La ciberseguridad a través de la nube
Una jornada organizada por el Grupo SPRI revela las ventajas de proteger los datos a través de diferentes nubes y la manera de prevenir los ataques
“Hay que hacer un control continuo en nuestro sistema cloud o multicloud para detectar incidentes, fallos y ataques”, señala Erkuden Rios, jefa de proyectos de I+D+i de ciberseguridad en Tecnalia
La ciberseguridad tiene otra opción interesante a través de la nube, donde almacenamos los datos tanto los particulares como las empresas. Una jornada organizada por el Grupo SPRI, la agencia vasca de desarrollo empresarial, en el Parque Científico y Tecnológico de Gipuzkoa, ha mostrado la situación actual de los entornos multinube y en concreto la problemática actual de la protección y prevención de ataques en aplicaciones que usan múltiples servicios de nube a un tiempo, que pueden ser de proveedores heterogéneos.
Erkuden Rios, jefa de proyectos de I+D+i del equipo de Ciberseguridad de Tecnalia, ha explicado los diferentes sistemas de seguridad a través de las variadas nubes, desde la pública y la privada hasta la comunitaria e hibrida. Como todos los sistemas, los modelos de seguridad multinube o multicloud tienen ventajas y desventajas. Entre las primeras, ha citado que diversifica los proveedores y las copias de seguridad. En cambio, son más complejos y ofrecen mayor superficie de ataque.
Rios ha citado como las principales amenazas en la nube a las brechas de datos, vulnerabilidad de sistemas y aplicaciones, la pérdida de datos o los atacantes internos. “Cuando metes los datos en la nube, te casas con ese proveedor y en eso hay que fijarse mucho antes de contratar el servicio”.
La responsable de Tecnalia ha señalado que las amenazas en los sistemas multinube se pueden evitar con un diseño seguro. “Se suelen meter controles de seguridad o pedírselo al proveedor. Hay que hacer un control continuo en nuestro sistema cloud o multicloud para detectar incidentes, fallos y ataques y crear el llamado SLA (Acuerdo de Nivel de Servicio)”.
Erkuden Rios se ha referido a la nueva ley de protección de datos puesta en marcha de este año, que obliga a las empresas a implementar medidas de seguridad como asignar a un oficial de protección de datos en el caso de empresas con datos confidenciales, como los de salud. “Puede ser un servicio de protección externo. No es obligatorio para todas las empresas pero si aconsejable. Pero la empresa si está obligada a comunicar quien es el agente de protección de datos”.
Ha agregado que la ley de protección de datos obliga a notificar que ha habido una violación de la privacidad de datos en un plazo de 72 horas, tener un inventario de todos los datos personales procesados y pedir los datos mínimos personales para diseñar el servicio, lo que se llama privacidad por defecto. “Por ejemplo, en un servicio de limpieza, no tienes que dar el dato del número de hijos para el servicio de basuras sino que basta señalar que es una familia numerosa”.
Rios ha advertido que el incumplimiento de la ley acarrea multas de hasta el 4% del volumen de la facturación anual con un tope de 20 millones de euros. “No hay que preocuparse de la privacidad si el sistema no guarda datos de personas que identifiquen o puedan identificarles”.
Ha explicado el modelo musa, una solución innovadora para crear y administrar aplicaciones multinube seguras, resultado del proyecto europeo de Horizonte 2020. Sirve para diseñar, desplegar y ejecutar herramientas de seguridad y cubre el ciclo de vida completo de la multinube. “Nos dice qué problemas de seguridad puedo tener y cómo controlarlos”.
