Riesgos del cloud computing
Las APIs pueden verse comprometidas
El proveedor de servicios en la nube o CSP, expone unas APIs para que los clientes puedan controlar los servicios en la nube. Como cabe de esperar, estas APIs pueden contar con vulnerabilidades que están expuestas en internet, haciéndolas accesibles a posibles ataques.
Los hackers buscan posibles vulnerabilidades en las APIs de administración. De tener éxito, los activos de la organización se verán comprometidos.
Vulnerabilidades de tenencia múltiple
La tenencia múltiple consiste en que una única instancia de una aplicación sirva a varios usuarios u organizaciones separando la información sensible entre ellos. Puede ocurrir un fallo en la aplicación que impida mantener la separación lógica de la información. Este fallo puede ser aprovechado por los atacantes para obtener los datos de una organización a través otra organización diferente.
No existen casos registrados de ataques basados en esta vulnerabilidad, pero se han realizado pruebas de concepto.
Eliminación de datos incompletos
El cliente que contrata los servicios en la nube tiene un control reducido sobre la información almacenada físicamente. Es por ello que no le es posible verificar que la información se ha eliminado correctamente. Además, los procedimientos de eliminación de información pueden variar de un CSP a otro. La imposibilidad de comprobar la correcta eliminación de la información es un riesgo a tener en cuenta, ya que podría quedarse información disponible para unos posibles atacantes.
Robo de credenciales
Si un hacker consigue robar las credenciales de un usuario, puede conseguir acceso a los activos de la organización, incluso modificar los servicios con los que cuenta el usuario. Además, también puede realizar ataques a otros usuarios del mismo CSP una vez obtenidas las credenciales.
Dificultad para cambiar de proveedor de servicios
Los formatos que no son estándar de los CSP de datos, APIs, etc. pueden conllevar a que la migración a otro CSP diferente sea más costosa de lo esperado o directamente no sea rentable.
Este problema se vuelve más acuciante a medida que la organización utiliza más recursos del CSP. Cuanto más uso se haga de herramientas propietarias o APIs específicas, más complicada será la migración, ya que requerirá modificar más implementaciones que se han hecho en la organización.
Pérdida de datos
Además de por ataques maliciosos, los datos pueden perderse debido a otros motivos: una catástrofe física (un terremoto o un incendio), la eliminación accidental de la información etc. En las causas mencionadas anteriormente la responsabilidad recae en el CSP, pero el usuario también puede tener parte de la responsabilidad en la pérdida, como por ejemplo cifrar los datos antes de subirlos y perder la contraseña.
Además, el CSP puede engañar fácilmente al cliente respecto a los servicios que ofrece, por ejemplo, declarando que utiliza la geo replicación para evitar la pérdida de datos cuando decide no hacerlo para ahorrarse dinero.[1]
El servicios en la nube puede verse comprometido por empresas colaboradoras.
Los procedimientos y las medidas de seguridad de los CSP son tan importantes como las de sus empresas colaboradoras. Aunque cumplan con todas las normativas y cuenten con los procesos adecuados para asegurar la calidad del servicio y sin comprometer los activos del cliente, si alguna empresa con la que colaboran no lo hace, pueden ocurrir fallos de seguridad gracias a ellas. [2]
Riesgos de las soluciones on-premise
Escalabilidad
Las soluciones on premise siempre se pueden escalar, el foco radica en si es rentable en cuanto a tiempo y dinero respecta. Hay que tener en cuenta que para contar con cualquier tipo de solución on premise es necesario adquirir hardware en el que se ejecute y se le debería de sacar cierta rentabilidad. Además, hay que sumarle la instalación y configuración de los programa, puede que incluso en ciertos casos haya que rediseñarlos.
Cumplimiento legal
Al almacenar los datos de forma local, es necesario asegurarse de que se están cumpliendo las leyes y regulaciones. Los CSP, por otro lado, tienen equipos dedicados a ello, por lo que es más fácil cumplir con la normativa.
Soporte
La organización es la única responsable de las incidencias que surjan. Si surge cualquier tipo de interrupción en el servicio, es la organización la que se tiene que encargar de volver a levantarlos asegurándose que no se pierdan datos. Los CSP, en cambio, tienen sistemas de respaldo y tienen personal trabajando las 24h del día para mantener todos los servicios.
Seguridad
Depende únicamente de la organización. Es quien tiene que asegurarse de mantener los activos y la información segura, tanto digitalmente como físicamente. Es costosa y tiene que mantenerse constantemente. Además siempre será inferior a la de los CSPs, ya que pueden abaratar costes teniendo en cuenta el tamaño de sus servicios y servidores.[3]
Referencias
- S. K. Madria, «Security and Risk Assessment in the Cloud,» in Computer, vol. 49, no. 9, pp. 110-113, Sept. 2016, doi: 10.1109/MC.2016.280.
- https://insights.sei.cmu.edu/sei_blog/2018/03/12-risks-threats-vulnerabilities-in-moving-to-the-cloud.html
- https://itpractice.com/top-5-risks-of-keeping-your-companys-data-on-premise/
josugato
Latest posts by josugato (see all)
- La información es como un diamante, vale más procesada que en bruto - 5 enero, 2021
- Cloud Gaming - 24 noviembre, 2020
- Controles y auditoría del cloud computing y de las soluciones on premise - 24 noviembre, 2020
RCG says
26 noviembre, 2020 at 10:43 amSuficiente, pero explorar otras fuentes y visiones hubiera sido interesante; además de casos y experiencias en la industria.