La segunda lección es que tú no eres el propietario del hardware de forma que para llevar a cabo una exploración de vulnerabilidades, o una prueba de penetración, se necesita el permiso expreso del proveedor del servicio en la nube; si no, el cliente está 'hackeando' los sistemas del proveedor.
En la tercera lección se afirma que mientras la 'cloud computing' ofrece a las compañías inmensos beneficios, como permitir el acceso a los datos desde cualquier lugar y eliminar los quebraderos de cabeza a los directores de TI, el hecho de que el servicio siempre esté activo también significa que los ataques de phishing que amenazan a los trabajadores en casa también podrían afectar a la compañía. Un remedio clave es aumentar la educación de los usuarios sobre los peligros de Internet, no sólo para ellos, sino para sus compañías.
La cuarta lección de Haroon Meer hace referencia a que cuando se utiliza una máquina virtual de un proveedor, las empresas nunca deberían confiar en el sistema. Los investigadores de su compañía han explorado una serie de instancias preconfiguradas y han encontrado claves de autenticación en la caché, datos de tarjetas de crédito, y código maliciosos escondido dentro del sistema. Y es que, según Meer, la mayoría de sus clientes no tienen en cuenta las implicaciones de seguridad a la hora de utilizar la imagen de una máquina creada por un desarrollador externo; por lo tanto las empresas deberían crear sus propias imágenes para uso interno, o protegerse técnicamente y legalmente de desarrolladores con fines algo turbios.
El quinto y último punto afirma: Reconsidera tus hipótesis, que se refiere a que en todos los casos, cuando está en juego la seguridad, los directores de tecnologías de la información tiene que reconsiderar sus hipótesis sobre la nube.
En la tercera lección se afirma que mientras la 'cloud computing' ofrece a las compañías inmensos beneficios, como permitir el acceso a los datos desde cualquier lugar y eliminar los quebraderos de cabeza a los directores de TI, el hecho de que el servicio siempre esté activo también significa que los ataques de phishing que amenazan a los trabajadores en casa también podrían afectar a la compañía. Un remedio clave es aumentar la educación de los usuarios sobre los peligros de Internet, no sólo para ellos, sino para sus compañías.
La cuarta lección de Haroon Meer hace referencia a que cuando se utiliza una máquina virtual de un proveedor, las empresas nunca deberían confiar en el sistema. Los investigadores de su compañía han explorado una serie de instancias preconfiguradas y han encontrado claves de autenticación en la caché, datos de tarjetas de crédito, y código maliciosos escondido dentro del sistema. Y es que, según Meer, la mayoría de sus clientes no tienen en cuenta las implicaciones de seguridad a la hora de utilizar la imagen de una máquina creada por un desarrollador externo; por lo tanto las empresas deberían crear sus propias imágenes para uso interno, o protegerse técnicamente y legalmente de desarrolladores con fines algo turbios.
El quinto y último punto afirma: Reconsidera tus hipótesis, que se refiere a que en todos los casos, cuando está en juego la seguridad, los directores de tecnologías de la información tiene que reconsiderar sus hipótesis sobre la nube.
No hay comentarios:
Publicar un comentario