Las amenazas y riesgos que pueden ocurrir en este tipo de aplicaciones en la nube dependerán del servicio que contratemos.
Con carácter general podemos destacar las siguientes amenazas: accesos no autorizados; interfaces inseguras; uso de tecnologías compartidas; fuga de información; suplantación de identidad; falta de formación y desconocimiento del entorno; suplantación de identidad y ataques de hacking.
En la utilización de este tipo de aplicaciones, resulta imprescindible la realización de un análisis de riesgos y así poder aplicar las medidas necesarias para mitigar los riesgos. Los riesgos que pueden derivar de las amenazas indicadas anteriormente son, por ejemplo, acceso de usuarios con privilegios que actúan de forma maliciosa, desconocimiento de la localización de los datos, por ejemplo, cuando están ubicados en terceros países sin garantías adecuadas o falta de soporte en caso de que ocurra algún incidente y no se pueda acceder a los logs o registros de actividad. Una vez que conocemos los riesgos tendremos que aplicar las medidas de seguridad técnicas y organizativas más adecuadas para mitigarlos, por ejemplo, en el caso de falta de soporte, el proveedor debe garantizar que los logs y los datos se gestionen de una forma centralizada.
IMPORTANTE
En la contratación de aplicaciones en la nube es necesario que las medidas de seguridad técnicas y organizativas estén contenidas en el acuerdo de servicio
