Los nuevos flancos abiertos en la seguridad de los servicios bajo cloud computing

LO PRIMERO que hay que tener claro antes de entrar al mundo del cloud computing es que por lo general, son servicios tercerizados. En otras palabras, un proveedor externo, aloja y manipula información de la empresa-cliente (cuando son soluciones corporativas), o bien, datos personales, cuando es una cuenta individual tipo Google.

Esto lleva aparejado una gran preocupación por la seguridad de la información. Si bien las compañías tecnológicas se esmeran por crear entornos fiables, ninguna puede asegurar una inviolabilidad del 100%... aunque se acercan bastante a esa cifra.

[ze_adv position="adv_300x100" ]

Al igual que cualquier sistema conectado a internet (que es la base del cloud) diariamente se crean amenazas, pero en el último año, fenómenos como WannaCry y Petya activaron las luces de alarma de la industria informática acerca de los nuevos flancos abiertos de una economía que vierte cada vez más sus bytes a la nube.

"Es una realidad que las amenazas a la seguridad de los datos corporativos no dejan de evolucionar. El año pasado, ataques de ransomware pusieron en jaque datos de muchísimas compañías a nivel global. Y ante ese escenario de inseguridad, se renueva el temor a almacenar datos en la nube", comenta Samir El Rashidy, director de consultoría y partnerships para América Latina de Orange Business Services, y agrega: "No obstante, me atrevo a decir que la nube es el lugar más seguro".

[ze_adv position="adv_300x250-A" ]

Por un lado, si se habla de la "nube pública", las inversiones en seguridad deberían ser constantes por parte del proveedor. Mientras que en el caso de una "nube privada", garantizar la seguridad de la infraestructura depende de la inversión que la compañía decida hacer año a año para estar actualizada. "Pero el mayor riesgo de la nube son las personas, por eso es crucial realizar una gestión correcta de accesos y autenticación así como también contar con API's seguras", apunta El Rashidy.

[ze_adv position="adv_300x250-B" ]

Para hacerse una idea de la importancia del cloud a nivel corporativo, un reciente estudio de JP Morgan indica que hoy, el 16% de las operaciones de las empresas a nivel mundial tienen lugar en la nube, cifra que podría superar el 40% en 2020.

Incluso, se está transformando en algo tan clave, que otro estudio desarrollado por el organismo internacional ISACA (Information Systems Audit and Control Association) revela que a los gerentes de TI de las compañías cada vez les importa más el ROI de invertir en cloud computing. Según la investigación, el 32% de los CIOs encuestados admite que sus empresas no calculan dicho retorno a la inversión, cifra bastante menor a la de 2014, donde el 44% no lo hacía.

[ze_adv position="adv_300x250-C-net" ]

Justamente este acercamiento a transformarse en un commodity tecnológico, está preocupando a los expertos en seguridad informática. "Las medidas que adopten los usuarios y las empresas con respecto a la seguridad en la nube son imprescindibles para mitigar las amenazas que atentan en contra de la seguridad", explica Cecilia Pastorino, especialista en seguridad informática de ESET Latinoamérica.

La ejecutiva dice que hay varios elementos en qué fijarse a la hora de contratar un proveedor cloud, como analizar dónde está alojada físicamente la información, para proteger mejor los datos ante un eventual ataque. "Muchos servicios en la nube tienen sus servidores fuera del país donde se contratan, ya sea en Estados Unidos, India o distribuidos a lo largo del mundo. El hecho de que la información está alojada en un país diferente al cual pertenece el cliente, hace que en caso de algún problema se rija por leyes y jurisdicciones diferentes a las que se aplican al dueño de los datos en su país", explica Pastorino.

Por su parte, Roberto Martínez, analista senior de seguridad de Kaspersky Lab, comenta: "Algunos proveedores pueden no contar con infraestructura en los países de origen de sus clientes, esto para algunas industrias que manejan información, crítica como bancos o gobierno, es un factor muy importante y es considerado dentro de su modelado de riesgos y amenazas" (ver recuadro).

Ojo con el 2018

Según Forrester, Amazon Web Services (AWS), Google y Microsoft se repartirán el 76% de los ingresos de cloud en 2018, el que aumentaría hasta el 80% para 2020.

Estos actores, más los locales, abren una serie de nuevas amenazas para este año. Por ejemplo, considerando el crecimiento del cloud público, hoy claramente la preocupación principal está en torno a las nuevas formas de violación de datos o, "data breach". "Pero también hay preocupación por temas simples como la pérdida de datos que no necesariamente está asociado a ciberataques, sino a la falta de preparación de las redes para recuperarse ante desastres o errores humanos", indica Adolfo Godoy, Latin America service operations manager de Dimension Data.

En este contexto, un desafío que se debe considerar para el 2018, está relacionado con vulnerabilidades en el diseño de los chips de los grandes fabricantes de procesadores, que dejan expuestos a las distintas variantes de ataques y que afectan a los sistemas de los computadores personales, móviles y por sobre todo la nube. "Estos son los conocidos Meltdown y Spectre. Básicamente cuando el primero permite acceder a la memoria del sistema, el segundo permite acceder a la memoria de otras aplicaciones para robar los datos existentes ahí, como es la información de los clientes en una plataforma de cloud", detalla Godoy.

Por esto, más allá de elegir correctamente el proveedor de cloud, es importante asesorarse con expertos de redes y seguridad, especialmente a la hora de decidir dónde estará información sensible.