Interesante lista de amenazas posible en soluciones de infraestructura y cloud para administración pública según el informe publicado por ENISA: “Seguridad y resistencia en las nubes de la Administración Pública”.

Lista de Amenazas cloud

Amenazas aplicables a todas las situaciones, para ampliar información y ver detalles lo ideal es leer el informe citado antes.

  • 1. Interrupciones de red (pérdida temporal de componentes de enrutamiento, asumiendo que puede recuperarse)
  • 2. Pérdida de tráfico
  • 3. Gestión de red (es decir, congestión de red, mala conexión, uso no óptimo, etc.)
  • 4. Interferencia de aplicaciones (acceso al código, y posterior ataque)
  • 5. Error del administrador del PN
  • 6. Intruso malicioso (exploración ineficaz, registros ineficaces, etc.)
  • 7. Recursos agotados del PN (pérdida de rendimiento)
  • 8. Sobrecarga del sistema, incapacidad de escalar
  • 9. Compromisos del hipervisor o del SO
  • 10. Ataques de ingeniería social (suplantación – ej. seguridad a demanda)
  • 11. Filtración de datos en la carga o descarga dentro de la nube (sniffing (captura de paquetes), spoofing (suplantación de identidad), ataques por canal lateral, etc.)
  • 12. Compromiso de la interfaz de gestión (manipulación, disponibilidad de infraestructura)
  • 13. Proveedor o sistema de gestión de identidades (es el punto de error del sistema)
  • 14. DDoS
  • 15. DOS en otra autoridad sanitaria que afecta a la suya
  • 16. Emprender exploraciones o sondeos maliciosos
  • 17. Modificación del tráfico de red
  • 18. Escalada de privilegios
  • 19. Robo de equipo informático
  • 20. Compromiso o fallo del sistema de contabilidad y facturación
  • 21. Repetición
  • 22. Abordaje al sistema anfitrión (hacer compartimentos)
  • 23. Indisponibilidad del servicio de HCE
  • 24. Otra indisponibilidad de servicio
  • 25. Pérdida o compromiso de información de HCE
  • 26. Duplicación de datos
  • 27. Incoherencia de datos (actualización de datos inefectiva)
  • 28. Pérdida o compromiso de registros operativos
  • 29. Pérdida o compromiso de registros de seguridad (manipulación de investigación forense)
  • 30. Interceptación de datos durante la migración o actualización periódica de datos en la nube
  • 31. Compromiso de los datos durante la migración o actualización periódica de datos en la nube
  • 32. Desastres (naturales)
  • 33. Acceso no autorizado a los locales (incluido el acceso físico a máquinas y otras instalaciones)
  • 34. Robo de copias de seguridad
  • 35. Claves de cifrado perdidas
  • 36. Eliminación insegura de datos (cuando lo solicita el paciente)
  • 37. Pérdida de gobernanza, control, especificaciones (el ANS puede estar incompleto; no cubre todos los indicadores principales de rendimiento)
  • 38. Bancarrota del socio o proveedor de la nube
  • 39. Adquisición del proveedor o socio de la nube (aumenta la probabilidad del cambio estratégico y puede poner en riesgo acuerdos no vinculantes)
  • 40. Responsabilidad respecto a normativas (por ejemplo, notificación a los clientes de incumplimientos sobre la seguridad de los datos)
  • 41. Problemas de protección de datos y legales
  • 42. Conflicto de requisitos de privacidad y seguridad
  • 43. Conflictos entre directrices locales o regionales (necesidad de aplicación)

Amenazas específicas al modelo de nube comunitaria y, más en concreto, al enfoque federado propuesto en el proyecto RESERVOIR.

  • 44. Error de servicio de facturación o disponibilidad reducida: el usuario de IaaS solicita su factura según el pago por uso. Cualquier reducción en la disponibilidad del servicio de facturación afectará a la resistencia de IaaS.
  • 45. Menor disponibilidad o fallo al crear EEV (entornos de ejecución virtuales): la configuración de EEV conlleva descargar las imágenes del sistema, instanciando después con los parámetros de configuración, iniciándolas y creando la red virtual entre el EEV. Cualquier reducción de disponibilidad al iniciar el EEV afectará a la resistencia de IaaS.
  • 46. Menor disponibilidad o error al cerrar el EEV: elimina un EEV tras una solicitud sin distribuir. Cualquier reducción de disponibilidad al cerrar el EEV afectará a la resistencia de IaaS.
  • 47. Menor disponibilidad o error de la función de migración: la migración permite volver a buscar un EEV de un host a otro sin interrumpir el servicio. Cualquier fallo en la función de migración afectará en general a la resistencia de IaaS.
  • 48. Menor disponibilidad de la función de control: el control de EEV permite evaluar la infraestructura y tomar acciones correctivas si es necesario, como restablecer, escalar o migrar EEV. Cualquier reducción de disponibilidad en el control de la infraestructura afectará en general a la resistencia de IaaS.
  • 49. Error de servicio de facturación o disponibilidad reducida: el usuario de IaaS solicita su factura según el pago por uso. Cualquier reducción en la disponibilidad del servicio de facturación afectará a la resistencia de IaaS.

Más información en el informe ENISA: “Seguridad y resistencia en las nubes de la Administración Pública”.

Dejar respuesta