Cloud y ciberseguridad Cloud-y-ciberseguridad-IT-Sourcing-4 | Page 27

MERCADO
BRECHAS INTERNAS
ENTORNO CLOUD
El software estándar, como el de tipo ERP, puede suponer Por otro lado, es importante también poner el foco en los
también uno de esos agujeros de seguridad. Actividades entornos cloud. Este modelo ya es una realidad y la ten-
comunes tales como instalar actualizaciones o parches no dencia, cada vez más común, es su adopción, en cualquiera
resultan sencillas en este tipo de software, ya que requieren de sus modalidades. Cuando hablamos de la nube resulta
una inversión en tiempo y personal cualificado. Esto provoca crucial saber dónde residen los datos, no solo por cumplir
que muchas empresas retrasen estos procesos, lo cual hace con la normativa legal vigente, sino porque los proveedores
que queden expuestas. cloud ya son globales y sus datacenters pueden estar reparti-
Por otro lado, algunas de las amenazas internas se pueden dos por todo el mundo y, con ellos, nuestros datos.
materializar en los desarrollos a medida, que es una ten- Antes de realizar una evaluación de proveedores cloud, hay
dencia muy extendida en casi todas las empresas, sobre que ser consciente de si las aplicaciones de misión crítica es-
todo cuando hablamos de sus aplicativos verticales (el tán especialmente indicadas para este entorno; además, hay
software desarrollado y personalizado específicamente para que garantizar que el proveedor cumple con los requisitos
un sector de actividad), que se convierten también en un de seguridad mínimos establecidos por la organización. Ya
campo fértil para estas brechas. ¿Por qué? De nuevo porque que, a pesar de que uno de los argumentos de venta de los
la cultura de la seguridad no está tan implantada como pu- modelos en la nube es la sencillez a la hora de pasar de uno
diera pensarse en un principio y esto podría estar abriendo a otro, no siempre se dan las circunstancias para ello. Un
de par en par las puertas de nuestra organización a hackers buen ejemplo sería el tamaño de las bases de datos en SAP
malintencionados. HANA, que confirma que el fabricante certifica su correcto
Debería ser imperativo que la seguridad se incorpore funcionamiento en entornos productivos.
desde el diseño, no únicamente cuando las aplicaciones Asumido este condicionante, y aunque presupongamos que
van a entrar a producción o se les aplica algún tipo de la seguridad del proveedor es tanto o más robusta que la
auditoría. de la organización, es imprescindible revisar una serie de
puntos en nuestra check list.
PLAN DIRECTOR DE SEGURIDAD
•
El control de accesos es un factor crítico. Al apostar por
Cada vez son más las compañías que confían en empresas un modelo de autenticación single sign-on (SSO), su implan-
externas, como Everis, para, al menos, marcar ese punto de tación sitúa la potencial vulnerabilidad en un único punto.
partida a la hora desarrollar un plan director de seguridad. •
Se trata de comenzar la casa por los cimientos, porque re- de la información end-to-end, reduciendo así la probabilidad
sulta crucial disponer de un dibujo completo de la organiza- de que esos datos se vean comprometidos.
ción, de los lugares en los que se encuentra la información •
más crítica y de todas las posibles brechas de seguridad que por de­fecto, en las que se confía porque suponen la manera
se hallan ocultas. En este sentido, Everis dispone de una más cómoda y rápida de poner en funcionamiento una
herramienta capaz de analizar automáticamente millones plataforma o servicio. Sin embargo, existe un riesgo a corto
de líneas de código del software empresarial SAP ERP, con el o medio plazo para la organización, por lo que es recomen-
fin de poner al descubierto agujeros que suelen aprovechar dable crear una configuración personalizada que no sea de
los ciberdelincuentes. domi­nio público.
Posibilidad de que el proveedor cloud cuente con cifrado
Hay que prestar especial atención a las configuraciones
Otra de las medidas más recomendables, y no menos
conocidas, es la de adoptar una política de accesos basada
en las funciones que cada persona cumple dentro de la or-
ganización, con el fin de reducir riesgos de fraude. La era del
PREGUNTAS CLAVES
“superusuario” ha pasado a mejor vida y la tendencia pasa
por establecer un control de acceso a aplicaciones, bases de
•
datos, etc. basado en roles. ¿Para qué sirve que un emplea-
es saber dónde residen los datos (¿están en sistemas, infraestructuras o
do de ventas tenga acceso a información que únicamente
compete a la alta dirección? Otorgárselo, sencillamente, es
servidores internos o se encuentran en entornos cloud?).
•
abrir una puerta a posibles vulnerabilidades.
Para evitar estas situaciones potencialmente peligrosas
¿Están protegidos los datos? El cifrado de la información es un requisito
indispensable de seguridad.
•
se opta por implantar una gestión del derecho de acceso
¿Quién tiene acceso a la información? La segregación de acceso y
funciones para el personal que controla los datos es una medida que
a los procesos mediante privilegios de usuario, con o sin
herramientas de apoyo, pero correctamente de