arbol de noticias logo

Árbol de Noticias

La información al alcance de todos

 

Asociación de Internautas

Tanto la privacidad de los datos empresariales como los equipos de seguridad son claves a la hora de definir las políticas de protección de la información. Sin embargo, cuando los datos rompen las barreras y salen de ese entorno de red seguro en la organización, saltando a la nube pública, resulta mucho más fácil perder el control y la capacidad de hacer cumplir las políticas de seguridad.
1. Falta de políticas de seguridad que se extiendan a la nube.

Tanto la privacidad de los datos empresariales como los equipos de seguridad son claves a la hora de definir las políticas de protección de la información. Sin embargo, cuando los datos rompen las barreras y salen de ese entorno de red seguro en la organización, saltando a la nube pública, resulta mucho más fácil perder el control y la capacidad de hacer cumplir las políticas de seguridad.

Es un hecho: en una implementación de nube pública, es inevitable ceder parte del control al proveedor del servicio cloud. En pocas palabras, es posible perder la gobernabilidad de los datos, extendiéndose a todos sus proyectos en cloud. Por eso son tan importantes los acuerdos de nivel de servicio (SLA), aunque pueden resultar insuficientes para cubrir esta potencial brecha de seguridad.

2. Sobre-exposición de los datos en uso.

El ciclo de vida de los datos de la nube incluye tres fases: en reposo, en tránsito y en uso. Las organizaciones necesitan centrarse en la protección del ciclo de vida completo de datos porque cuando éstos están en uso, se han cargado en un proceso e encuentran en la memoria del programa que se ejecuta. Cuando se encuentran en este estadio de procesamiento, se encuentran desprotegidos a pesar del ?cifrado en reposo? que puede proporcionar el proveedor de servicios cloud.

Así no sorprende que exista una creciente preocupación por la seguridad de datos en uso, dado que están apareciendo ataques específicamente diseñados para atacar en esa fase. Un ejemplo de estos ataques es, sin ir más lejos, Heartbleed, que explotaba una vulnerabilidad en OpenSSL.

3. Falta de evaluación de la seguridad del proveedor de servicios cloud.

Muchas empresas basan su seguridad prácticamente en exclusiva en su proveedor de servicios cloud y no lo evalúa correctamente. Se producen muchas brechas entre lo que se compromete en un SLA y lo que realmente se está ofreciendo y, créanme, en caso de brecha de seguridad el roto puede ser tal que no habrá indemnización que lo compense. Gartner ya ha documentado en un estudio que, especialmente en SaaS, los niveles de seguridad suelen ser inadecuados.

4. El incumplimiento de la normativa.

No olvide evaluar si su proveedor de servicios cloud cumple con todas las regulaciones previstas en la ley, si está dando cobertura a las normativas de protección de datos y la legislación financiera de su país. En este sentido, como en el anterior, es muy recomendable someter a su propio proveedor a auditorías externas que aseguren que todo está en orden.

Víctor Domingo

Presidente de la Asociación e Internautas

http://www.internautas.org/