Conoce y evita los riesgos y amenazas en cloud computing

Evitar riesgos y amenazas en cloud computing

A menudo, los empleados se registran en aplicaciones en la nube para poder ser más eficaces en su trabajo sin el conocimiento ni la autorización del equipo de TI. ¿Eres consciente de los riesgos y amenazas en cloud computing?

Esta práctica es más habitual en aquellas empresas que no cuentan con un equipo de TI especializado.

Las pequeñas empresas suelen adoptar con mayor rapidez las tecnologías en la nube, pero la mayoría lo hacen sin tener en cuenta los riesgos de seguridad que corren sus datos cuando se almacenan en la nube. Este tipo de empresas confían plenamente en los proveedores de servicios y apps en la nube, sin ser en absoluto conscientes de la forma en la que se guardan, se protegen o se usan sus datos.

Aquellas empresas que se registran en determinados servicios en la nube sin conocer las condiciones o sin tomar medidas de seguridad adicionales, como la encriptación o la copia de seguridad, se exponen a un riesgo aún mayor de sufrir pérdidas de datos, ciberataques y penalizaciones por incumplimientos de las normativas.

En este artículo se explican los principales riesgos y amenazas en cloud computing, los procesos que pueden exponer a la empresa a peligros derivados de este sistema y las medidas que se pueden tomar para mejorar la protección.

Significado de cloud computing

La computación en la nube (cloud computing) se refiere a la prestación de servicios de computación en Internet, como aplicaciones de software, redes, almacenamiento o servidores.

A diferencia de lo que ocurre con los sistemas tradicionales, en los que el alojamiento de los datos, los servidores y las aplicaciones son locales, a través del cloud computing los proveedores de servicios en la nube (CSP, por sus siglas en inglés) alojan los datos en sus propios centros, que se ubican en un lugar diferente. Es posible acceder a estos datos a través de Internet.

Entre las ventajas de la computación en la nube figuran:

  • El ahorro en costes relacionados con equipos de TI
  • Un espacio de almacenamiento que es posible ampliar cuando sea necesario 
  • Un modelo de suscripción de pago por el que se paga únicamente aquello que se usa

También es posible recibir asistencia de profesionales especializados en la materia para gestionar las operaciones de TI, lo que elimina la necesidad de contar con un equipo de TI completamente desarrollado que pueda encargarse de la instalación y el mantenimiento de los sistemas. Al mismo tiempo, los riesgos y amenazas en cloud computing se incrementan, ya que se están compartiendo los datos con un centro que también utilizan otras empresas. No existe control alguno ni es posible saber cómo se gestiona el centro de datos ni cómo ni dónde se almacenan nuestros datos.

La computación en la nube es una tecnología extremadamente útil que no se puede rechazar y de la que es imposible escapar. Sin embargo, es preciso ser consciente de los peligros de seguridad que entraña la nube y tomar las medidas necesarias para garantizar una mayor protección de los datos que se alojan en ella.

5 riesgos importantes que genera la seguridad del cloud computing

En esta sección se van a exponer algunos de los riesgos más importantes relacionados con la computación en la nube a los que se exponen las empresas de todo el mundo.

1. Pérdida de datos

La pérdida de datos es un suceso que provoca que la información no se encuentre disponible temporalmente o se pierda o se dañe de forma definitiva. Este tipo de sucesos ocurren cuando los datos se eliminan de forma accidental, cuando se sobreescriben o cuando se sufren ataques malintencionados por parte de los usuarios o de hackers externos que borran los datos deliberadamente.

EJEMPLO:  Code Spaces era una empresa que ofrecía código fuente y servicios de gestión de proyectos a los programadores. Se creó casi exclusivamente en Amazon Web Services (AWS) mediante un servidor e instancias de almacenamiento. En junio de 2014, un hacker consiguió acceder al panel de control de AWS de la empresa y exigió que se le pagara un rescate. Cuando Code Spaces se negó, el hacker eliminó una serie de archivos de gran importancia, entre otros, EBS snapshots y S3 buckets. Esta situación obligó a Code Spaces a cerrar la empresa.

