Cloud computing: adaptación a las nuevas tecnologías sus ventajas y peligros

Estamos en un momento de cambio en la realidad del mundo empresarial y su desarrollo. La transformación digital durante este siglo XXI es algo imparable y todas las empresas independientemente de su tamaño tienen que estar preparadas para adaptarse a los cambios de la forma más rápida posible, pero no por ello sin contar con un buen planteamiento para garantizar al máximo la protección de los datos personales.

Tienen que estar preparados para lo “bueno” y lo “malo” de estas tecnologías. Los ataques digitales cada vez son más numerosos y resulta fundamental conocer de primera mano las nuevas tecnologías digitales y su funcionamiento.

Dentro de estas tecnologías están instaurándose con especial fortaleza los servicios en la nube, conocidos también por cloud computing.

Estos servicios nos permiten un acceso a través de la red a un conjunto de recursos compartidos y configurables tales como redes, servidores, almacenamiento, aplicaciones y servicios, todo ello con una gran flexibilidad, sin olvidarnos de prepararnos para evitar futuros ataques digitales.

Los servicios de cloud computing, además, permiten ahorrar costes y recursos de hardware y software, solamente necesitaremos un navegador web con conexión a la red que nos permitirá acceder a toda la información y procesos de la empresa. Se reducen costes de infraestructura y mantenimiento y la carga de trabajo para la administración de los sistemas TIC.

En cambio, no tenemos que olvidarnos de los peligros que tiene la utilización del cloud computing. Al desarrollarse todo en la red virtual los ciberdelincuentes han encontrado un filón en este tipo de servicios de cloud computing para lanzar ataques digitales.

Una de las principales consecuencias, es que, como clientes de estos servicios, las instalaciones no están controladas por nosotros. Todos nuestros datos e información de la empresa se encuentran en las aplicaciones del proveedor.

Esto supone un peligro para la seguridad de la información de la empresa y por ello también para la protección de los datos personales que tratamos en la empresa.

Los proveedores del servicio de cloud computing deben ofrecer suficientes garantías para proteger toda la información de la empresa y, en concreto, deben ofrecer medidas de seguridad técnicas y organizativas suficientes para garantizar la seguridad de la información en la nube.

Nos tienen que garantizar que la confidencialidad, autenticidad, disponibilidad e integridad de los datos personales no se vea comprometida.

¿Cuáles son las principales amenazas y riesgos para nuestra información y la protección de los datos personales?

Dependiendo del tipo de servicio que hayamos contratado la responsabilidad recaerá en nosotros o en el proveedor del servicio de cloud computing. Es muy importante en este sentido revisar el contrato del proveedor y los acuerdos de nivel de servicios, en el cual, se definen la posición de cada una de las partes, sus responsabilidades y obligaciones.

Para valorar la utilización del servicio cloud tendremos que realizar un análisis de riesgos en ciberseguridad de la aplicación elegida. Con este análisis conoceremos las principales amenazas y riesgos.

Las principales amenazas de la utilización del servicio cloud computing:

• Accesos no autorizados: se tienen que aplicar las medidas necesarias para controlar los accesos a la información y evitar así que haya robo de datos, secuestro de cuentas, etc.
• Amenazas internas: en el caso de que algún empleado “enfadado” deje la empresa, habría que eliminar inmediatamente los permisos y privilegios que tuviera. En este caso, serán de aplicando las políticas de protección de datos personales de la empresa.
• Interfaz insegura: esta puede provocar que se produzcan ataques digitales.
• Tecnologías compartidas: permitiría acceder a otros usuarios a nuestra información.
• Fuga de información: si las transferencias de datos no están cifradas, o se sufre un ataque de ingeniería social.
• Secuestro de cuentas: utilizando la ingeniería social los ciberdelincuentes pueden conseguir las credenciales de acceso a la plataforma y suplantarles, etc.
• Falta de formación y asesoramiento en el entorno cloud.
• Ataques de hacking: de forma maliciosa se intenta robar o acceder a la información y realizar además ciberespionaje.

¿Qué suponen estas amenazas y como se pueden mitigar?

Podemos mitigarlo con las siguientes medidas de seguridad:

• Acceso de usuarios con privilegios: este riesgo que puede ocasionar la pérdida de confidencialidad, integridad y disponibilidad de la información y datos personales, tiene lugar cuando por ejemplo accede un empleado con privilegios de administrador y no debería tenerlo. Para evitarlo habría que decidir qué privilegios de acceso se le facilita.
• Incumplimiento normativo: este riesgo existe cuando el proveedor no cumple con las obligaciones legales en materia de protección de datos personales. Para mitigarlo es necesario invertir en formación y asesoramiento especializado en protección de datos.
• Desconocimiento de la localización de los datos: se pone en riesgo la seguridad de los datos puesto que no conocemos la legislación del otro país.
• Indisponibilidad del servicio en caso de incidente: como por ejemplo ataques digitales ocasionados por ciberdelincuentes. Para mitigarlo nos tendríamos que asegurar que el proveedor realiza las copias de seguridad pertinentes.
• Viabilidad a largo plazo: es preciso asegurarse del acceso a los datos y su recuperación.

Todos los servicios que contratemos en cloud, como puede ser un servidor de correo, un servidor web o un CRM, tenemos que aplicar las mismas medidas de seguridad que aplicaríamos de forma física para evitar ser objeto de los ciberdelincuentes.

Ahora que ya conocemos los peligros en la nube. ¿Cómo contratar al proveedor que nos ofrezca más garantías?

La nueva forma de trabajar de las empresas ha hecho que toda la información de la empresa esté ahora alojada en la nube y por lo tanto su acceso “puede resultar más sencillo”.

Para evitar ser víctimas de los ataques digitales y poner en peligro la seguridad de la información de la empresa, la confidencialidad de los datos personales y la reputación de la empresa, tenemos que tener muy claro qué tipo de proveedor en la nube vamos a contratar.

Uno de los aspectos que debemos valorar es la privacidad en los servicios cloud. Es importante conocer donde están ubicados los centros de datos para proteger los datos personales.

En el caso de que estén ubicados fuera del Espacio Económico Europeo se producen transferencias internacionales, y, por lo tanto, tendrán que adecuarse a la normativa europea y ofrecer garantías jurídicas en materia de protección de datos personales.

Además, debemos tener en cuenta, las subcontrataciones de los servicios a terceros que puede realizar el proveedor del servicio en la nube.

El proveedor debe garantizar una adecuada gestión de las incidencias
de seguridad y mecanismos para la continuidad de las operaciones en
caso de catástrofes o ataques digitales.

Todos estos aspectos se regulan en el acuerdo de nivel de servicio ANS. El proveedor debe garantizar una adecuada gestión de las incidencias de seguridad y mecanismos para la continuidad de las operaciones en caso de catástrofes o ataques digitales. Garantizando la confidencialidad, la protección de la información y de los datos personales almacenados.

A la hora de contratar un servicio en la nube, contar con el apoyo de un equipo de profesionales expertos en ciberseguridad que te asesoren y aseguren la contratación del mejor proveedor es imprescindible.

En Grupo CFI te asesoramos tanto en el apartado técnico como en el legal para evitar ataques digitales que pongan en peligro la seguridad de la información, la protección de los datos personales y lo que es más importante tú reputación empresarial.

¡Grupo CFI somos tu asesor tecnológico!

"Mejora la protección en tu empresa con estos consejos"