3 Riesgos básicos del uso de “Cloud Computing” - Magic Words of Intelligence

Primer blog #OSINT de España. En línea desde 2011.

Breaking

domingo, 4 de marzo de 2012

3 Riesgos básicos del uso de “Cloud Computing”


Lo primero y más importante es tener claro lo que entendemos por Cloud Computing con el fin de que no haya equívocos. Para ello te propongo este vídeo explicativo que muestra de un modo muy seductor cuáles son las virtudes de utilizar la “computación en nube”



¿Atractivo verdad?

Desde hace unos años el porcentaje de uso de estos servicios se ha incrementado hasta el punto de convertirse, a día de hoy, en un negocio que mueve grandes cantidades de dinero. 

Este tipo de servicios, que pueden ser gratuitas o de pago, ofrecen todo tipo de herramientas. Los usos más corrientes van desde cuentas de Email y Sincronización de calendarios (Google), comunicación a través de Redes Sociales, Gestores de Archivos (Dropbox), Creación de eventos (Doodle), Gestión de proyectos (Basecamp), etc.

Últimamente incluso se está poniendo “de moda” acudir a ellos para realizar copias de seguridad de la información. Según Acronis, el 47% PYMES del sur de Europa ya están utilizando “la nube” para sus backup

En España la tendencia al uso de este tipo de servicios también va en aumento hasta el punto de ser uno de los países a la cabeza en su regulación, tal y como recoge el informe Global Cloud ComputingRank .

Ahora bien, mis palabras mágicas en esta ocasión me llevan a una reflexión: ¿Somos conscientes de los riesgos que van implícitos al uso de estas herramientas?

3 RIESGOS BÁSICOS

El principal de los riesgos deriva de nuestra falta de control sobre los servidores que utilizan este tipo de servicios. Al contrario de lo que sucede cuando elegimos un hosting, no tenemos opción a revisar las características del servidor, simplemente asumimos que los propietarios de la herramienta saben lo que hacen.  

1. ¿Y si se cae el servidor?
Hace tiempo acudí a un congreso en el que hablando entre los pasillos sobre las virtudes de “la nube” comentaban la absoluta fiabilidad de la misma derivada de la gran cantidad de dinero que invierten las compañías en sostener su negocio. Bien, pretendo llevar la contraria, pero los costes de tener todo bajo control al 100% son prohibitivos e incluso operativa o técnicamente inalcanzables (errores humanos en la explotación, etc.).

Amazon y otras sufrieron un gran contratiempo  cuando se vinieron abajo sus servidores debido a un rayo. ¿Qué impide que algo así pueda sucederle a nuestro servicio de “Cloud Computing”? ¿Cómo estamos seguros de que tienen controlados los riesgos de este tipo? Imaginémonos por ejemplo que se viene abajo el servidor de nuestro gestor de proyectos online y nos vemos obligados a estar un par de días sin él en pleno momento crítico de nuestro proyecto...

Consejo: Mantén siempre tus propias copias de seguridad en otros formatos. Procura tener una fuera del edificio, pero controlada. Ten listas alternativas en caso de que se vea interrumpido el servicio de tus herramientas de costumbre.  

2. ¿Cómo sé quién está detrás?
A nadie se le escapa lo sucedido con Megaupload . Al margen ya del tema de la piratería, numerosas personas y empresas tenían sus copias de seguridad en esta plataforma. Véase ahora cómo han sido intervenidos haciendo que cientos de cuentas dejen de tener acceso a su información, incluso tras haber pagado por el espacio de almacenamiento.

Por otro lado, hay muchos desarrolladores Open Source que empiezan con proyectos muy interesantes, pero que por distintos motivos terminan por interrupción del servicio. Circulan por la red varias versiones beta de productos en prueba para ver si pueden convertirse en un negocio y que nunca llegarán a ser verdaderamente estables. De modo que podemos encontrarnos un día con que la herramienta y todos los datos que teníamos en ella ya no están disponibles.

Consejo: Infórmate bien de quién es el propietario de la plataforma. Lee los contratos que aceptas y procura conocer la tecnología que utiliza. ¿Dónde están sus servidores? ¿Cómo los mantiene? Etc. Y de nuevo, ten una copia de seguridad alternativa.  

 3. ¿Es secreta mi información?
Al margen ya de poder ser objetivo de ciberespionaje o ataques malintencionados, sabemos que Google utiliza los datos de sus usuarios para fines de todo tipo, desde marketing hasta análisis de tendencias y competidores. Además no están exentos de que el gobierno americano solicite consultar lo que considere conveniente. Algo que le ha pasado también a Twitter y a Facebook. 

Así pues, la monitorización de la Red es algo ya común a realizar tanto por empresas como por gobiernos. ¿Hasta qué punto podemos estar seguros de que la información que colocamos en “la nube” no está siendo leída por otros?

Ya no digamos el caso de ataques de ciberterrorismo, como le pasó a Stratfor que no pudo impedir que Anonymous dejara al descubierto el nombre y los números de cuenta bancarias de todos sus suscriptores. Hasta Las compañías aparentemente más seguras pueden llegar a ser atacadas.

Consejo: Procura no subir información demasiado sensible, pero si te ves obligado a hacerlo (sobre todo para utilizar herramientas colaborativas), intenta que la información esté cifrada o por lo menos codificada con algún tipo de código que entiendas tú y los que la van a utilizar. Por ejemplo, evita usar nombres reales de tus clientes o hablar sobre el lugar y el tema de determinada reunión. Si vas a dejar tu número de tarjeta, procura hacerlo con una de prepago o en la que controles el límite de gasto en caso de que la pirateen.

Si deseas profundizar más en el tema, te recomiendo que visites ISACA, desde donde puedes descargarte una pequeña guía de uso del Cloud Computing  o consultar más documentación en relación a este tema.