A pesar de que los proveedores de servicios en la nube han incrementado los controles de seguridad durante los últimos años, los ataques denominados ransomware, como el que se ha mencionado anteriormente, también se han fortalecido y se incrementan cada año, haciendo que las empresas sigan siendo vulnerables.

Y, por si no hubiera ya suficientes riesgos, hay que tener en cuenta que no siempre los hackers son los responsables de las pérdidas de datos. Los errores humanos que se cometen en el sitio web del CSP también pueden provocar la pérdida de datos de los clientes, como se puede ver en este ejemplo relacionado con Cisco. Un fallo en las actualizaciones de las políticas del servicio de almacenamiento de objetos de Cisco en Norteamérica en agosto de 2017, provocó la eliminación de todos los datos que se habían cargado antes de las 11:20 de la mañana de ese mismo día. En este tipo de casos, los daños que sufrirían las empresas más pequeñas, que no cuentan con copias de seguridad de datos o políticas de recuperación de los mismos, serían mucho mayores.

Medidas recomendadas para reducir los riesgos de sufrir una pérdida de datos

  • Comprueba que has firmado acuerdos de nivel de servicio con los proveedores de los servicios en la nube en cuanto a recuperación, copia de seguridad y migración de datos.
  • Toma tus propias medidas adicionales para proteger los datos más cruciales a través de copias de seguridad en discos o utilizando otro servicio en la nube diferente. Implementa otros tipos de software de seguridad en la nube y de prevención de pérdida de datos.

2. Incumplimiento de normativas

Las empresas pequeñas, en general, no cuentan con un servicio de asesoría legal especializado, lo que hace mucho más complicado saber qué condiciones específicas deben cumplir para respetar las normativas como, por ejemplo, el RGPD. Están obligadas a confiar en gran medida en los proveedores de servicios en la nube para que lo hagan por ellos.

Otras normativas también requieren la garantía de que se están protegiendo adecuadamente la seguridad y la privacidad de cierta información de los clientes. Si estás confiando el almacenamiento de los datos a un proveedor de servicios en la nube, debes comprobar que el CSP cumple las normas de seguridad de datos correspondientes.

EJEMPLO:  El personal del hospital St. Elizabeth’s Medical Center, en Massachusetts, Estados Unidos, empleaba una aplicación de intercambio de archivos basada en la nube para almacenar los historiales médicos de los pacientes. La aplicación sufrió una filtración de los datos relativos a la información electrónica médica confidencial (ePHI, por la sigla inglesa de electronic protected health information) de más de 500 pacientes y se impuso una multa de 218.400 $ al hospital por incumplir las normas en materia de notificación de vulneración de la seguridad y de privacidad de datos que establece HIPAA. El organismo regulador también obligó a que se adoptaran medidas correctivas de seguridad.

La mayoría de las normativas, como HIPAA, responsabilizan de los incumplimientos al CSP y a las empresas. En otros casos, es posible que únicamente las empresas se expongan a la penalización por incumplimiento.

Medidas recomendadas para reducir los riesgos de los incumplimientos

  • Colabora únicamente con proveedores de servicios en la nube comprobados que cumplan todas las normativas importantes, como SOC 2 e ISO27001.
  • Lleva a cabo evaluaciones de riesgos antes de migrar a los servicios en la nube y añade un nivel de seguridad adicional mediante agentes de seguridad de acceso a la nube (CASB, por sus siglas en inglés).
  • Forma y conciencia a tu plantilla sobre las prácticas recomendadas en el uso de aplicaciones SaaS y la necesidad de cumplir siempre las normativas.

3. Denegación del servicio

Las nubes públicas suelen ser multiusuario, es decir, existen muchas empresas que comparten el espacio en la misma nube.

Es posible que los ataques que sufran los recursos de cualquiera de los demás usuarios también repercutan en tus operaciones. Los usuarios malintencionados pueden atacar toda la red y provocar un periodo de inactividad que afecte a varios clientes, en función del ancho de banda disponible. Es posible que todo ello moleste a tus clientes y paralice en cierta medida las operaciones más habituales.

EJEMPLO:  Varios hackers atacaron la empresa de cloud computing con sede en Portland, Cedexis, en mayo de 2017 y provocaron daños generalizados en su infraestructura. Muchos medios de comunicación franceses, como Le Monde y Le Figaro, entre otros, que utilizaban los servicios de Cedexis, sufrieron las consecuencias. Sus clientes tuvieron que enfrentarse a periodos de inactividad que provocó el ataque de denegación de servicio a la nube de Cedexis.

Medidas recomendadas para reducir los riesgos de la denegación de servicio

  • Comprueba si el CPS es capaz de ampliar el ancho de banda para resistir los ataques de DDoS. Pregunta también si cuentan con centros de depuración que puedan limpiar y filtrar el tráfico malintencionado.
  • Habla con el proveedor de servicios en la nube para comprobar que se pueden recuperar los datos de la memoria caché en caso de que se sufra un ataque de DDoS con el objetivo de reducir los periodos de inactividad.
  • Implementa mecanismos de recuperación de desastres y planes de continuidad de las operaciones a fin de recuperar la normalidad lo antes posible.

4. Cuentas amenazadas y filtraciones de datos

Uno de los riesgos más habituales de la computación en la nube es la presencia de hackers que intentan hacerse con las credenciales de las cuentas para acceder a las aplicaciones y a los sistemas en la nube.

Las empresas siempre corren el riesgo de sufrir incidentes de amenazas en sus cuentas, por las que terceros no autorizados aprovechan las credenciales de los usuarios para acceder a los datos que se encuentran almacenados en los servicios de una nube pública. 

EJEMPLO:  Determinados ciberdelincuentes robaron los datos personales (incluidas las direcciones de residencia y los ingresos) de 3 millones de clientes de la empresa de medios de comunicación y entretenimiento, WWE (World Wrestling Entertainment). Accedieron a ellos tras el ataque a una base de datos que no estaba protegida en el servidor de la nube de Amazon.

Medidas recomendadas para reducir los riesgos de sufrir una filtración de datos

  • Las prácticas poco transparentes de TI y el uso de dispositivos externos a la empresa, conocido como BYOD (bring your own device), a menudo provocan filtraciones de datos. Refuerza la seguridad de los datos mediante software anti-virus, de encriptación, de autenticación de usuarios y de protección de datos en todos los dispositivos personales que tus empleados utilicen para trabajar.
  • Conciencia a los empleados sobre la necesidad de mantener siempre al día a sus responsables y al equipo de TI en caso de que estén utilizando nuevas aplicaciones que no sean las que propone el equipo de informática.
  • Comprueba las condiciones y las funciones de seguridad que ofrecen los CSP y los proveedores de SaaS para garantizar la confidencialidad de los datos.

5. Ataques internos

Entre las amenazas internas figura el comportamiento de los empleados, deliberado o accidental, que puede provocar que se expongan o compartan los datos confidenciales.

Entre ellos está el intercambio de archivos que contienen información confidencial (como los números de la seguridad social de la plantilla) con un gran grupo de usuarios no autorizados y el uso de controles de intercambio poco adecuados.

EJEMPLO:  Los robos de datos son el problema más habitual cuando la gente abandona el barco. Por ejemplo, un comercial de una empresa que va a trabajar a la competencia puede descargar fácilmente los datos de los clientes de una aplicación de CRM en la nube. Este tipo de robos de los datos que se encuentran en la nube son más difíciles de detectar que la sustracción de documentos en formato físico, por ejemplo.

