El nivel de riesgo se estima en la probabilidad de un escenario de incidentes,

comparado con el impacto negativo estimado. La probabilidad de que se produzca

un escenario de incidente se obtiene mediante una amenaza que explota la
vulnerabilidad con una probabilidad concreta.
A continuacin puede verse el nivel de riesgo como funcin del impacto sobre el
negocio y la probabilidad del escenario de incidentes. El riesgo resultante se mide
en una escala de 0 a 8 que puede evaluarse con respecto a los criterios de
aceptacin del riesgo. Esta escala de riesgo tambin puede compararse con una
sencilla clasificacin general de riesgos:
Riesgo bajo: 0-2
Riesgo medio: 3-5
Riesgo alto: 6-8

Falta de tecnologas y soluciones estndar

Una falta de medios estndar significa que los datos pueden estar ligados
a un proveedor. Es un riesgo importante si el proveedor cesa sus
operaciones.
Esto puede frenar el uso de servicios de gestin de seguridad y tecnologas
de seguridad externa como la gestin federada de la identidad (FIM).

 Seleccin de proveedores insuficiente

Ausencia de redundancia DE SUMINISTRADOR
Falta de integridad y transparencia en los trminos de uso
Esta clase de vulnerabilidades incluye: errores en el cdigo de la
aplicacin, procedimientos de parcheado conflictivos entre el proveedor y
el cliente, aplicacin de parches no examinados, vulnerabilidades en los
navegadores, etc.
Funciones y responsabilidades confusas.
Estas vulnerabilidades se refieren a la atribucin inadecuada de
funciones y responsabilidades en la organizacin del proveedor en nube.
Aplicacin deficiente de las definiciones de funciones
En el proveedor en nube, una separacin inadecuada de funciones puede
conducir a roles excesivamente privilegiados que pueden convertir a los
sistemas muy grandes en vulnerables. Por ejemplo, ninguna persona
debera tener privilegios de acceso a toda la nube.
Auditoria o certificacin no disponible para los clientes. Aplicaciones internube que crean dependencia oculta.
El proveedor en nube no puede ofrecer ninguna garanta al cliente va una
certificacin de auditora.
Almacenamiento de datos en jurisdicciones mltiples y falta de transparencia
sobre este punto.
Los servicios de datos en espejo para su entrega a travs de redes de
proximidad y almacenamiento redundante sin informacin en tiempo real
sobre dnde se almacenan los datos disponible para el consumidor
introduce un nivel de vulnerabilidad. Las empresas pueden incumplir las
normas inconscientemente, especialmente si no se ofrece informacin
clara sobre la jurisdiccin del almacenamiento.

 Ausencia de un acuerdo de depsitos de fuentes.

Si no existe un modo flexible y configurable para que el cliente y/o el
proveedor en nube establezcan lmites sobre los recursos, puede haber
problemas cuando el uso de recursos sea impredecible.