A Fondo
Seis claves para asegurar tu infraestructura cloud
La seguridad tecnológica está muy de moda, cada vez se habla más de ella y todos los días se lanzan sofisticadas soluciones que, unidas a millones de consejos, nos ayudan a proteger nuestros equipos y datos. Pero, un buen día, aparece un virus como Wannacry y en unos minutos pone patas a arriba toda esa “magnífica seguridad”. No es de extrañar que, los que no sean expertos, reflexionen sobre en qué manos se ponen.
Una cosa es cierta, los cibercriminales crecen y se sofistican a medida que crecen y se sofistican las soluciones tecnológicas, si no más. Así que, tenemos que tener todos claro que la seguridad al 100% no existe, es más, debemos ser conscientes de que, en este tema, todos somos un poco responsables. Ya no estamos hablando de un panorama en el que juegan el fabricante del dispositivo, el desarrollador del antivirus y el “tejemaneje” del usuario. Ahora hablamos de nube, de no tener barreras físicas y de que el espacio a proteger no tiene límites, es decir, que los actores implicados en la seguridad se multiplican, ahora son proveedores, clientes, propietarios de datos, prestatarios de infraestructuras, proveedores de servicios, etc.
Esta protección, que a priori puede parecer harto imposible, hay que mirarla desde una óptica optimista: sí, se pueden hacer muchas cosas y se puede dormir tranquilo… buscando un compañero de viaje adecuado.
La seguridad cloud existe y es lo que posibilita que esta tecnología esté expandiéndose a la velocidad que lo hace hoy en día (Gartner dice que solo los servicios de cloud público crecerán este año un 18%). ¿Exageramos? Ya en el año 2012, Stefan Gross-Selbeck, presidente de la red social Xing, indicó que “los datos son el petróleo del siglo XXI”. El gurú tecnológico pronunció esta frase en la conferencia DLD, que reúne a la flor y nata de Internet mundial en Munich y hoy está siendo repetida hasta la saciedad porque tiene más sentido que nunca.
Si tan importante es el dato, y está en un entorno tan complejo como la nube, ¿cómo no preocuparse por su seguridad? El Instituto Nacional de Tecnologías de la Información (INTECO), ha elaborado una lista en la que aparecen las principales amenazas que afectan a la información que está en la nube:
- Abuso y mal uso del cloud computing
- Interfaces y APIs poco seguras
- Amenazas internas
- Problemas derivados de las tecnologías compartidas
- Pérdida o fuga de información
- Secuestro de sesión o servicio
- Riesgos motivados por el desconocimiento
Y si estas amenazas, que no paran de crecer, se dan en el contexto de una empresa, las consecuencias se multiplican por mil. Las grandes corporaciones cuentan con presupuesto para tener una buena equipación frente a amenazas (aunque a veces ni esto funciona, visto lo visto) pero, ¿qué pasa con las pymes? No pueden permitirse el lujo de contar con un equipo humano y tecnológico que esté al quite de lo malo que pasa en la red o que pueda lidiar con los millones de amenazas que, a diario, intentan robarles sus datos. Ellas necesitan un proveedor que les dé confianza, que les quite ese “marrón”, que cuide de su información.
La opinión del experto: David Cruz, CTO de Gigas
Aunque buscar una empresa que cumpla todos estos requisitos no es sencillo, lo cierto es que existen, pero para poder identificarlas tienes que tener claro cuáles son las claves de seguridad que debes tener en cuenta en esta materia y que impedirán que te tachen de negligente en la gestión de tu IT.
1.- Seguridad física
A pesar de estar hablando de algo tan abstracto como la nube, las empresas deben buscar un proveedor con una seguridad física adecuada. Es decir, que los edificios que albergan el activo más valioso de las empresas: el dato, tengan un adecuado control de acceso a sus instalaciones para evitar que alguien no autorizado pueda acceder a su interior (o que un huracán nos dejara sin servicio). Las certificaciones TIER aportan seguridad en este sentido. Yo, particularmente, no dejaría mis datos en ningún data center por debajo de TIER III.
