Opinión Info Opinión

Una de las mayores amenazas de seguridad en una empresa, si hablamos de la nube, está en los propios empleados

Principales retos de seguridad en cloud

Lorea Revilla, directora de Operaciones de Arsys

20/06/2019

Cada vez más empresas optan por las soluciones en la nube. Recientes informes indican que casi un 70% de las organizaciones ya utilizan soluciones y servicios en el cloud, La adopción del cloud en el entorno empresarial es imparable y la seguridad ya no es un freno para su adopción. El cloud computing es un entorno mucho más seguro que la arquitectura tradicional, ya que se delega en el proveedor gran parte de sus complejidades, simplificando estas tareas entre los equipos técnicos de las organizaciones que ya están en cloud.

El cloud computing aporta grandes ventajas a los negocios, como el ahorro en costes de infraestructura, una flexibilidad y escalabilidad imposibles de igualar con sistemas on-premise, además de unos estrictos estándares y sistemas de seguridad. Sin embargo, a pesar de que el cloud es mucho más seguro que los sistemas tradicionales de almacenamiento, todos estos avances también han abierto las puertas a nuevas vulnerabilidades

Una de las mayores amenazas de seguridad en una empresa, si hablamos de la nube, está en los propios empleados que, por desconocimiento o de manera intencionada, exponen áreas críticas y ponen en riesgo al conjunto. Entre los riesgos de seguridad más importantes asociados con el cloud se encuentran:

Lorea Revilla, directora de Operaciones de Arsys

Lorea Revilla, directora de Operaciones de Arsys.

Robo o pérdida de datos

Por robo de datos entendemos un incidente en el que la información confidencial, protegida o confidencial es divulgada, vista, robada o utilizada por una persona que no está autorizada para ello. Puede ser el objetivo principal de un ataque dirigido o simplemente puede ser el resultado de un error humano, vulnerabilidades de las aplicaciones o malas prácticas de seguridad.

Por otra parte, la pérdida de los datos es una de las grandes amenazas de seguridad en la nube, perder los datos es sinónimo de pérdida de credibilidad y de reputación y de pérdidas económicas, entre otras consecuencias.

Gestión de acceso e identidades y credenciales débiles o inexistentes

Las infracciones de datos y la habilitación de ataques pueden ocurrir debido a la falta de sistemas de administración de acceso de identidad escalables, por el fracaso a la hora de utilizar la autenticación multifactorial, por el uso de contraseñas débiles y por la falta de rotación de las claves, contraseñas y certificados.

API inseguras

Los usuarios de servicios en la nube acceden a interfaces de usuario de software (UI) o interfaces de programación de aplicaciones (API) para administrar e interactuar con los servicios cloud. La seguridad y la disponibilidad de los servicios en la nube dependen directamente de la seguridad de estas API básicas. Desde los procesos de autenticación, pasando por el control de acceso hasta el cifrado y la supervisión de la actividad, cualquier interfaz en uso por los clientes deben ser seguras y estar protegidas contra ataques maliciosos —pero también deben estar protegidas ante errores inadvertidos—.

La pérdida de los datos es una de las grandes amenazas de seguridad en la nube

La pérdida de los datos es una de las grandes amenazas de seguridad en la nube.

Vulnerabilidades de sistemas

Las vulnerabilidades del sistema son errores en el software que los atacantes pueden explotar y utilizar para infiltrarse en un sistema informático con el fin de robar datos, tomar el control del sistema o interrumpir las operaciones de servicio. No son una novedad, llevan entre nosotros mucho tiempo, pero sí tienen la entidad suficiente como para poner en jaque la seguridad global de una organización que utiliza servicios en la nube.

Secuestro de cuentas

El secuestro de cuentas de usuario es una de las mejores maneras para un atacante de conseguir acceso a las zonas más privadas y, en teoría, protegidas de un sistema. El problema es que, si se reutilizan credenciales, si no hay una política estricta de cambio de contraseñas frecuente, y si estas contraseñas son débiles, todo el sistema está expuesto. Para un atacante, acceder a una cuenta de usuario desprotegida es como abrir una puerta por la que acceder a lo más protegido. Desde esa posición pueden espiar las actividades y transacciones del usuario, manipular datos, devolver información falsificada y redirigir a los clientes a sitios ilegítimos.

Amenazas Persistentes Avanzadas

Las amenazas persistentes avanzadas (APT por sus siglas en inglés) son un tipo de ataque que se infiltra en los sistemas y establece una base desde la que operar. Las APT están presentes durante largos períodos de tiempo, y pueden adaptarse a las medidas de seguridad destinadas a defenderse contra ellos.

Denegación de servicio

La denegación de servicio (tanto DoS como DDoS) fuerza al servicio objetivo a consumir cantidades desmedidas de recursos del sistema, lo que provoca una ralentización del sistema y deja a todos los usuarios legítimos del servicio sin servicio.

Comentarios al artículo/noticia

Deja un comentario

Para poder hacer comentarios y participar en el debate debes identificarte o registrarte en nuestra web.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos