Blog

Riesgos de almacenamiento en la nube ¿qué tener en cuenta?

Javier Carreño
9 febrero, 2021
0 comentarios

Hoy cuando hablo de almacenamiento en la nube, viene a mi mente un meme que vi hace algún tiempo, era una caricatura de un pequeño disket que representaba al personaje Darth Vader de las guerras de las galaxias, el cual le decía a una pequeña nube que él era su padre, de manera muy histriónica la pequeña nube gritaba cual escena de las guerras de las galaxias, Noooooooooooooo!.

Siempre he pensado que el humor  es una herramienta poderosa  que nos ayuda a pintar y ver los matices de la vida de manera divertida, hacer contacto con la realidad.  Para el momento que escribo estas líneas hay muchas realidades que tenemos que digerir, pero para el caso que nos ocupa quiero que reflexionemos  sobre esa imagen graciosa, y la forma en que ha evolucionado  el almacenamiento  de nuestra información.

<<< Beneficios y riesgos de cómputo en la nube >>>

Es curioso que aún la imagen de un disket se usa en los sistemas para guardar nuestros datos,  nuestros hijos  no lo conocen y muy probablemente no saben cómo funcionaba ese medio de almacenamiento que desapareció, pero siguiendo las leyes de la evolución natural en el cual la vida se halla en constante competición por adaptarse al entorno, tenemos que hacerlo de igual manera en el contexto tecnológico de la mejor forma posible ya que solo los que se adaptan, sobreviven.

Así que, fieles al instinto de supervivencia tenemos que seguir nuestra naturaleza y adaptarnos  a este paradigma en evolución que significa el cloud computing. Los servicios en la nube, son cada vez más populares y entre los usos más comunes se encuentran las aplicaciones para el almacenamiento de información, es por ello que debemos analizar diferentes aspectos relacionados con estos servicios y la seguridad que integran desde una perspectiva técnica pero también mencionando otros aspectos de importancia que debemos tener en cuenta como potenciales consumidores de estos servicios.

<<< ¿Cómo proteger la información en la nube? >>>

En este orden de ideas debemos arrancar con buen pie y comprender algunos conceptos básicos, antes de empezar a tomar decisiones sobre las inversiones necesarias que tendremos que realizar para entrar en esta nueva etapa, porque el cambio evolutivo viene, y es indetenible. Sin más rodeos comencemos.

El Instituto Nacional de Estándares y Tecnología (NIST) en su publicación especial 800-145 desarrolla la siguiente definición:

"La computación en la nube es un modelo para permitir el acceso de red bajo demanda, conveniente y ubicuo a un conjunto de recursos informáticos configurables (por ejemplo: redes, servidores, almacenamiento, aplicaciones y servicios) que se pueden aprovisionar y liberar rápidamente con un mínimo esfuerzo de gestión o interacción del proveedor de servicios."

Los modelos de nube se compone de cinco características esenciales, tres modelos de servicio y cuatro modelos de implementación.