2.- Seguridad lógica
La seguridad física debe ir acompañada necesariamente de la implementación de medidas internas (definidas por ti y tu equipo IT) destinadas a asegurar el uso adecuado del software y sistema, y a la protección de la información y el acceso ordenado a la misma. Aunque este aspecto compete básicamente a las empresas, el proveedor cloud puede facilitarnos la ejecución con productos y soluciones de calidad como firewalls de última generación, balanceadores de carga y VPNs, SIEM, UEBA.
3.- Redundar puede ser tu mejor aliado
Aún si puedes demostrar que has tenido en cuenta la seguridad física y lógica mencionada, hay cosas que pueden pasar y pasarán. Y si en la gestión de tu infraestructura no tuviste en cuenta conceptos como “redundar” o “replicar”, quizás antes o después te encuentres ante un desastre. Mantener backups periódicos o las soluciones de contingencia Disaster Recovery pueden ahorrarte problemas y noches en vela, por un precio muy asequible, que te permiten incluso replicar íntegramente la infraestructura caída en minutos, como si no hubiera pasado “casi“ nada.
4.- Verifica el grado de cumplimiento de los estándares de seguridad reconocidos
Verifica el cumplimiento de los procedimientos de tu proveedor respecto a la información que le confías. Normalmente se puede hacer un chequeo rápido a través de las certificaciones en estándares internacionales, por ejemplo, PCI DSS Nivel 1 o la norma ISO 27001. Se trata de cumplir, y demostrar que cumples, mediante arduas, largas y exhaustivas auditorías externas con políticas de seguridad que garantizan entornos cloud seguros a clientes como tú. Por ejemplo, la PCI DSS reconoce un cloud seguro para almacenar o gestionar datos de procesos de pago con tarjetas.
5.- Busca transparencia en la comunicación con tu proveedor
Asegúrate de que quien te ofrece la infraestructura cloud sabe lo que hace pero, sobre todo, asegúrate de que es transparente en la gestión de los problemas. Primero, debería disponer de un equipo de soporte que monitorice y vele por una plataforma libre de amenazas e intrusiones, que puedan interferir en la calidad de los servicios de forma dinámica e inmediata (plantéate desde ahora qué tipo de soporte te ofrecen). Segundo, debe darte soluciones adecuadas y rápidas o redirigirte al proveedor indicado para resolver cualquier incidencia. Tercero, debe comunicarte cualquier intervención o interrupción del servicio y el motivo de la misma casi de forma inmediata al hecho que lo provoca. De otra forma, te arriesgas a quedar como un incompetente.
6.- Asegura ubicación y trazabilidad de tus datos
En todo momento debes saber y poder explicar dónde están tus datos. Si además debes cumplir con normativas de protección de datos, entonces, asegúrate bien de mantenerlos en la órbita que pueden exigirte y recuerda: puedes tener tu dato perfectamente ubicado, pero, ¿sabes dónde están los datos del último backup que has realizado?
Más allá de los conceptos inherentes al cloud (disponibilidad, flexibilidad, escalabilidad y eficiencia), o quizás por encima de todos ellos, está la seguridad, que nos obliga a los proveedores de estos servicios a invertir cada día más esfuerzos y recursos en mejorar a todos los niveles (producto, infraestructura y procesos). La seguridad es hoy clave en la decisión para elegir uno u otro proveedor y el compromiso de los proveedores cloud con la seguridad IT debe ser absoluto.
La pregunta, en definitiva es: ¿me asegura mi proveedor cloud de manera efectiva un entorno propio seguro y protegido y unas herramientas y servicios que me permitan estar tranquilo?
Si la respuesta no es afirmativa, sencillamente te la estás jugando.
-
OpiniónHace 6 días
10 predicciones para los proveedores de servicios gestionados en 2025
-
NoticiasHace 7 días
AMD despedirá al 4% de su plantilla mientras se centra en IA y centros de datos
-
NoticiasHace 7 días
La Comisión Europea multa a Meta con 798 millones por perjudicar a la competencia de Marketplace
-
NoticiasHace 3 días
El Capitan es el nuevo superordenador más potente y rápido del mundo