Fecha:
7 Feb 2024
Autor:
PREO AG
On-Premise vs. Cloud
Vulnerabilidades potenciales que a menudo se pasan por alto
Casi todas las grandes empresas están implicadas en el Cloud-Computing y utilizan los servicios en distintos grados e intensidades. La mayoría de los departamentos de TI llevan tiempo trabajando en estrategias integrales para la cloud o las tienen en su agenda. Sin embargo, con la entrada en la cloud, ya sea como arquitectura híbrida o como solución de cloud total, también aumentan los riesgos de seguridad específicos de esta. Por esta razón, las grandes empresas que operan en todo el mundo y los proveedores de la cloud en particular están invirtiendo miles de millones en asegurar las infraestructuras de la cloud internacionalmente. Si quiere minimizar eficazmente los riesgos, también debe vigilar las vulnerabilidades indirectas más pequeñas, además de los escenarios de riesgo mayores, como la disponibilidad de la infraestructura física, los ciberataques dirigidos o el bloqueo de un proveedor.
Por ello, en esta entrada de blog analizamos los siguientes riesgos potenciales para la seguridad en la cloud: Dispositivos finales digitales, cloud múltiple y cloud en la sombra, así como el factor de riesgo humano. Y utilizamos un ejemplo práctico para mostrar por qué las empresas no sólo están abandonando la cloud en parte o en su totalidad por motivos de seguridad, sino que en su lugar están optando por soluciones On-Premise de eficacia probada.
Riesgo en la seguridad de la cloud de los dispositivos digitales
Todos los dispositivos digitales con los que los usuarios finales acceden a los servicios en la cloud requieren los mismos altos estándares de seguridad que la propia infraestructura de la cloud para que no se conviertan inadvertidamente en una puerta de entrada. Especialmente en las grandes empresas u organizaciones que trabajan en distintos lugares y países, esto puede convertirse en un reto constante que consume mucho tiempo y recursos. El mero hecho de mantener el gran número de dispositivos en circulación, como ordenadores personales, portátiles, tabletas, smartphones, pero también servidores o impresoras de red, si están conectados a la cloud, al nivel de seguridad exigido actualmente es, literalmente, como una tarea interminable. Como consecuencia, los departamentos de TI suelen estandarizar en gran medida la seguridad de los dispositivos y a menudo la infradimensionan porque los riesgos indirectos, por ejemplo debidos a problemas de interfaz, no se tienen en cuenta lo suficiente.
Riesgos para la seguridad en la cloud, cloud múltiple y cloud «en la sombra»
Mientras que las empresas más pequeñas suelen utilizar sólo uno o unos pocos servicios en la cloud, las medianas empresas o corporaciones suelen optar por una solución multicloud como parte de su estrategia en la cloud. El objetivo es mantener la flexibilidad, disponibilidad y seguridad de los recursos necesarios al nivel más alto posible. En particular, con ello se pretende evitar dependencias excesivas y unilaterales de un único proveedor de la cloud, como ocurre con el Vendor lock-in. La combinación de cloud pública para cargas de trabajo estandarizables y fácilmente escalables y cloud privada para datos y aplicaciones sensibles es especialmente popular. Sin embargo, como ocurre con todas las interfaces sistémicas, éstas también son un objetivo preferente del Cloud-Computing y deben ser objeto de una alta prioridad en el departamento de TI como parte de la gestión de riesgos de la cloud.
Es más difícil con el conocido —pero siempre subestimado— fenómeno de la cloud «en la sombra», que suele ir acompañado de otro, la llamada cloud «en expansión». La difusión incontrolada de software en la cloud, por ejemplo en las cuentas personales en la cloud de los empleados o en cuentas departamentales con proveedores de cloud públicas más o menos seguras, es una puerta de entrada ideal para los ciberdelincuentes. Por regla general, el departamento de TI interno desconoce esta TI «en la sombra» existente, lo que significa que no se han tomado precauciones de seguridad específicas. Por lo tanto, el riesgo es especialmente elevado y, dependiendo del escenario del ataque, puede amenazar rápidamente la viabilidad comercial de toda la empresa. Para minimizarlo eficazmente, es importante que las empresas identifiquen y gestionen continuamente los sistemas informáticos en la sombra y los integren en la estrategia informática oficial o los sustituyan por alternativas seguras. Para lograrlo, es necesario sensibilizar a todas las unidades organizativas sobre los riesgos de seguridad existentes, por ejemplo mediante cursos regulares de formación o autoaprendizaje.
