La gente de OWASP ha llevado a cabo un top ten de riesgos en el ámbito Cloud. Hoy en día el Cloud Computing ha tomado gran importancia para las empresas, y seguramente esto vaya a mas, por ello debemos tener claro los riesgos y amenazas que exponen este paradigma.
Los cinco riesgos más importantes
en este entorno, según el top 10 de OWASP en el ámbito Cloud, son los
siguientes:
- Responsabilidad y riesgo en los datos. Generalmente las organizaciones tienen bajo control los datos que son importantes para ellas, con control total sobre esta información. La organización que opta por una solución cloud pierde el control de sus datos. Este hecho representa un riesgo de seguridad crítico que la organización debe contar y mitigar. Debe existe un acuerdo con el tercero que almacenará la información para que los datos no puedan ser utilizados por otros o consultados, sin una compensación.
- La federación de las identidades del usuario. Es importante para las empresas mantener el control sobre las identidades de los usuarios que acceden a los servicios y aplicaciones de diferentes proveedores de la nube (trazabilidad). Entonces, en vez de dejar que los proveedores de la nube puedan crear diversas identidades que haga que sea complejo gestionar este hecho, los usuarios deben ser identificables de manera única con una autenticación federada, por ejemplo pueden usar SAML, el cual funcione a través de los proveedores del Cloud.
- Cumplimiento legal y regulatorio. Es complejo demostrar el cumplimiento normativo asociado a una zona “no física”. Los datos que se perciben en un país no pueden ser percibidos en otro debido a diversas leyes reglamentarias de dicho país. Por ejemplo, la UE cuenta con leyes de privacidad muy estrictas, y por lo tanto, datos almacenados en EEUU pueden no cumplir las leyes de la UE.
- Continuidad de negocio y la resiliencia en términos de seguridad. La continuidad del negocio es una actividad que una organización de IT realiza para asegurar que el negocio puede seguir desarrollándose ante una situación de desastre. En caso de utilizar el cloud, la responsabilidad de la continuidad de negocio se delega en el proveedor de la nube. Esto genera un riesgo para la organización, por no tener la continuidad de negocio adecuada. Se tiene que asegurar sobre las soluciones contractuales propuestas por el operador de la nube, así en el SLA.
- Privacidad del usuario y un posible uso secundario de los datos. Los datos personales de los usuarios se almacenan en el cloud, ya que éstos pueden utilizar diversas redes sociales. La mayoría de estos sitos son irresponsables sobre cómo gestionar los datos de carácter personal de los usuarios. Existe una necesidad de garantizar con los proveedores del cloud los datos que pueden ser utilizados y cuáles no para fines secundarios. En esta afirmación se incluyen los datos que pueden ser extraídos directamente de los datos de usuario por los proveedores.
La mayoría de los riesgos se basan en la suposición de que la nube es una institución pública o una nube híbrida. OWASP tiene como objetivo mantener una lista de los 10 principales riesgos, se han expuesto los 5 primeros, a los que se enfrentan con el modelo/paradigma Cloud.