Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/11/2011
La seguretat de l'emmagatzemament en núvol, en dubte pels experts
Els experts consideren que els sistemes de protecció dels servicis d’emmagatzematge en núvol no són totalment segurs ni estan ben explicats. Per això, es recomana als usuaris i a les empreses utilitzar sistemes d’encriptació per als seus documents
A Nova York s’ha celebrat el congrés sobre seguretat SC Congress. Experts en seguretat han debatut sobre les noves amenaces per a la seguretat informàtica, amb especial atenció al cloud computing (informàtica en núvol). Cada vegada més companyies utilitzen este sistema, però els experts advertixen que poden ampliar el risc a patir pèrdues o robatoris de dades, i han alertat sobre la falta de claredat a l’hora d’explicar les mesures de control de què disposen este tipus de servicis.
L’adopció dels servicis en núvol està augmentant significativament entre els usuaris i les empreses. Es tracta d’una tecnologia útil, que permet reduir costos i que augmenta la disponibilitat dels continguts en múltiples equips, en diferents llocs i de manera simultània. En empreses, estes característiques poden ajudar a augmentar la productivitat, per a també augmentar els riscos de filtracions o robatoris de dades.
L’expert en seguretat de Sophos, David Schwartzberg, ha assistit al SC Congress per a parlar sobre esta tecnologia, i ha destacat els riscos i la falta de transparència que pot presentar per a les empreses. Schwartzberg ha explicat que, si bé és cert que hi ha avantatges, també trobem l’inconvenient de la seguretat. Amb els sistemes d’emmagatzematge en núvol, augmenten el nombre d’usuaris i d’equips que tenen accés a les dades. Fins ara, açò es limitava als usuaris i equips en què es copiava la informació. Ara només és necessari disposar d’usuari i contrasenya, per la qual cosa s’està estenent i ampliant el nombre d’accessos.
En el cas de les empreses, este tipus de pràctiques pot ser perillós, perquè la informació es distribuïx i el seu control és molt complicat. Els proveïdors de servicis en núvol han fet que el procés siga molt senzill, permetent que els usuaris puguen adquirir els documents o afegir-ne de nous només arrossegant-los a les carpetes. Açò pot ser un perill si no s’usa correctament i pot motivar problemes de seguretat.
A més, les mesures de seguretat en estes plataformes no sempre estan a l’altura, amb el perill que si falla, el risc és potencialment superior al dels sistemes d’emmagatzematge tradicionals. Com a exemple, Schwartzberg cita un problema recent de Dropbox, un dels servicis més populars, en el que el sistema va fallar i es podia accedir als comptes sense necessitat d’introduir les contrasenyes. Si una situació així ocorre en sistemes tradicionals, el dany és controlable. En sistemes de computació en núvol pot ser devastador, ja que qualsevol pot accedir-hi, milions de persones poden aconseguir eixes dades amb facilitat.
Una altra crítica de Schwartzberg als sistemes d’emmagatzematge en núvol és la falta d’explicació de les seues mesures de seguretat. En este cas, l’expert esmenta el cas d’iCloud d’Apple. Este servici, una de les grans apostes de la companyia en iOS 5, conté un gran volum d’informació dels usuaris. No obstant això, segons Schwartzberg, no s’explica com es protegix ni quines són les seues mesures de seguretat.
Estos són alguns dels problemes de seguretat que planteja Schwartzberg com a factors que cal corregir en el futur. Pensant en les empreses i en els usuaris, l’expert de Sophos assegura que per a utilitzar de manera responsable i segura este tipus de servicis, el millor és utilitzar un sistema de xifrat de dades en els documents, de manera que encara que es vulneren les mesures de seguretat del lloc o es perden els documents, estos estiguen protegits. A més, Schwartzberg considera necessari formar els usuaris i els treballadors perquè aprenguen a utilitzar de manera segura estos servicis, labor en què han de participar les companyies proveïdores de servicis facilitant informació dels seus sistemes i consells de manera més freqüent i clara.