<img height="1" width="1" alt="" style="display:none" src="https://www.facebook.com/tr?ev=6016380644279&amp;cd[value]=0.00&amp;cd[currency]=USD&amp;noscript=1">
canal-comstor-logo
El blog de Comstor México
Comstor Americas
  • 8 Consejos de Seguridad para Pequeñas y Medianas Empresas
  • VoIP On-Premise, hospedada o híbrida
  • Panorama de la Ciberseguridad Global: ¿Cómo proteger las redes corporativas frente a las amenazas virtuales?
  • Seguridad Digital: los 6 principios de defesa integrada contra amenazas
  • Panorama de la Ciberseguridad Global: ¿Cómo proteger las redes corporativas frente a las amenazas virtuales?
  • VoIP On-Premise, hospedada o híbrida
  • Seguridad

Precauciones necesarias que se deben tener con los datos almacenados en la Nube

Publicado en 24-may-2017 5:00:00

¿Cómo y por qué ocurre? Estrategias para aumentar la protección.

Precauciones necesarias que se deben tener con los datos almacenados en la Nube

Los discos rígidos, unidades USB y otros dispositivos físicos de almacenamiento son un objetivo atractivo para los ataques malintencionados que buscan robar información confidencial de empresas, y eso es algo de lo que los CIO están conscientes. En realidad, ellos intentan educar a sus colaboradores sobre la necesidad de utilizar esas herramientas de manera correcta.

 

Sin embargo, la hoy popular Nube digital, utilizada por las empresas para almacenar cantidades crecientes de informaciones confidenciales, también debe ser considerada al proyectar una estrategia de seguridad cibernética. La migración hacia la Nube tiene excelentes beneficios -ahorro de costos, acceso fácil a archivos de cualquier lugar, conveniencia, etc.- pero también presenta algunos riesgos que deben ser identificados y controlados.

 

De acuerdo con un estudio reciente publicado por el Ponemon Institute, la mayoría de las empresas no tienen o no saben si inspeccionan sus servicios en la Nube para identificar malwares. Mientras que el 49% de las aplicaciones de negocios que están almacenadas en la Nube, menos de la mitad son conocidas, oficialmente sancionadas o aprobadas por el departamento de TI.

 

Aunque los entrevistados comprendan el riesgo de las violaciones de datos, casi ¼ no puede determinar si ellos habían sido violados, y casi ⅓ no pudo determinar qué tipos de datos fueron perdidos en las violaciones, y tampoco saben cómo fue que ocurrieron.

 

Este y otros estudios similares indican que las empresas dependen mucho de las medidas de seguridad adoptadas por los propios prestadores de servicios en la Nube y que, muchas veces, dejan la protección de sus secretos y activos más valiosos exclusivamente en manos de terceros.

 

Para resolver esta situación, CISPE, una coalición de prestadores de servicios en la Nube operando en Europa, ha publicado el primer código de conducta del sector, con el objetivo de garantizar la seguridad de los datos y la confidencialidad. Los proveedores de infraestructura en la Nube compatibles podrán identificarse con una "marca de confianza" que brindará garantía de seguridad adicional para los clientes, especialmente a los corporativos.


Sin embargo, a pesar de las medidas tomadas por esos gigantes de la Internet para garantizar la integridad de la información almacenada en sus servidores, las empresas y sus colaboradores no pueden ignorar su propia responsabilidad de mantener datos corporativos y documentos seguros. De la misma forma como ellos cuidan bien de sus discos rígidos y unidades USB, también deben cuidar de la Nube para evitar que sus datos vayan a parar en manos equivocadas.

New Call-to-action

 

Preocupaciones de Seguridad SaaS

SaaS, a veces llamado software de baja demanda, es un modelo en el cual es licenciado en una base de suscripción y es hospedado centralmente. Los hackers están cada vez más interesados en el valor de los datos que pueden encontrar en su red, que en solo entrar en ella. En caso  de que el proveedor SaaS esté comprometido, la criptografía de datos es una buena idea para ayudar a protegerlos. Sin embargo, él no va a ofrecer protección contra ataques de phishing y malware lanzados para robar credenciales de acceso de usuario individual. La criptografía debe ser considerada una tecnología esencial, pero las organizaciones deben recordar que por sí sola, no es una solución completa.