Cinco características esenciales

      1. Auto servicio en demanda: Un consumidor puede proporcionar unilateralmente capacidades informáticas, como tiempo del servidor y almacenamiento en red, según sea necesario automáticamente sin necesidad de interacción con cada proveedor de servicios. 
      2. Amplio acceso a la red: Las capacidades están disponibles a través de la red y se accede a ellas a través de mecanismos que promueven el uso por plataformas heterogéneas de clientes ligeros o pesados (por ejemplo, teléfonos móviles, tabletas, computadoras portátiles y estaciones de trabajo).
      3. Agrupación de recursos: Los recursos informáticos del proveedor se agrupan para atender a múltiples consumidores, utilizando un modelo multi inquilino, con diferentes recursos físicos y virtuales de forma dinámica asignados y reasignados según la demanda del consumidor. Hay un sentido de ubicación e independencia en el sentido de que el cliente generalmente no tiene control o conocimiento sobre la exacta ubicación de los recursos proporcionados, pero es posible que pueda especificar la ubicación en un nivel superior de abstracción (por ejemplo, país, estado o centro de datos). Los ejemplos de recursos incluyen almacenamiento, procesamiento, memoria y ancho de banda de la red.
      4. Elasticidad rápida: Las capacidades se pueden aprovisionar y liberar elásticamente, en algunos casos automáticamente, para escalar rápidamente hacia afuera y hacia adentro acorde con la demanda del consumidor, las capacidades disponibles para el aprovisionamiento a menudo parecen ser ilimitadas y pueden ser apropiadas en cualquier cantidad en cualquier momento.
      5. Servicio medido: Los sistemas en la nube controlan y optimizan automáticamente el uso de recursos aprovechando una capacidad de medición, en algún nivel de abstracción apropiado para el tipo de servicio (por ejemplo, almacenamiento, procesamiento, ancho de banda y cuentas de usuario activas). El uso de recursos puede ser monitoreado, controlado y reportado, proporcionando transparencia tanto para el proveedor como para el consumidor del servicio utilizado.

Tres modelos de servicio

      1. Software como Servicio (SaaS): La capacidad que se proporciona al consumidor es utilizar el proveedor de aplicaciones que se ejecutan en una infraestructura en la nube. Las aplicaciones son accesibles desde varios dispositivos a través de una interfaz de cliente ligero, como un navegador web (por ejemplo: correo electrónico basado en web), o una interfaz de programa. El consumidor no gestiona ni controla la infraestructura de nube subyacente que incluye red, servidores, sistemas operativos, almacenamiento o incluso capacidades de aplicaciones individuales, con la posible excepción de ajustes de configuración de aplicación específicos.
      2. Plataforma como servicio (PaaS):  La capacidad proporcionada al consumidor es implementar en la infraestructura de la nube aplicaciones creadas por el consumidor o adquiridas creadas mediante lenguajes de programación, librerías servicios y herramientas soportadas por el proveedor. El consumidor no administra ni controla la infraestructura de nube subyacente, incluida la red, los servidores, sistemas operativos o almacenamiento, pero tiene control sobre las aplicaciones implementadas y posiblemente ajustes de configuración para el entorno de alojamiento de aplicaciones.
      3. Infraestructura como servicio (IaaS): La capacidad que se brinda al consumidor es proporcionar procesamiento, almacenamiento, redes y otros recursos informáticos fundamentales donde el consumidor puede implementar y ejecutar software arbitrario, que puede incluir operaciones de sistemas y aplicaciones. El consumidor no gestiona ni controla la infraestructura de nube subyacente, pero tiene control sobre los sistemas operativos, el almacenamiento, las aplicaciones implementadas; y posiblemente un control limitado de determinados componentes de red (por ejemplo: servidores de seguridad de host).

Cuatro modelos de implementación

      1. Nube privada: se proporciona para uso exclusivo de una sola organización que comprende múltiples consumidores (por ejemplo: unidades de negocio). Puede ser propiedad, administrada y operada por la organización, un tercero, o alguna combinación de ellos, y puede existir dentro o fuera de las instalaciones.
      2. Nube comunitaria: está provista para uso exclusivo por una comunidad de consumidores de organizaciones que tienen preocupaciones compartidas (p. ej., misión, requisitos de seguridad, políticas y consideraciones de cumplimiento). Puede ser propiedad administrada y operada por una o más organizaciones de la comunidad, un tercero, o alguna combinación de ellos, y puede existir dentro o fuera de las instalaciones.
      3. Nube pública: provista para uso abierto por el público en general. Puede ser propiedad, administrado y operado por una organización empresarial, académica o gubernamental, o alguna combinación de ellos. Existe en las instalaciones del proveedor de la nube.
      4. Nube híbrida: es una composición de dos o más nubes de infraestructuras distintas (privadas, comunitarias o públicas) que siguen siendo entidades únicas, pero están vinculadas por tecnología estandarizada o patentada que permite datos aplicaciones y portabilidad (p. ej., explosión de nubes para equilibrar la carga entre nubes). 

