ENISA, la agencia de ciberseguridad de la UE, ha publicado un nuevo informe acerca de la informática en la nube desde la perspectiva de la Protección de Infraestructuras de Información Crítica (CIIP, por sus siglas en inglés) en el cual ha identificado tanto el papel fundamental que desempeña la informática en la nube, dada la concentración de usuarios y datos, como el creciente uso que se está haciendo de ella en sectores críticos como el de las finanzas, la sanidad o los seguros.

En tan solo unos años, una gran mayoría de organizaciones dependerá de la informática en la nube. Grandes servicios de nube tendrán decenas de millones de usuarios finales. ¿Qué pasa si uno de esos servios de nube falla o es pirateado?

“Desde el punto de vista de la seguridad, la concentración de datos es una ‘navaja de doble filo’. Los grandes proveedores pueden ofrecer una seguridad de vanguardia y una continuidad comercial mediante la distribución de costes entre un gran número de clientes. No obstante, si se produjera una interrupción en el servicio o una violación de la seguridad, entonces el impacto sería mayor y afectaría a la vez a un gran número de organizaciones y ciudadanos”, afirma el Dr. Marnix Dekker.

Estos últimos años ha habido un gran número de ejemplos de fallos que han afectado a sitios Web de grandes dimensiones con millones de usuarios (por ejemplo, la interrupción del servicio causada por el error lógico de programación del año bisiesto). Este informe examina las amenazas desde la perspectiva de la Protección de Infraestructuras de Información Crítica (CIIP); es decir, examina cómo prevenir las ciberinterrupciones y ciberataques a gran escala.

Las ideas clave del informe son:
•    Infraestructura crítica: muy pronto, la gran mayoría de organizaciones utilizarán la informática en la nube, también en sectores críticos como las finanzas, la energía y el transporte. Los mismos servicios en la nube se están convirtiendo en infraestructuras de información crítica.
•    Desastres naturales o ataques (distribuidos) de denegación de servicio (DDoS): una de las ventajas de la informática en la nube es su gran resistencia en caso de desastres naturales y ataques (distribuidos) de denegación de servicio (DDoS), que resultan difíciles de mitigar mediante los enfoques tradicionales (servidores in situ o centros individuales de datos).
•    Ciberataques: debido a la gran concentración de usuarios y datos, los ciberataques que explotan las debilidades del software pueden causar violaciones capaces de afectar a millones de usuarios. La redundancia física no supone ninguna defensa contra ciberataques como las violaciones de datos que explotan las debilidades del software. 

El informe también proporciona nueve recomendaciones para organismos responsables de infraestructuras de información crítica. Puntos clave: incluir extensos servicios de nube en la evaluación de riesgos a nivel nacional, rastrear las dependencias de la nube y trabajar en estrecha colaboración con proveedores en los programas de elaboración de informes sobre incidentes.
El Director ejecutivo de ENISA, el Profesor Udo Helmbrecht, ha manifestado que: “la informática en la nube es una realidad y, por lo tanto, debemos estar preparados para prevenir fallos de servicio y ciberataques en los servicios de nube. Las Estrategias Europeas de Ciberseguridad e  Informática en la Nube proporcionan una hoja de ruta para esto.”
ENISA lanzará un nuevo grupo de trabajo que se centrará en la Protección de Infraestructuras de Información Crítica (CIIP) y en la seguridad de nube gubernamental.
Para el informe completo y las recomendaciones: enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing/critical-cloud-computing/
Contexto: Plan de actuación sobre la Protección de Infraestructuras de Información Crítica (CIIP) de la Comisión, Estrategia de ciberseguridad de la UE, European Commission Cloud Computing Strategy
Para el informe completo y las recomendaciones: enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing/critical-cloud-computing/
Contexto: Plan de actuación sobre la Protección de Infraestructuras de Información Crítica (CIIP) de la Comisión, Estrategia de ciberseguridad de la UE

Más información