En el artículo de hoy, vamos a establecer una serie de recomendaciones de seguridad a tener en cuenta antes de contratar servicios cloud.
Lo primero es estar bien informado sobre éste tema, ver cómo trabajan las diferentes empresas y ser conscientes de lo más importante, que es la información de nuestros clientes y el deber de protegerla adecuadamente.
Por ello conocemos, la importancia de ganar la confianza del cliente, y no podemos verla rota por una mala gestión de la información que manejamos de ellos. Ante todo, tenemos que preservar la seguridad y privacidad de la información de los clientes y no tenemos que dejar nada al azar. Además, también ser consciente que la seguridad al 100% no existe, y que en el caso de que haya algún problema, pueda restablecerse todo lo antes posible para que podamos continuar con la actividad normalmente.
Como toda tecnología, el Cloud no está exento de riesgos, vamos analizarlos en este articulo:
1. Fugas internas de información. Un entorno Cloud, es un sistema de información, por lo que la amenaza que suponen los propios empleados, bien sea por estar descontentos o accidentes o por error o desconocimiento, es uno de los riesgos más importantes. Hay que tener en cuenta que los usuarios para desempeñar su trabajo tienen acceso a los datos y aplicaciones de la empresa.
Prevención: Recomendamos especificar en las cláusulas legales y de confidencialidad de los contratos laborales la prohibición de extraer información y las consecuencias que podría derivar de la misma. Además se deben de establecer políticas de privacidad adecuadas, como por ejemplo a qué tipo de información o aplicaciones puede acceder cada empleado. Facilitar un documento de funciones y obligaciones del personal que será entregado a cada trabajador, en el cuál se le informará de las medidas de seguridad implantadas en la empresa.
2. Pérdida de información: En la nube, el número de interacciones con los datos se multiplican debido a la naturaleza de la propia arquitectura. Por este motivo, la información podría ser interceptada o modificada.
Prevención: Debemos de utilizar herramientas que nos permitan cifrar la información en la plataforma, así como en el tránsito de la información. Utilizar sistemas de autenticación robustos, junto con contraseñas fuertes para la protección tanto de la conexión como de los datos. Monitorizar y recibir alertas sobre el uso de información crítica, así como poder acceder a los logs de acceso a datos y aplicaciones son buenas prácticas que complementan las anteriores para poder prevenirlo.
3. Secuestro de sesión: En el caso que un atacante obtiene las contraseñas de un usuario del entorno puede acceder a actividades y transacciones, manipular datos, devolver información falsificada o redirigir a los empleados a sitios maliciosos.
Prevención: Recomendamos establecer mediante políticas y procedimientos, la prohibición de compartir contraseñas entre usuarios. Si existe la posibilidad, limitar el acceso reiterado a la plataforma. Además de monitorizar, a través de las herramientas que nos ofrezca la empresa proveedora, las sesiones en busca de actividades inusuales.
4. Riesgos por desconocimiento: Conocer al menos en parte las medidas de seguridad que se implantarán por parte del proveedor de Cloud y por tanto ver cuáles serían las medidas adicionales a aplicar. La carencia de información de este tipo puede derivar en brechas de seguridad desconocidas por el afectado.
Prevención: Solicitar información a la empresa proveedora de Cloud sobre la infraestructura, así como con quién se comparte, y las medidas de seguridad que aplican.
5. Cumplimiento normativo: Al utilizar entornos en la nube desconocemos de forma exacta en qué país están alojados los datos. Además, los clientes del servicio Cloud son en última instancia responsables de la seguridad e integridad de sus datos, aunque estos se encuentren fuera de las instalaciones y gestionados por un proveedor de servicios Cloud.
Para asegurnos del cumplimiento normativo, a través de las condiciones de uso o consultando al propio proveedor del servicio Cloud, hay que consultarle principalmente dos puntos: el marco regulatorio aplicable al almacenamiento y procesado de datos (en el contrato debe de reflejarse que el tratamiento de los datos se subyugue al marco legal del país del suscriptor del servicio), establecer de una forma clara que la organización mantiene la propiedad de todos sus datos asegurándonos que el proveedor no adquiere derechos o licencias a través de los acuerdos para usar los datos en su propio beneficio.
Para más información puede consultar el siguiente enlace pinche aquí