S21sec ha elaborado un decálogo donde tenemos expuestos una serie de riesgos que van conectados a los servicios en la nube, es cierto, que tienen una gran cantidad de beneficios a cualquier tipo de empresa, ya sea tanto en términos de inversión como con mantenimiento.
Tenemos una división en tres tipos: las amenazas internas, externas y las asociadas al cloud. Por ello, vamos a elaborar un decálogo en el cual se ponga de forma explícita todas las amenazas
- Amenazas internas: insiders, errores de uso, falta de concienciación y conocimiento.
- Amenazas externas: campañas dirigidas, malware, grupos de amenazas persistentes avanzadas.
- Vinculadas al cloud:
– Servicios de soporte: los servicios cloud están siempre disponibles, podemos controlarlos
– Ritmo de cambio: El cloud es un entorno que está en constante cambio y transformado, sería posible adaptarnos a su ritmo
– Nuevos elementos: Las aplicaciones cloud usan nuevos elementos de comunicación, ¿sabemos controlarlos?
– Nubes diferentes: Es posible consumir servicios de distintas nubes en la misma infraestructura, ¿sabemos como interactúan?
– Uso de recursos: En estos momentos se paga por el recurso consumido, es posible evitar el mal uso.
– Microservicios: El cloud proporciona acceso a contenedores y microservicios, sería posible asegurar esta tecnología
– Cambios regulatorios: Estas variaciones se dan con frecuencia, sería necesario poder actualizarse rápidamente
– Cambios de políticas: diferentes políticas afectan a las aplicaciones, ¿estamos seguros de tenerlo bajo control?
Para poder adquirir los servicios cloud, habría que tener en cuenta todas estas características, por ello es necesario apoyarse en marcos de trabajo, así como elementos de seguridad.
Abordar el 100% de los vectores de seguridad es muy caro, y puede afectar a la operación del negocio cuando no es necesario para cubrir requisitos. Tenemos que considerar la especificidad del negocio para ver el cumplimiento que se hace y ver que se cuidan todos los requisitos. La monitorización es fundamental.
