Cuando hablamos de riesgos en la nube y utilizamos los términos seguro e inseguro tenemos que poder identificar a qué tipo de eventos nos referimos. ¿Se trata de robo, pérdida o alteración de datos? En el aspecto intrínseco de la palabra nos referimos a políticas, prácticas recomendadas, controles y seguridad utilizada para proteger aplicaciones, infraestructura y datos.
Para lograr la seguridad es necesario cumplir con ciertos parámetros que nos provean un mayor control sobre nuestros datos, tanto desde el proveedor como así también por parte del cliente.
Por parte del proveedor de nube es posible tomar recaudos en varios niveles. En principio, se seguriza el acceso a los servidores físicos a través de un control de acceso a la sala donde residen, manteniendo los equipos bajo llave y asignando contraseña para cada uno de los sistemas de administración. Adicionalmente a esto, también se establecen marcos de seguridad de contraseñas complejas, cambio de éstas de manera recurrente y una auditoría de accesos y permisos.
Ya en la capa virtual se separan los ambientes de los clientes, las redes y los accesos a cada uno, manteniendo una estricta regla en donde no es posible que los datos sean vistos más que por los autorizados para dicho fin.
Nube inseguras: ¿Cómo identificarlas?
“Cuando nos referimos a una nube insegura, hablamos de un ambiente que no provee ningún tipo de control sobre lo que se encuentra en ella. Este tipo de ambientes no suelen tener los protocolos y controles necesarios para asegurar la protección de los datos, o lo hace de manera ineficiente”, señala Federico Pardo, Ingeniero de Preventa de OneCloud. “Se trata de nubes que no fuerzan la complejidad con las contraseñas, que permiten el uso de navegadores viejos e inseguros y que no utilizan otros aspectos de seguridad como 2FA o validación adicional vía mail o teléfono”.
Adicionalmente, no aseguran su red, permitiendo que pueda ser “escuchada”, que los usuarios y las contraseñas sean utilizadas por un ataque MITM, vulnerándolas y dejando expuesto al usuario y sus datos. Este tipo de nubes también son vulnerables a otros tipos de ataque como un DDoS generando indisponibilidad de esta y dejando a sus clientes sin acceso a sus datos.
La falta de actualización de los sistemas que hacen al servicio es otro aspecto inseguro ya que esto abre posibilidades para que atacantes exploten vulnerabilidades de todo tipo, llegando a acceder al ambiente del cliente y dando lugar a robo de datos, encriptación de estos o encriptación para pedir rescate -ransomware.
Nubes seguras: Nuestras recomendaciones
Los proveedores de nube deben asegurar ciertas prácticas que llevan a la protección de los datos.
“Dado que el cliente no tiene acceso a la infraestructura que conforma la nube es importante que consulte algunos de los puntos para cerciorarse de que el proveedor brinde el nivel de seguridad requerida”, señala Federico Pardo.
Alguno de estos puntos que recomendamos desde OneCloud son:
*Auditorías de seguridad para verificar las actualizaciones, parches, y políticas de seguridad.
*Segmentación y separación de los datos, asegurando que estos no puedan mezclarse de ninguna manera con los de otro cliente.
*Cifrado de los datos para asegurar que no puedan ser vulnerados.
*Gestión y control del acceso y los derecho
Almacenar datos en la nube es seguro ya que los proveedores de nube establecen normas de seguridad altas para cumplir con los estándares más altos para el manejo de información sensible. Sin embargo, “los usuarios también deben tomar recaudos a fin de maximizar la seguridad”, indica el Ingeniero de Preventa de OneCloud. Para agregar seguridad y minimizar los vectores de ataque en OneCloud recomendamos utilizar encriptación en los archivos, la utilización de MFA, la aplicación de contraseñas complejas y cambiarlas regularmente.
“Si bien no hay ambientes 100% seguros, todas las capas de seguridad que agreguemos nos darán la tranquilidad de que nuestros datos no serán vulnerados”, dice Federico Pardo.