Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Retos de privacidad y seguridad al adoptar la tecnología de nube

Al implementar la nube para la transformación del negocio, considere también los riesgos y desafíos de seguridad y privacidad que trae el uso de esta tecnología.

La implementación de las tecnologías basadas en infraestructura de nube en los entornos corporativos es hoy una realidad. Las numerosas ventajas que presenta este tipo de tecnología, en términos de ahorro de costos en infraestructuras TI, escalabilidad e incremento de la productividad han catapultado la implantación de estos sistemas. De esa forma, las convencionales opciones locales (on-premises) están dando paso a soluciones de software como servicio (SaaS) con base en la nube, que cubren aspectos tales como el almacenamiento de datos, el trabajo remoto y colaborativo, o una gran variedad de aplicaciones departamentales.

No obstante, la tecnología de nube también plantea una serie de riesgos y retos, en términos de seguridad y privacidad, que deben ser analizados antes de poner en manos de un tercero la estructura TI de tu organización. Entre ellos, tenemos:

  • Entornos compartidos: Las máquinas virtuales de su organización están conviviendo en el mismo servidor con las de otros tantos clientes del proveedor, lo que implica que no se dispone de la opción de instalar funcionalidades a nivel de host; que un eventual ataque contra un cliente, puede afectar al resto; o que, si la actividad de un cliente genera que el servidor en común fuera inhabilitado por cuestiones de seguridad, todos los clientes pueden perder el acceso.
  • Actualizaciones forzadas: Los cambios que nuestro proveedor estime oportuno realizar para mejorar la seguridad y calidad del servicio pueden suponer la pérdida súbita de funcionalidades críticas para su negocio, o la llegada de nuevas prestaciones que requieran la correspondiente evaluación de seguridad.
  • Ausencia de control sobre la implantación de políticas de seguridad: El acuerdo de nivel de servicios pactado con el proveedor no es un instrumento suficiente para garantizar que sus criterios se manifiestan en la adopción de medidas de seguridad adecuadas.
  • Posibles caídas del servidor: La diferencia con el uso un sistema propio radica en la falta de control sobre el fallo, la gravedad del mismo, las opciones de recuperación y el estado de este proceso. Valorar la importancia de su información, aplicaciones y/o servicios condicionará su alojamiento en un tipo de nube pública, privada o híbrida.
  • Deficiente gobierno de acceso e identidades: Una de las causas más frecuentes de las brechas de seguridad es la deficiencia en las medidas de control y gobierno de los accesos y la identidad de los usuarios. Este control de los accesos e interacción con la información que permite la infraestructura de nube pública se convierte en un nuevo y ambicioso reto.
  • Dificultad para el cumplimiento de las normativas de seguridad de la información: En el caso de querer disponer de un servicio de nube, un acierto puede ser recurrir a proveedores cuya legislación aplicable sea la misma que la de su organización, por lo que conocer la ubicación de las instalaciones le proporcionará un nivel de seguridad mayor. Debemos tener totalmente claras las garantías que dicho proveedor proporciona en cuanto al sometimiento a la legislación que su propia organización debe respetar.
  • Dificultad para realizar respaldos y restauración de datos: Por lo que será necesario realizar el respaldo de sus máquinas virtuales fuera de la nube, utilizando su propio centro de datos local o, al menos, un servidor en una nube pública distinta.
  • Impredicibilidad de los costos: Los modelos de facturación de los proveedores de nubes públicas tienen en cuenta múltiples variables de uso y recursos consumidos, tales como el volumen de almacenamiento, el ancho de banda requerido o el uso de la CPU.
  • Ausencia de evaluación de la seguridad del proveedor del servicio de nube: Dejar en manos del proveedor la seguridad de sus servicios y aplicaciones de TI puede conducir a un desastre informático de consecuencias graves.
  • Cesión de la propiedad de los datos alojada en los servidores: Este tipo de medidas suele aplicarse debido a que proporciona a los proveedores un mayor nivel de protección y, además, les confiere el derecho a explotar la información para crear nuevas fuentes de ingresos. Cuidado con la firma de un contrato de estas características.

La gestión de identidades, esa gran desconocida

Un ámbito determinante en lo que respecta a seguridad en el uso de tecnología y aplicaciones para el entorno profesional basadas en nube es la gestión de accesos e identidades, donde es crítico adoptar el enfoque adecuado ante las grandes vulnerabilidades que presenta la nube.

En este contexto, existe una creciente preocupación al respecto de la gestión de la información corporativa y del control del acceso al ecosistema de TI de la organización. Lo que también está sujeto a unos riesgos:

  • Incremento de usuarios, identidades y credenciales: El uso de la nube en entornos profesionales supone la multiplicación del número de usuarios por aplicación/sistema, así como de sus correspondientes credenciales de acceso. La implantación de una solución integral de gestión de identidades (IAM, en adelante) garantiza una normalización de las identidades, así como de los accesos a la información corporativa conforme a roles y perfiles predefinidos.
  • Deficiente política y malas prácticas en el uso de credenciales: Seguro que usted no es ajeno a prácticas tales como la conservación de contraseñas en un post-it o soporte similar, el envío de credenciales por la red, la utilización de las mismas credenciales entre usuarios y, por supuesto, la creación de contraseñas inseguras. Las soluciones IAM integran funcionalidades que garantizan unas políticas de contraseñas apropiadas en función de los niveles de criticidad del ecosistema corporativo, y sobre todo el inicio de sesión único (single sign-on) es el de mayor aceptación entre los usuarios.
  • Amenazas externas: La seguridad de la información también está sometida a un conjunto de ataques y amenazas cuando la gestión de accesos e identidades no se realiza eficientemente. Las soluciones de IAM incluyen toda una batería de funcionalidades destinadas a localizar e impedir los accesos de dudosa fiabilidad, como son: autenticación multifactor, atributos de geolocalización, de dispositivo, de verificación del sistema operativo, etc.
  • Peligro de la presencia de cuentas huérfanas: Si no se mantiene un correcto control sobre la creación de cuentas, y la provisión y desprovisión de usuarios, la modificación de su rol y perfil en la organización puede dar lugar a la acumulación de cuentas huérfanas.
  • Usuarios privilegiados: Es común que haya usuarios que requieran permisos especiales de acceso a información y/o sistemas críticos para la organización, para cubrir necesidades concretas de su tarea productiva. Las herramientas de IAM permiten un ágil aprovisionamiento de usuarios conforme estos varíen su relación con la organización, facilitando así la modificación o revocación de permisos de accesos a la información. Así, se eliminan drásticamente los peligros derivados de mantener permisos de acceso a los datos por personal no autorizado
  • El dilema de la seguridad y la productividad en el acceso a la información: La productividad de la tecnología basada en la nube está ligada al hecho de que los usuarios de una organización puedan identificarse y acceder de manera ágil a los sistemas corporativos y a la información contenida en ellos. No obstante, también es necesario que los accesos al ecosistema corporativo estén normalizados conforme a una política de seguridad corporativa que determine tanto los requerimientos, como los niveles de acceso a los sistemas, en función del rol y perfil que cada usuario tenga en la organización. Para esto, es crítica la puesta en marcha de una solución de IAM eficaz.
  • Problemas derivados de incidencias con los accesos: No disponer de sistemas centralizados y automatizados para la gestión de accesos e identidades supone que los departamentos de TI dediquen un porcentaje de su jornada a la gestión de los conflictos relacionados con los incidentes en este ámbito. La implantación de soluciones IAM en las organizaciones tiene una repercusión directa sobre la productividad interna, al mejorar los procesos de TI gracias a un sistema de autogestión y automatización, y reducir el número de incidencias relacionadas con el acceso a los sistemas corporativos de forma drástica.

Adicionalmente, la falta de control da lugar a otra serie de riesgos como la falta de monitorización de los accesos y las deficiencias en el cumplimiento normativo. Es clave realizar un seguimiento y registro de los accesos, así como el comportamiento de los usuarios una vez estos acceden a los sistemas. Para ello, hay que hacer efectivas las políticas de seguridad corporativas que establezcan los parámetros de normalización de las identidades (roles y perfiles) de los usuarios de la organización, así como sus permisos en función de los mismos, garantizadas a través de soluciones IAM.

En cuanto al cumplimiento, existen determinados sectores que, por la tipología de los datos que manejan, se ven obligados a certificar un correcto tratamiento de la información, por lo que deben someterse a auditorías de forma periódica. El uso de herramientas de IAM posibilita la ejecución de la normativa, así como las funcionalidades de analítica, reporte y notificación de la actividad relacionada con los accesos e identidades exigidos.

En definitiva, la productividad, la protección de datos y la seguridad no deberían ser conceptos enfrentados, pues es posible satisfacerlos y mejorar los resultados en el cumplimiento de todos los objetivos.

Sobre el autor: Ignacio Gilart es CEO de WhiteBear Solutions.

Investigue más sobre Cloud computing (Computación en la nube)

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close