Fecha: 

21 Dec 2023

Autor: 

PREO AG

On-Premise vs. Cloud


Por qué los riesgos de la cloud son casi siempre también riesgos de la empresa

Las soluciones en la cloud desempeñan un papel central en la transformación digital de nuestra economía. Sin embargo, con las grandes oportunidades económicas que las nuevas tecnologías basadas en la nube abren para muchas empresas, también aumentan inevitablemente los riesgos, por ejemplo, por el bloqueo de proveedores, la expansión de la nube o los ciberataques desde la nube. No es casualidad que el Barómetro de Riesgos 2022 de Allianz haya identificado los dos riesgos empresariales siguientes como los mayores a escala mundial: Preocupación por el acceso no autorizado a los datos centrales y sensibles de la empresa y las consiguientes restricciones operativas o incluso el tiempo de inactividad.

Además, la Fundación Shadowserver informa actualmente de casi 20 000 servidores Microsoft Exchange en la Internet pública, más de la mitad de ellos en Europa, que han llegado al final de su soporte, incluidas las versiones Exchange 2007 (275 servidores), 2010 (4062 servidores) y 2013 (26298 servidores). Esto crea vulnerabilidades críticas, incluyendo CVE-2021-26855, que hacen que estos servidores sean vulnerables a la ejecución remota de código. Las estadísticas indican que muchas empresas y organizaciones aún no han actualizado sus servidores a pesar del fin del soporte.

Por ello, los expertos en licencias PREO recomiendan urgentemente:

1. Comprobar todos los servidores Microsoft Exchange y actualizarlos si es necesario.


2. Parchear inmediatamente los sistemas vulnerables identificados.  


3. Si las actualizaciones ya no son posibles, cambiar a versiones de Exchange más recientes, teniendo en cuenta que las licencias de segunda mano pueden ser una alternativa rentable que puede reducir significativamente la carga sobre el presupuesto de TI.


En el siguiente artículo, mostramos por qué los riesgos de la nube no son sólo riesgos informáticos, sino también riesgos empresariales, qué hay que tener en cuenta a la hora de gestionar los factores de riesgo más importantes y cómo pueden beneficiarse las empresas de la integración del software On-Premise de segunda mano.



Las principales amenazas en el ciberespacio son también riesgos en la cloud

Si echa un vistazo al último informe "ENISA Threat Landscape 2023" publicado por la Agencia de Ciberseguridad de la UE, descubrirá que entre las mayores amenazas se encuentran las que suponen un riesgo correspondiente para la nube. Desglosando los sucesos reales en el periodo comprendido entre julio de 2022 y junio de 2023, queda claro que las dos amenazas más comunes, el ransomware y las amenazas contra la disponibilidad, representan más del 50 % del potencial de riesgo.


La probabilidad de ser víctima de un ataque de ransomware, en el que los datos se cifran de forma delictiva, es por tanto la más alta en comparación. Muchos ataques de ransomware tienen como objetivo los servicios en la nube y las copias de seguridad en la cloud.

La amenaza a la disponibilidad y la integridad es también un objetivo frecuente de los ataques, con intentos de manipular los datos de la nube y poner así en peligro su integridad o de sobrecargar los servicios en la nube (Denegación de Servicio Distribuida, DDoS para abreviar) de tal forma que la disponibilidad se vea amenazada, restringida temporalmente o incluso interrumpida por completo. Incluso grandes proveedores de nubes como Microsoft ya se han enfrentado a un escenario de este tipo. Según el gigante tecnológico, la causa de las interrupciones de los portales web en la nube Azure, Outlook, OneDrive y MS Teams en junio de 2023 fue probablemente un ataque DDoS del grupo de hackers Storm-1359, también conocido como Anonymous Sudan. En respuesta, Microsoft ha vuelto a elevar los estándares de seguridad de sus servicios en la nube.

Otros riesgos cibernéticos que también representan un riesgo para la nube en todo momento son el malware, en el que los servicios en la nube se utilizan indebidamente para almacenar y distribuir malware, y los ataques a la cadena de suministro, es decir, ataques a la cadena de suministro de la nube en la que varios proveedores de servicios suministran componentes individuales para un servicio en la nube. 


null


null



Identificar y gestionar activamente los riesgos de la cloud

Sin embargo, la evaluación del riesgo corporativo cuando se utilizan servicios en la nube no sólo incluye la defensa del riesgo externo. La gestión integral de los riesgos de la nube también incluye los factores de cumplimiento y las normas de seguridad informática que afectan directamente a la nube. Cuando se trata del cumplimiento de la normativa, es especialmente importante saber quién es el responsable y reaccionar en consecuencia. En términos de protección de datos según el Reglamento General de Protección de Datos (RGPD), los servicios en la nube se clasifican, por ejemplo, como procesamiento de pedidos, lo que significa que el usuario, como cliente, es responsable de garantizar que el proveedor correspondiente cumple con las normas de seguridad adecuadas. Por lo tanto, antes de concluir un acuerdo de licencia, es esencial comprobarlo debidamente y obtener una prueba de las normas en forma de tratamiento de datos encargado.

En Alemania, la Oficina Federal de Seguridad de la Información (BSI) ha publicado un catálogo de directrices con fines orientativos, que se adapta periódicamente a los avances actuales. El llamado catálogo de criterios C5 define los requisitos mínimos para una computación en nube segura*, que está dirigido a los proveedores profesionales de nubes, a sus auditores y a los clientes. El catálogo C5 es, por tanto, una herramienta importante para seleccionar un proveedor de nube adecuado y, según la BSI, una base práctica para una gestión eficaz de los riesgos corporativos.