 

Aunque los proveedores de SaaS tienen que proveer una garantía de que están tomando medidas para mitigar los riesgos de violación, la responsabilidad por la seguridad no puede parar en ese punto. Las organizaciones que seleccionan soluciones SaaS también deben compartir la responsabilidad de seguridad e implementar procedimientos y procesos internos.

 

Esto incluye estrategias de educación corporativa y entrenamiento para enseñar a los colaboradores cómo identificar y contestar a las campañas de phishing, así como definir políticas acerca de qué datos deben ser colocados en la Nube y lo que debe ser mantenido dentro del firewall.


Solo por el hecho de que una organización pueda almacenar sus datos en la Nube no significa que estos deberían estar ahí. Las organizaciones precisan tener una conversación con un socio confiable y calificado para entender qué datos deben ser almacenados en el local, en un ambiente híbrido, o totalmente en la Nube, lo anterior con el fin de entender las consecuencias de negocios y seguridad. Definir políticas y prácticas recomendadas acerca de los datos que pueden o no precisar ser almacenados en la Nube puede evitar varios dolores de cabeza y posibles exposiciones y pérdidas de datos.

 

Preocupaciones de Seguridad PaaS

PaaS permite que las empresas construyan, ejecuten y administren aplicativos de la Web sin la infraestructura que normalmente es necesaria. Como el PaaS es basado en la noción de usar recursos compartidos (como hardware, red y seguridad), las preocupaciones de seguridad generalmente son basadas en informaciones de misión crítica que los hackers pueden obtener durante una violación de datos.

 

Si los clientes PaaS tuvieran un Administrador / raíz o acceso de cartucho a los servidores que ejecuten sus instancias, podrán surgir problemas de seguridad adicionales si los hackers fueran capaces de obtener acceso no autorizado y cambiar las configuraciones. Además, los controles de seguridad y los derechos de autoservicio ofrecidos por las plataformas PaaS pueden representar un problema en caso de que no estén configurados correctamente. Los proveedores deben ser capaces de proveer políticas claras, directivas y adherirse a las mejores prácticas aceptadas por la industria.

 

Una vez más, la seguridad no puede ser solo responsabilidad del proveedor PaaS. Al seleccionar un proveedor PaaS, considere las siguientes cuestiones cruciales, antes de la selección final:

 

- ¿Cuáles son los tipos de criptografía utilizados?

- ¿Cuál es la independencia y disponibilidad de los datos? (usted puede mover sus máquinas virtuales y todos sus datos para otro proveedor)

- ¿Quién tiene acceso?

- ¿Qué pasa si una instancia de la Nube migra hacia otro país?

- ¿Cuáles son los protocolos de recuperación de desastre / continuidad de negocios?

 

Preocupaciones de Seguridad IaaS

IaaS provee recursos de computación virtualizados en Internet hospedados por terceros. Las preocupaciones de seguridad de IaaS son similares a las preocupaciones de su propia Base de Datos. ¿La empresa está protegiendo datos confidenciales o la propiedad intelectual? ¿Hay estándares de conformidad que necesiten ser atendidos y cómo esos estándares son evaluados? ¿Es necesario tener la capacidad de auditar al proveedor de la Nube para atender estos requisitos de conformidad? ¿Cuál es el enfoque del proveedor de la Nube en el monitoreo?


Con ambientes IaaS, el control es la principal preocupación que la empresa precisa resolver. Como la organización está usando un ambiente virtualizado y recursos que no son técnicamente de ella, los puntos débiles en la seguridad del proveedor pueden afectar la compañía dramáticamente.

 

Fuentes:

http://www.pandasecurity.com/mediacenter/news/danger-companies-data-cloud/

http://ecsnamagazine.arrow.com/saas-paas-and-iaas-what-you-and-your-customers-need-to-know-about-the-risks/

 



Categorias: Cloud Computing, Seguridad Digital, Almacenamiento, Nubes Híbridas