a la seguridad en la nube

Se dice que a menudo los Directores de TI pasan por alto la seguridad de las nubes privadas y que se preocupan más por la seguridad de la nube. Cuando hablamos de la seguridad de un conjunto de sistemas, solemos referirnos a las prácticas de administración implementadas para ellos de forma colectiva, no solo a tecnología, que por si sola es insuficiente. Cuando se considera un modelo de nube pública, privada o híbrida se tienen que medir aquellas prácticas que sirven para cada caso concreto, no solo una lista de estándares tecnológicos.

Se cree que las nubes públicas podrían ser más seguras que las nubes privadas porque, por definición, las nubes públicas tienen que aplicar un conjunto consistente de prácticas de seguridad.

Para saber qué estándares de nube necesita una organización, hay que preguntarse qué tipo de nube o combinación se busca. ¿Se trata de una simple virtualización, PaaS, SaaS u otra? Los estándares suelen estar escritos para satisfacer un tipo de nube y un solo caso empresarial. Los proveedores pueden estar certificados para una amplia gama de estándares, pero si no son adecuados para un uso concreto no son relevantes, no hay que dejarse cegar por una lista impresionante de certificaciones.

Para elegir los productos cloud adecuados, una organización tiene que entender qué uso quiere hacer de ellos y también cómo quiere gestionar los servicios cloud una vez estén implementados. 

Si se quiere un control administrativo hay que estar seguro de que esto será posible. Como por ejemplo, nuestra solución Steelhead Cloud Accelerator, que ha sido desarrollada en colaboración con Riverbed, combinando la mejor optimización de Internet pública de Akamai con la mejor optimización de red de área extensa (WAN) privada, todo controlado mediante una caja Riverbed colocada en las instalaciones del cliente.

Las organizaciones tienen que verificar y entender las medidas de seguridad que ofrecen los proveedores cloud. No es recomendable pedir a un proveedor que desarrolle soluciones únicas para ser implantadas en una organización. Un proveedor puede estar dispuesto a hacer algo para todos sus clientes pero no lo va a hacer solo para una organización aunque esté incluido en su contrato. Incluso si se implementa, probablemente no será sostenible a largo plazo, porque no forma parte de las prácticas principales ofrecidas a todos los clientes. Esto significa que puede convertirse en un punto débil en la seguridad. 

Preocupaciones seguridad en la nubeHay que obligar a los proveedores que nos faciliten sus estructuras de seguridad y control, no especificar lo que queremos. Elija la empresa que le ofrece lo que quiere como práctica estándar para todos los clientes.

Estas son las cinco primeras amenazas para la seguridad de la nube de las que las organizaciones deberían preocuparse:

1. Denegación de servicio: A medida que las empresas trasladan un mayor número de sus operaciones al mundo online y dependen más de su sitio Web para interactuar con sus clientes, distribuir datos y realizar ingresos directos, se incrementa el impacto de una caída del sitio Web. En los últimos años, esto ha sido una de las primeras amenazas debido a tres factores principales: la proliferación de banda ancha de alta velocidad, la capacidad para creadores de malware de amasar muchos ordenadores en un BotNet, y el auge de actores caóticos que perturban los sitios para conseguir publicidad. Las capacidades de las herramientas de ataque y del volumen total del ancho de banda disponible para los atacantes significan que esto seguirá siendo una importante amenaza.

2. Fraude: Desde personas que desbaratan los contenidos de un sitio Web para establecer su propio escaparate ilegítimo hasta atacantes que utilizan un sitio de comercio electrónico como modo de robar tarjetas de crédito e intercambiarlas por productos, el fraude afecta a casi todas las empresas que hacen negocio en Internet. Aunque hay maneras de separar a los estafadores de los usuarios legítimos, suelen requerir un importante volumen de potencia de procesamiento que ralentiza la experiencia del usuario.

3. Robos de datos: Debido a que las empresas almacenan datos –desde la información de las tarjetas de crédito hasta los datos sobre la salud y la propiedad intelectual – en aplicaciones Web, los atacantes atacan ahora los sitios Web y la infraestructura subyasubyacente para acceder a grandes volúmenes de datos a la vez.

4. Malware de Sobremesa: Esto afecta las empresas de forma bilateral: los atacantes consiguen acceso a un ordenador de sobremesa de un empleado de la compañía y utilizan sus privilegios para atacar a los proveedores de la empresa o a los recursos internos de gestión del conocimiento, o los atacantes consiguen acceso al ordenador de sobremesa de un cliente para ver los datos a los que el cliente tiene acceso en el sitio Web de la empresa. Como el peor ejemplo, el troyano Zeus toma el control del navegador Web de un usuario y lo utiliza para transferir fondos desde la cuenta bancaria de la víctima a la del atacante.

5. Tecnologías Perjudiciales: Aunque no son necesariamente amenazas, tecnologías tales como el cloud computing, las aplicaciones móviles y BYOD cambian las “reglas” que las empresas utilizan para securizar sus datos y sitios. Dichas tecnologías son inevitables y el equipo de seguridad en lugar de contestar: “No” ha de comunicar al usuario: “Sí, puedes hacerlo pero éstos son los riesgos y así es cómo los podemos gestionar.” Esto ayudará a su empresa a crecer para enfrentarse a nuevos retos.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper