Actualidad Info Actualidad

Mesa Redonda en Security Forum

Los riesgos y amenazas del Cloud

José Luis París14/06/2016
Hoy todos utilizamos el ‘cloud’, la conocida ‘nube’. Aunque no seamos conscientes de ello, gran parte de los datos que gestionamos a través de internet o redes sociales tienen su origen o final en este espacio digital. El mundo de la empresa también emplea la ‘nube’ para guardar y trasladar información importante para su actividad empresarial y a menudo no es consciente de los riesgos que ello conlleva.
Security Forum acogió una mesa redonda sobre los riesgos y amenazas del 'cloud'
Security Forum acogió una mesa redonda sobre los riesgos y amenazas del 'cloud'.

Dentro de las mesas redondas celebradas durante el Security Forum, una de ellas fue dedicada al ‘cloud’ y a los riesgos y amenazas que comporta la gestión de datos digitales en la ‘nube’. Intervinieron en esta mesa redonda:

  • Jorge Salgueiro Rodríguez: Presidente de la Comisión de Compliance de Eurocloud Spain.
  • Rodolfo Lomáscolo Szittyay: Delegado Cataluña Eurocloud Spain.
  • Patrick Agut Klose: Responsable del departamento de comunicación y desarrollo de producto de SW Hosting.
  • Alberto Ruiz Rodas: Ingeniero Preventas para España y Portugal de Sophos.

Los expertos convocados en el encuentro admitieron que en la actualidad el uso de ‘cloud’ se extiende a todas las esferas de nuestra vida diaria, e igualmente en la empresa. Este uso es ya universal y hoy resultaría casi imposible vivir sin ello. La ‘nube’ acarrea riesgos en la gestión y propiedad de los datos, así como en la función que tienen los proveedores en la identificación y el acceso a los mismos. Muchas empresas que ya utilizan ‘cloud’, sobre todo pymes, tienen dificultades en gestionar sus recursos y no cuentan con la información suficiente para aprovechar las oportunidades que ofrece, protegiendo asimismo sus datos.

¿Cómo proteger nuestros datos?

El uso de la ‘nube’ genera riesgos y amenazas de cloud-computer, sobre todo, en lo que se refiere a ataques diarios y creación de malware. A pesar de ello, existen maneras de que las empresas protejan sus datos ante estas amenazas.

Jorge Salgueiro indicó que “para proteger nuestra información debemos saber gestionar la privacidad de uso de los datos, saber qué podemos subir a la ‘nube’. Para ello las empresas deben establecer credenciales y definir los perfiles de quiénes trabajan en sus redes. Es recomendable cambiar las contraseñas periódicamente y contar con la documentación apropiada y soluciones documentadas para proteger datos, señalando las responsabilidades adecuadas, incluidas las penales, derivadas de un mal uso”.

Por su parte Rodolfo Lomáscolo afirmó que “en la mayoría de casos, el riesgo es interno. Existe falta de información en la gestión de los datos por parte de la propia empresa y esto genera riesgos. Cuando la amenaza es externa, ‘cloud’ permite centralizar los riesgos en unos pocos puntos centralizados. Sin embargo, cuando los riesgos son internos, las amenazas siempre son las mismas”.

Según Patrick Agut, “las amenazas en la gestión de datos via ‘cloud’ suelen ser parecidas a las de una gestión fuera de la nube. Sin embargo, el riesgo es menor. En lo que se refiere a proveedores de servicios ‘cloud’ invierten mucho en proteger los datos del cliente, en ofrecer seguridad. El 95% de las pymes no pueden garantizar esta seguridad sin recurrir a expertos. Los proveedores trabajan 24 horas, los siete días de la semana monitorizando la seguridad de sus clientes para minimizar el riesgo ante las amenazas”.

Alberto Ruiz indicó que “las empresas proveedores de servicios ‘cloud’ pueden también proteger el sistema de sus clientes y evitar que se produzca el robo de datos”.

Cómo evitar los ataques

El tipo de ataques que podemos sufrir a través de internet es variado: ataques al patrimonio, robo de dinero, caída de la web, bloqueos de IP, spam, sustracción de datos…

A pesar de ello, Jorge Salgueiró afirmó que el ‘cloud computering’ ofrece un entorno de seguridad en internet, aunque no está exento de sufrir ataques. “Existe la posibilidad de uso de herramientas electrónicas para atacar patrimonios, suplantar identidades y cometer estafas. Las empresas proveedores de servicios ‘cloud’ deben contar con medidas de autoprotección, porque así generan más confianza en sus clientes. Asimismo, deben establecer las garantías en los servicios que van a ofrecer. El nuevo Reglamento Europeo de Protección de Datos establece unas garantías en cuanto a daños y perjuicios que se le pueden dar al usuario. Así, existe una póliza de seguridad civil para que el prestador de servicios esté protegido en caso de pérdida de confianza por parte del cliente si existe pérdida de información”.

Rodolfo Lomáscolo indicó que uno de los riesgos del uso ‘cloud computing’ “es el ataque al patrimonio, el acceso a cuentas bancarias y robo de dinero. Cuando se emplean proveedores que no son confiables ni de confianza puede haber un mal uso de la información, que no es en sí un ataque, pero sí afecta a la privacidad”.

“El riesgo siempre existe. De hecho, el mismo usuario es un factor de riesgo”, manifestó Patrick Agut. Según su experiencia, los ataques más frecuentes son:

  • Ataques de negación de servicio. Caída de la web. Conexiones masivas de IP y consecuente bloqueo de la misma.
  • Acceso al servidor para generar y enviar spam.
  • Sustracción de datos.

Estos problemas son subsanables con operaciones de actualización y mantenimiento de software si se cuenta con los servicios de una empresa proveedora de la gestión ‘cloud’.

Asimismo, Alberto Ruiz indicó que “empleando información cifrada resulta imposible un uso indebido o incontrolado de la información. Se trata de un mercado todavía emergente, aunque ya existen normativas que exigen ciertos estándares de seguridad”.

Jorge Salgueiro Rodríguez y Rodolfo Lomáscolo Szittyay, de Eurocloud Spain
Jorge Salgueiro Rodríguez y Rodolfo Lomáscolo Szittyay, de Eurocloud Spain.

España, ¿un país seguro?

El marco legal en cuestión de seguridad en ‘cloud computing’ varía de un país a otro, aunque se están haciendo esfuerzos en cuanto a establecer un marco de seguridad supranacional. “Vivimos en una revolución tecnológica permanente y Europa está trabajando para establecer un marco regulatorio en cuanto a privacidad. La Unión Europea ha adoptado el marco normativo del Reglamento Europeo de Protección de Datos. Con la anterior Directiva, cada país debía adaptarla a su marco legal. El español tiene un carácter más restrictivo que el de otros países”, afirmó Jorge Salgueiro. “Este Reglamento –añadió- también indica cómo proteger los datos de empresas y particulares europeos en sus relaciones privadas y comerciales con Estados Unidos. En este sentido, Europa exige a ese país que el tratamiento de datos cumpla la restricción europea. Para ello es necesario firmar un acuerdo entre Europa y Estados Unidos que hasta ahora aún no se ha producido. Nos encontramos en un escenario de incertidumbre, ya que no existe un marco jurídico para que se produzca ese acuerdo”.

Rodolfo Lomáscolo expuso que “no se puede decir qué país es más seguro. Hay que trabajar con proveedores confiables y de confianza. La normativa vigente es compleja, pero se puede aplicar. Las empresas proveedores deben adecuarse a las dimensiones de sus clientes, no es lo mismo una pyme que una gran empresa. Hay que potenciar las figuras profesionales de los Data Officer, los Compliance Officer, los profesionales encargados de evaluar y redactar los riesgos internos y las amenazas externas”.

Patrick Agut quiso destacar la necesidad de no contratar los servicios de proveedores teniendo solo en cuenta el precio. “Si contratamos proveedores baratos es probable que sus servicios sean poco seguros. Una de las ventajas de un buen proveedor es que nos pueda proporcionar un soporte rápido. No sólo debemos fijarnos en las leyes, sino también en calidad de los proveedores”.

Patrick Agut, de SW Hosting, y Alberto Ruiz, de Sophos
Patrick Agut, de SW Hosting, y Alberto Ruiz, de Sophos.

Por su parte, Alberto Ruiz indicó que “a pesar de que en España la ley es más restrictiva y que contamos con un marco regulatorio europeo, hasta 2015 nuestro país se encontraba en el Top 12 de países emisores de spam. Ahora hemos salido de esa clasificación y poco a poco vamos haciendo las cosas bien. No hay mejores o peores países, sino aquellos que tienen el mejor marco normativo”.

Conclusiones

Antes de finalizar la mesa redonda, los participantes en la misma extrajeron varias conclusiones. Jorge Salgueiró destaco que “España es un país seguro, aunque seguridad es un concepto subjetivo. Nadie debe vincular su seguridad a un contrato. Debemos evaluar qué parte de nuestro patrimonio tiene más valor y, a partir de ahí, construir nuestra propia seguridad con las herramientas que nuestro proveedor ponga a nuestro servicio”.

Todos, en mayor o menor medida, utilizamos el 'cloud' para gestionar datos
Todos, en mayor o menor medida, utilizamos el 'cloud' para gestionar datos.

En este sentido, Rodolfo Lomáscolo coincidió en que “como en todo, la seguridad depende de lo que pide el usuario. Éste debe saber qué es lo que necesita. Cuando no existe formación, es difícil reclamar los servicios que precisamos. Hay que tener en cuenta que, aparte de procurar seguridad, los proveedores también ofrecen servicios de back-up, antivirus, etc. Los proveedores ya ofrecen todo esto en el paquete estándar”.

Patrick Agut indicó que “el mundo empresarial de nuestro país presenta un perfil de medianas empresas. Los proveedores ofrecen cercanía al cliente, evitar la pérdida de datos, de conectividad. Las empresas no tienen por qué saber todas esas cosas, no tienen por qué emplear recursos. Hoy día, los servicios de ‘cloud’ no representan para las empresas un gran esfuerzo económico, ya que se ofrecen cuotas según necesidades y adaptables”.

La mesa redonda finalizó señalando algunas de las claves a tener en cuenta en el futuro en cuanto a los riesgos que comporta el ‘cloud’, sobre todo, teniendo en cuenta el marco que en este aspecto va a representar el ‘internet de las cosas’.

Empresas o entidades relacionadas

Eurocloud España
Sw Hosting

Comentarios al artículo/noticia

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos

REVISTAS

TOP PRODUCTS

NEWSLETTERS

  • Newsletter Seguridad

    19/11/2024

  • Newsletter Seguridad

    12/11/2024

ÚLTIMAS NOTICIAS

EMPRESAS DESTACADAS

OPINIÓN

Entrevista a Carlos Mochón, CTO de Grupo SPEC

“La combinación de flexibilidad tecnológica y alta escalabilidad convierte al XGA2 en una solución única en el mercado, capaz de integrarse fácilmente en infraestructuras de seguridad complejas”

ENTIDADES COLABORADORAS

OTRAS SECCIONES

SERVICIOS