Riesgo del factor humano para la seguridad de la cloud
Los ataques en la cloud suelen tener más éxito cuando el factor humano es especialmente importante. Ejemplos típicos son, por tanto, las vulnerabilidades debidas a una administración o una configuración de interfaz incorrectas, así como a errores en la aplicación. Una gestión activa de los riesgos de la cloud, desde pruebas periódicas hasta ataques simulados dirigidos a la infraestructura informática existente, garantiza que estas vulnerabilidades se descubran lo antes posible y se cierren de forma preventiva.
El factor humano adquiere otra dimensión relevante para la seguridad en el ámbito de las identidades digitales. Si se apodera ilegalmente de ella o la roba, también puede hacer un uso indebido de las funciones asociadas como usuario o administrador. Incluso las máquinas virtuales son cada vez más usuarias de los servicios en cloud. La gestión activa de identidades y accesos, o IAM por sus siglas en inglés, integrada en la estrategia de seguridad informática tiene, por tanto, la importancia correspondiente cuando se trata de minimizar los riesgos de seguridad en la cloud.
De vuelta de la cloud: por qué la empresa mediana Swedex vuelve al sistema On-Premise
La empresa mediana Swedex, con sede en Essen y unos 300 empleados, experimentó que una solución total en la cloud no sólo es un reto para la seguridad, sino que también puede provocar una espiral de costes a veces difícil de calcular. Las consecuencias: Esta empresa mediana, es uno de los principales proveedores europeos en el ámbito de la presentación de documentos, y no quería seguir aceptando tanto el aumento dinámico de los costes como su dependencia de un gran proveedor en la cloud y buscaba una alternativa independiente y asequible. El resultado: Después de tres años en la cloud de Microsoft, los dirigentes decidieron volver al funcionamiento On-Premise. Como resultado, la integración de las licencias de software de segunda mano de PREO supuso un enorme ahorro de unos 100 000 euros en costes continuos de licencias. Puede encontrar más información sobre este y otros casos de clientes aquí.
Amplia gama de licencias por volumen de segunda mano
PREO ofrece a empresas, organizaciones y administraciones públicas una amplia selección de licencias por volumen de segunda mano para versiones actuales y antiguas de software estándar de fabricantes líderes del mercado como Microsoft y Adobe. Sea cual sea la necesidad de software de segunda mano, con PREO las pequeñas y medianas empresas, así como las grandes, tienen todas las ventajas de su lado:
- Gran ahorro en los costes de licencia en curso, de hasta un 70 % en comparación con la nueva versión correspondiente.
- Adquisición de licencias 100 % conforme a la ley y a prueba de auditorías con la máxima transparencia en todos los pasos de la tramitación, incluida la documentación completa en el portal de licencias PREO "Easy Compliance".
- Muchos años de experiencia en la integración de licencias de software de segunda mano en estructuras de red clásicas o modelos de licencia híbridos.
- Capacidades existentes de gestión de licencias de software para grandes proyectos de infraestructuras informáticas con miles de puestos de trabajo y ubicaciones transfronterizas.
- Contribución activa a la reducción de la huella de CO2 en el sector TI mediante la entrada en una economía circular que conserve los recursos, incluida la ampliación de los ciclos de software y hardware.
- Impresionantes proyectos de referencia para numerosas empresas de renombre de una amplia gama de industrias.
A propósito: PREO se complace en adquirir software obsoleto y que ya no es necesario a condiciones atractivas. Nuestros expertos en licencias estarán encantados de asesorarle personalmente y facilitarle un presupuesto gratuito y sin compromiso.