Los riesgos de seguridad específicos en el entorno de nube híbrida

Las empresas que trabajan en entornos de nube híbridos deben tener en cuenta muchos tipos de riesgos para la seguridad y las consideraciones de gobierno. La comprensión de la seguridad es un objetivo en movimiento. La educación es clave para asegurar que todos en la organización entiende sus roles y responsabilidades de seguridad.

los riesgos de seguridad sistema informático

Según el Instituto Nacional de Estándares y Tecnología (NIST), un cuerpo de normas gubernamentales, sistemas informáticos están sujetos a muchas amenazas, que van desde la pérdida de datos a la pérdida de un centro de computación en su conjunto debido a un incendio o un desastre natural. Estas pérdidas pueden venir de los empleados de confianza o de los piratas informáticos.

NIST divide estos riesgos en las siguientes categorías:

Los errores y omisiones, incluyendo errores de datos o errores de programación

  • Fraude y el robo

  • sabotaje empleado

  • La pérdida de apoyo a la infraestructura física

  • Los hackers

  • Código malicioso

  • Las amenazas a la privacidad personal individual

    Video: Nubes Publicas y Nubes Privadas

    • los riesgos de seguridad de nube híbridos

    Muchos de los mismos riesgos de seguridad que enfrentan las empresas cuando se trata de sus propios sistemas informáticos se encuentran en la nube, pero hay algunos giros importantes. los Cloud Security Alliance (CSA), una organización dedicada a asegurar las mejores prácticas de seguridad en la nube, señaló en su reciente publicación, “Orientación de seguridad para áreas críticas de foco en Cloud Computing”, que las áreas significativas de riesgo de seguridad operacional en la nube incluyen los siguientes:

    • seguridad tradicional: Un entorno de nube híbrida cambia la seguridad tradicional, porque ya no estás totalmente en control. Algunos de los activos informáticos que esté utilizando no son de sus instalaciones. Ahora debe asegurarse de que las fuertes medidas de seguridad tradicionales están siendo seguidos por el proveedor de la nube.

    • Seguridad física cubre la seguridad de los equipos informáticos, los activos de red y la infraestructura de telecomunicaciones. CSA recomienda ambas defensas activas y pasivas “” para la seguridad física.

    • la seguridad de los recursos humanos aborda el lado humano de la ecuación - asegurando la verificación de antecedentes, la confidencialidad y la separación de funciones (es decir, aquellos que desarrollan aplicaciones no funcionan ellos).

    • Continuidad del negocio planes tienen que ser parte de cualquier acuerdo de nivel de servicio para garantizar que el proveedor cumple con el acuerdo de nivel de servicio para un funcionamiento continuo con usted.

    • Recuperación de desastres planes deben asegurarse de que sus activos (por ejemplo, datos y aplicaciones) están protegidos.

  • Manejo de incidentes: Un entorno de nube híbrida cambia incidente manipulación en al menos dos formas. En primer lugar, mientras que usted puede tener control sobre su propio centro de datos, si se produce un incidente, tendrá que trabajar con su proveedor de servicios debido a que los controles de proveedores de servicios, al menos, parte de la infraestructura.

    En segundo lugar, la naturaleza de múltiples usuarios de la nube a menudo hace que la investigación de un incidente más complicado. Por ejemplo, ya que la información puede verse mezclados, análisis de registros puede ser difícil, ya que el proveedor de servicios está tratando de mantener la privacidad. Es necesario averiguar cómo su proveedor de servicio define un incidente y asegúrese de que puede negociar la forma en que vamos a trabajar con el proveedor para asegurarse de que todo el mundo está satisfecho.

  • seguridad de las aplicaciones: Cuando una aplicación está en la nube, que está expuesta a todo tipo de amenaza a la seguridad. El CSA divide la seguridad de aplicaciones en diferentes áreas, incluyendo asegurar el ciclo de vida de desarrollo de software en la autentificación cloud-, autorización y gestión de identidad CUMPLIMIENTO.-, gestión de solicitud de autorización, supervisión de aplicaciones, pruebas de penetración de aplicaciones y gestión de riesgos.

  • El cifrado y gestión de claves: El cifrado de datos se refiere a un conjunto de algoritmos que puede transformar texto en un formulario que se llama texto cifrado, que es una forma encriptada de texto sin formato que terceros no autorizados no puedan leer. El destinatario de un mensaje cifrado utiliza una clave que activa el algoritmo para descifrar los datos y proporcionar en su estado original al usuario autorizado. Por lo tanto, puede cifrar los datos y asegurarse de que sólo el destinatario puede descifrarlo.

    En la nube pública, algunas organizaciones pueden verse tentados a cifrar toda su información porque están preocupados por su movimiento a la nube y qué tan seguro es, una vez que está en la nube. Recientemente, los expertos en la materia han comenzado a considerar otras medidas de seguridad, además de cifrado que se pueden utilizar en la nube.

  • Identidad y acceso de administración: La gestión de identidad es un tema muy amplio que se aplica a muchas áreas del centro de datos. El objetivo de la gestión de identidad es controlar el acceso a los recursos informáticos, aplicaciones, datos y servicios.

    La gestión de identidad cambia de forma significativa en la nube. En un centro de datos tradicional, es posible utilizar un servicio de directorio para la autenticación y luego desplegar la aplicación en una zona segura del cortafuegos. La nube menudo requiere múltiples formas de identidad para asegurar que el acceso a los recursos es seguro.

    • Con el creciente uso de la computación en nube, la tecnología inalámbrica y dispositivos móviles, que ya no tienen límites bien definidos con respecto a lo que es interno y lo externo a sus sistemas. Usted debe evaluar si existen agujeros o vulnerabilidades a través de servidores, redes, componentes de infraestructura, y los puntos finales, y luego un seguimiento continuo de ellos. En otras palabras, tiene que ser capaz de confiar en su propia infraestructura, así como la infraestructura de un proveedor de la nube.

    Artículos Relacionados
    Modelos de despliegue de la nube de datos grandes
    Los riesgos de la gobernabilidad computación en la nube
    ¿Cómo beneficiarse de la administración de identidades en la nube
    ¿Cómo crear una estrategia de seguridad informática en la nube
    Los riesgos de seguridad de los proveedores de nube en un entorno de nube híbrida
    Comparando los sistemas integradores de empresas para la computación en nube
    Cómo gestionar entornos híbridos en la computación en nube
    Cómo asegurar los datos para el transporte en la computación en nube
    Cómo utilizar los estándares de la computación en nube
    El desarrollo de un entorno seguro nube híbrida
    Riesgos para la seguridad de los usuarios finales internos en un entorno de nube híbrida
    ¿Qué es la computación de nube híbrida?
    El ecosistema de gestión de servicio en la nube
    La gestión de los recursos de computación en la nube
    Navegando por la nube de computación interfaz técnica
    Las nubes públicas frente a las nubes privadas para redes informáticas
    ¿Cómo elegir el proveedor de servicios de computación en nube de la derecha
    Cómo diseñar una estrategia de computación en la nube
    Cómo crear un plan de seguridad informática en la nube
    ¿Cómo reducir las brechas de seguridad en las redes de computación en la nube