<<< 5 riesgos en la nube y cómo gestionarlos >>>

Muy bien, llegado a este punto es importante ahora entender las amenazas que nos enfrentamos y cómo podemos protegernos en la gestión de cada entorno, para asegurar y mantener disponible  nuestra información.

Amenazas más críticas en la nube

      • Falta de capacitación: Las persona que implementan los controles en el entorno cloud deben estar debidamente capacitadas de lo contrario el modelo implementado probablemente no será eficiente o adecuado.
      • Control de Acceso: Hay que establecer las medidas necesarias para que el ingreso a la plataforma esté debidamente autorizado y autenticado, esto es indispensable para evitar inyección de código malicioso, sustracción de datos, entre otros.
      • Amenazas internas: En este punto debemos mantener nuestro directorio de empleados siempre actualizado y depurado, durante y después del término del contrato, así  evitaremos el uso y abuso de alguna persona con intereses oscuros.
      • Interfaz insegura: La interfaz de nuestro proveedor de nube, debe contar con requisitos mínimos necesarios para garantizar el acceso seguro a nuestros datos, dentro de los aspectos a tener en cuenta tenemos:
        • Gestión y utilización de cifrado, con algoritmos robustos públicos y comprobados, que no hayan sido vulnerados, para minimizar el riesgo  de captura de datos por parte de un tercero, durante el procesamiento, transmisión o almacenamiento de nuestros datos.
        • Autenticación con los servidores antes de iniciar una comunicación, utilizando certificado digital emitido por autoridades de confianza.
      • Suplantación de identidad: Esta amenaza puede ocurrir cuando a una persona le roban las credenciales de usuario y logran acceder a la plataforma en su nombre, pudiendo manipular la información, para evitar este caso en particular es importante contar con un segundo factor de autenticación.
      • Ataques informáticos: Ocurre cuando una persona maliciosa intenta robar o acceder a la información que manejamos, en los últimos tiempos se ha observado un cambio de patrón en los ataques, siendo estos dirigidos a empleados de organizaciones con intereses particulares, cuyo fin es lograr los acceso y mantenerse allí por un tiempo prolongado, estudiando la plataforma e irrumpiendo por capas en la seguridad de los sistemas sin que la organización perciba su presencia. Para esto debemos tener contramedidas como sistemas de protección temprana avanzada entre otras.

Un mensaje a García

Inspirado en el  texto escrito por Elbert Hubbard en 1899, cuya moraleja es hacer bien lo que se tiene que hacer. La invitación es a explorar nuevas formas de potenciar el uso de la tecnología en la nube, con el fin de proporcionar un enfoque más seguro, económico y fácil para la gestión de los sistemas y su ambiente de datos.

Muchas empresas especialistas del mercado tecnológico han publicado diversos artículos acerca de los beneficios de mejorar la infraestructura durante la pandemia. Por ejemplo, Gartner en su artículo titulado "Proteja a su organización de una interrupción empresarial significativa mejorando la resistencia de la infraestructura durante la pandemia de COVID-19." da recomendaciones muy interesantes.

Recuerda que el tráfico en línea está aumentando al igual que las transacciones comerciales digitales, nuestras organizaciones demandarán una mayor capacidad para exponenciar la carga de trabajo en un tiempo relativamente corto, en tal sentido debemos prepararnos para afrontar estos nuevos retos. 

 

Nueva llamada a la acción

Javier Carreño
Ingeniero en Informática, con conocimientos en ISO/IEC 27001. ISO 31000, más de 17 años de experiencia en tecnologías de la información tiempo durante el cual ha prestado sus servicios a instituciones financieras y empresas privadas.