Gestión de riesgos en la cloud: lo que las empresas deben tener en cuenta

La transformación digital ya está garantizando que los riesgos de la nube se conviertan cada vez más en riesgos empresariales. Por lo tanto, es necesario integrar la gestión de los riesgos de la nube en la gestión global de los riesgos. La Alianza para la Seguridad en la Nube (CSA) ha analizado los requisitos que debe cumplir la gestión de riesgos en la nube. Las empresas deberían plantearse preguntas como:

  • ¿Qué métodos de gestión de riesgos están ya implantados en la empresa y son adecuados para gestionar los riesgos en la nube?

  • ¿Son conscientes todas las partes interesadas de la organización del modelo de responsabilidad compartida introducido por la computación en la nube y se reflejan adecuadamente las responsabilidades en los procesos y programas de gestión de riesgos?

  • ¿Conocen todas las unidades organizativas los conceptos y las implicaciones de la pérdida indirecta de control derivada de la computación en la nube, incluidos los retos que deben tenerse en cuenta para la mitigación del riesgo y su validación?

  • ¿Son todos los líderes empresariales suficientemente conscientes del impacto de la computación en nube en la proliferación de sus cadenas de suministro y de lo difícil que resulta evaluar y supervisar el riesgo residual consolidado de terceros?

  • ¿Son adecuadas las actuales normas de cumplimiento para identificar, evaluar e informar de los riesgos relevantes de la nube a las partes interesadas?

Para la mayoría de las empresas, la computación en nube ofrece numerosas ventajas de colaboración y entre ubicaciones, así como soluciones prácticas para un panorama informático orientado al futuro, pero también alberga una amplia gama de riesgos en los ámbitos de la seguridad y el cumplimiento. Para hacer frente a estos retos, las empresas deben tener un nivel adecuado de concienciación sobre los riesgos, así como conocimientos exhaustivos y conceptos eficaces para minimizarlos de forma activa. Nuestra experiencia demuestra que muchos responsables de TI son reacios a pasarse completamente a la nube, tanto por motivos de seguridad como financieros, y siguen confiando en soluciones On-Premise probadas y eficaces dentro de su gestión de activos de TI, al menos en algunas áreas.


Minimización de riesgos mediante soluciones híbridas en la nube u on-premise

Especialmente en sectores con normas estrictas en materia de cumplimiento y protección de datos, como la energía, la sanidad, el transporte y la logística o la eliminación de residuos, pero también en el ámbito de la administración pública, los riesgos de las soluciones en la nube total siguen siendo demasiado elevados para muchos responsables informáticos. En su lugar, se utilizan arquitecturas de nube híbrida o soluciones completas On-Premise, en las que los riesgos de seguridad específicos de la nube pueden descartarse, al menos para algunas áreas. Además, estos escenarios abren la posibilidad de reducir de forma sostenible los costes continuos de las licencias mediante la integración basada en las necesidades del software de segunda mano, como muestra el siguiente ejemplo del Grupo LMT:

La empresa del sector de la construcción de maquinaria especial, con 2200 puestos de PC, quería obtener las licencias necesarias según sus necesidades. Esto afectó a 10 ubicaciones de TI en todo el mundo. Entre otras cosas, la solución combinaba un plan Office 365 E1 con licencias de segunda mano de Office 2016 y Windows 2016 Server CAL. El resultado fue la funcionalidad de un plan E3, pero sin Office ProPlus.

Resultado: La empresa consiguió ahorros de seis cifras superiores sin sacrificar la productividad. La inversión se amortizó en el segundo año. Puede encontrar el caso completo del cliente aquí.



Ventajas convincentes: por qué merece la pena el software segunda mano de PREO 

Somos uno de los pioneros en el comercio europeo de licencias de software de segunda mano y líder del mercado en Alemania. Ofrecemos a empresas, organizaciones y administraciones públicas una amplia selección de licencias por volumen de segunda mano en cualquier momento, especialmente de grandes proveedores como Microsoft, Adobe, Oracle o Citrix, con las que pueden optimizar de forma sostenible sus costes de licencia y beneficiarse de múltiples maneras:
 

  • Gran ahorro en los costes de licencia en curso, de hasta un 70% en comparación con la nueva versión correspondiente.  
       
  • Más sostenibilidad en el sector de las TI promoviendo una economía circular activa y reduciendo la huella de CO2 de la empresa.

  • Adquisición de licencias 100 % conforme a la ley y a prueba de auditorías con la máxima transparencia en todos los pasos de la tramitación, incluida la documentación completa en el portal de licencias PREO "Easy Compliance".

  • Muchos años de experiencia en la integración de licencias de software de segunda mano en estructuras de red clásicas o modelos de licencia híbridos.

  • Conocimiento detallado del mercado y amplia experiencia gracias a la transferencia a prueba de auditorías de más de un millón de licencias de software de segunda mano.

  • Capacidades existentes de gestión de licencias de software para grandes proyectos de infraestructuras informáticas con miles de puestos de trabajo y ubicaciones transfronterizas.

  • Algunos proyectos de referencia impresionantes para numerosas empresas medianas y grandes de una amplia gama de sectores.


*ver https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Angriffszielen/Cloud-Computing/Kriterienkatalog-C5/kriterienkatalog-c5_node.html