Medidas recomendadas para reducir los riesgos de sufrir un ataque interno

  • Mejora los controles de acceso mediante herramientas como la sistemas de autentificación de usuario y la autorización de varios elementos para garantizar que solo accedan a los datos las personas correctas.
  • Ofrece cursos de formación y concienciación sobre la seguridad basada en la nube y utiliza acuerdos con los empleados que eviten el intercambio de datos confidenciales, ya sea de forma deliberada o accidental.

Prácticas habituales que pueden exponer tu empresa a riesgos relacionados con la nube

Las políticas de empresa que no se implementan correctamente pueden provocar que aumente la exposición a riesgos y amenazas en cloud computing. Una conducta imprudente por parte de los empleados también puede dejar la empresa expuesta a los peligros que se han mencionado anteriormente.

 Algunas de las vulnerabilidades de la empresa son:

Prácticas de TI poco transparentes

Una de las causas principales del incremento de los riesgos relacionados con la computación en la nube es la tendencia de los empleados y responsables a omitir las recomendaciones del equipo de TI y descargar aplicaciones de terceros. El creciente número de aplicaciones SaaS que contribuyen a llevar a cabo tareas aleatorias, como convertir archivos JPEG a PDF, grabar y editar archivos de vídeo, mensajerías instantáneas, etc., da lugar al registro y uso por parte de los empleados de este tipo de programas sin tomar las precauciones necesarias.

A menudo, los archivos confidenciales se cargan en servidores de la nube desconocidos con el único fin de convertirlos en otros tipos de archivo. Aunque la mayor parte del tiempo este tipo de medidas pasa desapercibido, la posibilidad de que uno solo de esos archivos con información confidencial de la empresa se divulgue y caiga en manos de la competencia puede dañar la reputación de esta de forma definitiva.

Bring Your Own Device (BYOD)

Actualmente, permitir que la plantilla se traiga sus propios dispositivos al trabajo es una tendencia en alza denominada BYOD (Bring your own device). Aunque esta práctica ahorre costes en equipo de TI a la empresa, con ella se incrementan los riesgos de seguridad.

Los empleados pueden utilizar aplicaciones SaaS en sus propios dispositivos que no estén autorizadas por la empresa. También es posible que empleen al mismo tiempo aplicaciones de almacenamiento en la nube personales y de empresa, lo que aumenta el riesgo de compartir datos confidenciales en los espacios personales. Las políticas BYOD dificultan el seguimiento del uso de los datos de empresa de los empleados en sus dispositivos. El robo, la pérdida o el uso incorrecto de estos dispositivos puede provocar una filtración de datos corporativos.

Ausencia de acuerdos de nivel de servicios con los proveedores en la nube

¿Has firmado un acuerdo con un proveedor de servicios sin leerlo ni entender las condiciones o sin resgistrarte para contar con un acuerdo legal? ¿Eres consciente de las cláusulas de portabilidad de datos, de las expectativas en cuanto a recuperación de desastres, a la disponibilidad de los periodos de actividad y a los procesos de mediación de conflictos que ofrece el proveedor?

No nos sorprende que muchas empresas se registren con proveedores de servicios en la nube sin pedir un acuerdo de nivel de servicio (SLA) sólido.

Los SLA no deberían contener un lenguaje legal incomprensible; busca las condiciones que garanticen un nivel específico de rendimiento por parte del CSP. El conocimiento del alcance de las funciones de seguridad que ofrece el proveedor, es decir, la encriptación y la prevención frente a la pérdida de datos, junto con las funciones técnicas y de empresa (como los periodos de actividad, la resistencia, etc.) contribuyen a garantizar que los datos se encuentran protegidos en la nube.

Empleados deshonestos

Los trabajadores suelen tener mucho cuidado en lo que se refiere a la protección de sus archivos físicos en papel y los dispositivos de memoria, pero tienden a ser poco rigurosos con los controles de seguridad de datos en la nube. El motivo es, probablemente, la falta de visibilidad de los espacios y la forma en la que se almacenan los datos.

Los trabajadores a menudo comparten las contraseñas de las cuentas en la nube, algo que incrementa los riesgos de que se produzcan filtraciones o pérdidas de datos.

