Enisa estudia las implicaciones de utilizar la nube
La agencia de seguridad europea ha lanzado un informe que describe las implicaciones técnicas, políticas y legales de la seguridad en la nube.
La agencia de seguridad europea ha lanzado un informe diseñado para enseñar a las organizaciones públicas y privadas y a la policía cómo aprovecharse de los beneficios de la ‘cloud computing’ evitando riesgos de seguridad.
Cloud Computing: Benefits, Risks and Recommendations for Information Security es el primero de este tipo de escritos presentado por la Agencia Europea de Seguridad de las Redes y de la Información (Enisa).
El mismo describe las implicaciones técnicas, políticas y legales de la seguridad en la nube, y realiza recomendaciones respecto a cómo maximizar los beneficios para los usuarios, mientras reducen los riesgos tanto como sea posible.
Giles Hogben, editor del informe, afirma que las ventajas de la cloud computing, como su reducción de costes o disponibilidad instantánea son claras, pero lo que mantiene a muchos apartados es el problema de la seguridad. “¿Cómo puedo saber si es seguro confiar en el proveedor de la nube dándole mis datos y, en algunos casos, toda la infraestructura de mi negocio?”, se plantea.
El iescrito detalla 35 riesgos de seguridad, incluidos problemas de protección de datos, pérdida de claves de cifrado y retos para cumplir con los requisitos legales. La evaluación de la seguridad está basada en tres escenarios: migración hacia los servicios de la cloud computing, el impacto de la cloud computing en la elasticidad del servicio y la cloud computing en el e-government.
La conclusión de Hogben es que la economía de escala y flexibilidad de la nube son tanto una ventaja como una desventaja desde el punto de vista de la seguridad. Las concentraciones masivas de recursos y datos presentar un objetivo más atractivo para los atacantes, pero las defensas basadas en la nube pueden ser más robustas, escalables y efectivas.
Lo más destacado es que el informe ofrece una lista de criterios que las organizaciones pueden utilizar para identificar el grado de conciencia de los riesgos de seguridad de su proveedor de servicio.