Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
12/02/2014
Els cinc riscos més importants en este entorn, segons esta organització, són els següents:
Responsabilitat i risc en les dades. Generalment les organitzacions tenen sota control les dades que són importants per a elles, amb un control total sobre esta informació. L’organització que opta per una solució en núvol perd el control de les seues dades. Este fet representa un risc de seguretat crític que l’organització ha de tindre en compte i mitigar. Ha d'haver un acord amb el tercer que emmagatzemarà la informació perquè les dades no puguen ser utilitzades per altres o consultades, sense una compensació.
La federació de les identitats de l’usuari. És important per a les empreses mantindre el control sobre les identitats dels usuaris que accedixen als servicis i aplicacions de diferents proveïdors del núvol (traçabilitat). Llavors, en compte de deixar que els proveïdors del núvol puguen crear diverses identitats que faça que siga complex gestionar este fet, els usuaris han de ser identificables de manera única amb una autenticació federada, per exemple poden usar SAML, el qual funcione a través dels proveïdors del núvol.
Compliment legal i regulador. És complex demostrar el compliment normatiu associat a una zona "no física". Les dades que es perceben en un país poden no ser percebudes en un altre a causa de diverses lleis reglamentàries del país esmentat. Per exemple, la Unió Europea compta amb lleis de privacitat molt estrictes i, per tant, dades emmagatzemades als Estats Units poden no complir les lleis de la Unió Europea.
Continuïtat de negoci i la resiliència en termes de seguretat. La continuïtat del negoci és una activitat que una organització d’IT realitza per a assegurar que el negoci pot seguir desenrotllant-se davant d’una situació de desastre. En cas d’utilitzar el núvol, la responsabilitat de la continuïtat de negoci es delega en el proveïdor del núvol. Això genera un risc per a l’organització, per no tindre la continuïtat de negoci adequada. S’han d’assegurar les solucions contractuals proposades per l’operador del núvol, així en l'SLA.
Privacitat de l’usuari i un possible ús secundari de les dades. Les dades personals dels usuaris s’emmagatzemen en el núvol, ja que estos poden utilitzar diverses xarxes socials. La majoria d’estos llocs són irresponsables sobre com gestionar les dades de caràcter personal dels usuaris. Hi ha una necessitat de garantir amb els proveïdors del núvol quines dades poden ser utilitzades i quines no per a fins secundaris. En esta afirmació s'inclouen les dades que els proveïdors poden extraure directament de les dades d’usuari.
La majoria dels riscos es basen en la suposició del fet que el núvol és una institució pública o un núvol híbrid. OWASP té com a objectiu mantindre una llista dels deu principals riscos. S’han exposat els cinc primers, els quals s’enfronten amb el model/paradigma en núvol.