ISO 27001: Seguridad en la nube
Seguridad en la nube
En el artículo de hoy, queremos hacer hincapié en las amenazas más críticas de seguridad en la nube, siempre recordando, que la mayoría de las organizaciones de hoy en día que quieren la seguridad de su información, implementan la ISO 27001, con la que se evitan estas amenazas. Es decir, el compromiso por parte dela empresa, es sinónimo de seguridad de la información haciendo uso de servicios en la nube.
Muchas empresas hacen uso de la nube, pero es importante que comprendan que, a pesar de las ventajas que aporta, entraña riesgos de seguridad que hay que considerar a la hora de hacer uso de ella.
Una consideración inicial antes de proceder con la descripción de las principales amenazas de seguridad en la nube, es recodar que una empresa no debe depender del proveedor de servicios de nube (CSP) para solucionar todas las incidencias, pero sí que deben comunicarse con él para resolver los problemas juntos. Muy importante, la lectura del artículo sobre los controles de seguridad de la información en la nube con la ISO 27001:2013.
Antes de migrar a la nube, las empresas deben considerar una serie de amenazas de computación de importancia respecto a la seguridad en la nube.
- Facilidad de uso. Si bien es fácil su manejo por parte de las empresas, tanto lo es también para los atacantes. Como ejemplos están, el correo basura (spam), distribución de malware, servidores de comando y control, ataques distribuidos de denegación de servicio (DDoS), etc.
- Transmisión de datos vulnerable. Los datos de clientes que son transferidos a la nube deben ser encriptados mediante el sistema SSL/TLS, para evitar que los atacantes intercepten datos sin cifrar.
- APIs inseguras. Determinados servicios de nube web están expuestos a APIs accesibles desde cualquier lugar de internet. Si disponen del token de autorización o autenticación, pueden acceder y manipular los datos que haya de clientes. En este punto, es necesario que los CDP proporcionen APIs seguras, de manera que la superficie de ataque sea mínima.
- Gente interna malintencionada. Aquí es importante que el CSP instale medidas de seguridad que incluyan el seguimiento de las acciones de os empleados, como por ejemplo, ver los datos del cliente. Mencionar, que los CSP no siempre siguen las mejores pautas a este respecto, por lo que cualquier empleado podría recopilar información confidencial sobre cualquier cliente sin ser detectado.
- Cuestiones de tecnología compartida. Para soportar múltiples inquilinos, los CSP utilizan infraestructura escalable, de manera que compartan la estructura subyacente con múltiples capas. Cada una de estas capas es susceptible de ser atacada, aunque usando diferentes técnicas: explotación de vulnerabilidad en un hipervisor, acceso no autorizado a datos compartidos a través de ataques de canal lateral, escapar de sandbox (Red/Blue Pill) de una máquina virtual (VM), etc.
- Pérdida de datos. Podría tener lugar por varias razones. Por ejemplo, que el disco duro falle, y un trabajador de CSP borre los datos accidentalmente, o que un atacante modifique o robe los datos. Para evitarlo, es preferible disponer de un respaldo de datos que permita restaurarlos.
- Brecha de datos. Puede tener lugar la violación de los datos si una máquina virtual tiene acceso a otra VM en el mismo host físico. De esta manera, a haber varias VM que pertenecen a varias empresas cada una, también podría tener acceso a datos de otra empresa diferente. A este tipo de ataque se le denominan ataque de canal lateral, y en ellos se roban los datos de componentes compartidos, como por ejemplo, la caché del procesador.
- Secuestro de cuenta/servicio. Cuando el acceso a la nube está protegido por una sola contraseña y el atacante la conoce, tendrá el acceso igualmente fácil. En este caso, es preferible utilizar autenticación de dos factores. Con este método, el atacante debe disponer también de acceso al teléfono del usuario (por ejemplo, si los SMS están habilitados para seguridad adicional) para poder acceder al servicio en la nube.
- Perfil de riesgo desconocido. Cuando las empresas se trasladan a la nube, deben generar un perfil de riesgo específico de sus sistemas e infraestructura. Será importante ejecutar actualizaciones de seguridad de software periódicamente, además de habilitar el monitoreo de registros, que los sistemas IDS/IPS escaneen constantemente en busca de tráfico malicioso, y se debe utilizar SIEM para recopilar los datos en un mismo lugar.
- Denegación de servicio (DoS). Puede ocurrir que los servicios en la nube queden interrumpidos a consecuencia de la emisión de un ataque DoS contra el servicio de la nube, lo que lo haría inaccesible. Lo puede realizar a través de recursos compartidos tales como CPU, RAM, ancho de banda de la red o espacio en disco duro.
- Falta de comprensión. Imprescindible para mantener la seguridad en la nube es conocer qué es y cómo utilizarle. Para ello, empresa y CSP deben concretar los servicios de los que cada uno va a ocuparse. De esta manera, los empleados o usuarios deben conocer el tipo de amenazas que pueden tener lugar, para poder defenderse de manera eficaz. Es decir, una educación adecuada mejorará la seguridad cuando se decide pasar a la nube.
Por tanto, lo más importante para el mantenimiento de la seguridad en la nube, es la cooperación y reparto de tareas entre empresa y CSP, asumiendo, además, una estrategia de respaldo para proteger los datos en el caso de que surjan inconvenientes, como que falle el disco duro, que el CSP salga del negocio o cualquier otro imprevisto que pueda poner en riesgo la seguridad en la nube y la protección de datos de clientes y empresa.
Software ISO 27001
Si quiere mantener de una manera muy sencilla, rápida y eficaz la seguridad en la nube y no perder datos sensibles o críticos de sus clientes o sistema, no dude en consultar las ventajas del software ISOTools, que gracias a la automatización y su estructura modular, le permite gestionar y solucionar rápidamente todas las incidencias que puedan tener lugar.