Acciones recomendadas: Medidas que debe tomar tu empresa para enfrentarse a los riesgos y amenazas en cloud computing

La protección de los datos que se encuentran almacenados en una nube pública es una responsabilidad que compartís tanto tú como el proveedor de servicios.

Los proveedores de servicios en la nube, como Amazon, Microsoft y Box, entre otros, han tomado medidas para mejorar su destreza en cuanto a la seguridad mediante funciones como la encriptación en reposo, la prevención de pérdidas de datos y las copias de seguridad.

Sin embargo, y según Gartner (contenido disponible en inglés), durante 2022, un 95 por ciento de los fallos de seguridad que se producen en la nube serán por culpa del cliente. Para evitar correr riesgos innecesarios en lo que al cloud computing se refiere, es necesario complementar las medidas de seguridad del CSP con las herramientas adicionales que se mencionan a continuación, así como concienciar a los empleados en cuanto a las prácticas recomendadas de seguridad.

Medidas de seguridad adicionales que debe adoptar tu empresa:

  • Autenticación de varios elementos: La autenticación de varios elementos es un método de verificación de la identidad que permite el acceso a un portal o aplicación únicamente tras haber presentado correctamente dos o más elementos de prueba. Un ejemplo de este método es la autenticación que utiliza una contraseña y una clave de autenticación de un solo uso (OTP).
  • Prevención frente a la pérdida de datos: La prevención frente a la pérdida de datos es un mecanismo que se ha diseñado para garantizar que la información crucial y confidencial no se envíe nunca al exterior de las redes corporativas. Contribuye a que el administrador de redes tenga control absoluto de los datos que pueden transferir los usuarios finales.
  • Encriptación: La primera línea de defensa de cualquier sistema es la encriptación. La información se oculta o se encripta a través de complejos algoritmos. Para desencriptar estos archivos es necesario contar con una clave de encriptación confidencial. La encriptación contribuye a evitar que los datos confidenciales caigan en las manos incorrectas. La encriptación de datos en reposo es imprescindible, mientras que la de datos en tránsito se recomienda encarecidamente.
  • Copia de seguridad de los datos: La copia de seguridad de los datos es el proceso mediante el que se duplican los datos para permitir que se puedan recuperar en caso de que se produzca una pérdida de datos. Contribuye a garantizar que los datos no se pierdan a causa de desastres naturales o cualquier otro incidente.
  • Firewalls: Un firewall es una herramienta de seguridad de redes que hace un seguimiento del tráfico entrante y saliente con el fin de detectar anomalías. También es la herramienta encargada de bloquear determinado tipo de tráfico que se ha establecido mediante un conjunto de reglas. Los firewall virtuales basados en la nube contribuyen a filtrar el tráfico de la red desde y hacia Internet para proteger el centro de datos.
  • Evaluaciones de seguridad: Las evaluaciones de seguridad en la nube contribuyen a la prueba, la validación y la mejora de las funciones de seguridad en la nube. Es posible pedir al CSP que nos entregue los resultados de las evaluaciones de seguridad en la nube que se han llevado a cabo o buscar servicios de terceros que auditen las operaciones en la nube.

Próximos pasos: Preguntas que debes hacerle al proveedor de servicios en la nube

No te registres a ciegas en las aplicaciones SaaS o en los servicios en la nube. Hazle al proveedor las preguntas que estimes oportunas para poder comprender todas las funciones de seguridad de datos que te ofrece.

Pregunta al proveedor de servicios en la nube sobre estas siete cuestiones:

Preguntas al proveedor de servicios en la nube

Para elegir el software de seguridad en la nube que mejor se adapta a las necesidades de tu empresa, consulta nuestro directorio, que te ofrece una amplia gama de productos de seguridad en la nube. Comprueba siempre que has comparado los productos y has leído las opiniones de los usuarios antes de decidirte a comprar cualquiera de ellos.