La computación en la nube es una de las megas tendencias en TI de los últimos años, muchas empresas anuncian que ya soportan este paradigma en sus productos y servicios. Sin embargo, uno de los factores que está retrasando su adopción en las organizaciones es el riesgo de ataques de seguridad. La idea de esta propuesta es ahondar en las vulnerabilidades y ataques más comunes a la seguridad de la computación en la nube, para luego plantear estrategias de mitigación de riesgos. La propuesta puede incluir resultados prácticos de prueba sobre herramientas o técnicas utilizados por los posibles atacantes.
Cuadro Con Síntomas, Causas, Pronóstico Y
Control Al Pronóstico
Síntomas
|
Causas
|
Pronóstico
|
Control
al Pronóstico
|
La preocupación mayor que existe en el
cloud computing a nivel se seguridad está centrada en:
La disponibilidad de la Red: El valor de este radica con una banda
ancha y conexión de red que satisfagan las necesidades mínimas para los
clientes que soportan esta tecnología para sus diferentes servicios, de ser
todo lo contrario los ataques de denegación de servicio son altas.
Incidentes de seguridad: Esto es centrado cuando el proveedor debe
informar a sus clientes y/o usuarios sobre las infracciones de seguridad y
este debe realizar auditoria sobre esta, el problema nace cando sucede no
informa al cliente y no se le hace el respectivo seguimiento o investigación.
Transparencia: Uno de los problemas usuales es que el proveedor
no exhibe a sus clientes y/o usuarios la directiva de seguridad interna, por
ende se crea desconfianza en la prestación de servicio y/o administración del
mismo, todo esto impacta la privacidad e integridad del cliente.
Pérdida de Control físico: Este problema radica en que los cliente
y/o usuario pierden control físico sobre sus datos y aplicaciones creando
preocupación sobre la privacidad de sus datos, el control de la data, los
riesgos y vulnerabilidades que dia a dia se crean, la legalidad y el
cumplimiento que le da el proveedor sobre las normas.
Funciones de virtualización: es preocupante la seguridad alrededor de
la virtualización y su función en cloud, un mal manejo de las VM puede que
comprometa la integridad de los datos del cliente.
Detención de intrusos: esta afirmación compete a la preocupación
si en la red no está monitoreada o no está funcionando bien con las VM.
De esta forma si la plataforma de Cloud no
está bien asegurada o el proveedor no cumple con la normativa y directiva de
seguridad, lo que realmente se compromete son los datos de los diferentes
clientes, sean contraseñas, data, datos sensibles de BD entre otros.
|
Las causas generalmente de que los síntomas revienten en esta
plataforma es:
Mal manejo de los servicios Iass y Pass (cloud Computing).
Interfaces y Api pocos seguros, no manejan un buen cifrado.
Amenazas internas, creadas por los mismos usuarios por falta de
conocimiento del uso de la plataforma y divulgación de la información interna
del negocio.
Perdida de información y/o data, sea por no realización de
procedimientos internos como backup, mal uso de aplicaciones o no protección
de los datos sean con claves cifradas o api potentes.
Entre otros.
|
Lo que podría ocurrir si cada uno de los síntomas persiste sea a
nivel de usuario y/o cliente o proveedor es la pérdida del activo más
importante que es la información o data, ya que esta compromete información
de clientes naturales o jurídicos, sea claves bancarios, potenciador de
creación de nuevas competencia las por robo de data / cierre de empresas,
entre otros.
La información es vital en todos los sentidos, con lo cual si esta
desaparece o es hurtada afecta de manera irreversible el sistema y el mismo
proveedor y/o cliente.
|
Las soluciones que se dan a este problemas o síntomas son siguiendo
las recomendaciones:
Implementar sistemas de registro de acceso y sea restrictivo
Monitorizar y coordinar los fraudes (lesiones aprendidas) más
investigación.
Realizar comprobación diario de que las IP no se encuentren listadas
en BlackList.
Analizar los problemas de seguridad de las interfaces de los
proveedores y crear control de autenticaciones y cifrados.
Crear cláusulas de confidencialidad en contratos laborales.
|
No hay comentarios.:
Publicar un comentario