La Agencia de Seguridad de la UE destaca los riesgos de Cloud Computing

Los usuarios de computación en nube enfrentan problemas como pérdida de control de datos, dificultades para demostrar el cumplimiento y riesgos legales adicionales a medida que los datos pasan de una jurisdicción legal a otra, según una evaluación de los riesgos de computación en la nube de la Agencia Europea de Seguridad de Redes e Información (ENISA).

La agencia destacó que esos problemas tienen las consecuencias más graves y se encuentran entre los más probables para las empresas que utilizan servicios de computación en la nube, según ENISA.

ENISA examinó los activos que las empresas ponen en riesgo cuando cambian a la computación en la nube, incluidos los datos de los clientes y su propia reputación; las vulnerabilidades que existen en los sistemas de computación en la nube; los riesgos a los que esas vulnerabilidades exponen a las empresas y las probabilidades de que esos riesgos ocurran.

[Más información: cómo eliminar el malware de su PC con Windows]

Al pasar a servicios de computación basados ​​en la nube, las empresas tienen que sobre el control al proveedor de la nube sobre una serie de problemas que pueden afectar la seguridad de forma negativa. Por ejemplo, los términos de uso del proveedor pueden no permitir escaneos de puertos, evaluación de vulnerabilidades y pruebas de penetración. Al mismo tiempo, los acuerdos de nivel de servicio (SLA) pueden no incluir esos servicios. El resultado es una brecha en las defensas, dijo ENISA en el informe.

El cumplimiento también podría ser un gran problema si el proveedor no puede ofrecer los niveles adecuados de certificación o si el esquema de certificación no se ha adaptado para servicios en la nube, decía el informe.

Una de las ventajas de los servicios en la nube es que los datos se pueden almacenar en varias ubicaciones, lo que podría salvar el día en caso de un incidente en uno de los centros de datos. Sin embargo, también podría ser un gran riesgo si los centros de datos están ubicados en países con un sistema legal inestable, según el informe.

Otras áreas de preocupación son el bloqueo del proveedor, la falla de los mecanismos que separan a las diferentes compañías, las interfaces de administración a los que los hackers acceden, los datos no se eliminan correctamente y los iniciados malintencionados.

Para minimizar estos riesgos, el informe propone una lista de preguntas que una empresa necesita hacerle a posibles proveedores de la nube. Por ejemplo, ¿qué garantías ofrece el proveedor de que los recursos de los clientes estén completamente aislados, qué programa de educación de seguridad se ejecuta para el personal, qué medidas se toman para garantizar que se cumplan los niveles de servicio de terceros, y así sucesivamente?

Al final un buen contrato puede disminuir los riesgos, según el informe. Las empresas deberían prestar especial atención a sus derechos y obligaciones relacionados con las transferencias de datos, el acceso a los datos por parte de las fuerzas del orden y las notificaciones de infracciones de seguridad, dijo.

No obstante, el informe de ENISA no es todo condenación. El uso de servicios de computación en la nube puede resultar en defensas más robustas, escalables y rentables contra ciertos tipos de ataques, según el informe. Por ejemplo, la capacidad de asignar dinámicamente recursos podría proporcionar una mejor protección contra los ataques DDoS (denegación de servicio distribuida), dijo ENISA.