La seguridad tecnológica está muy de moda, cada vez se habla más de ella y todos los días se lanzan sofisticadas soluciones que, unidas a millones de consejos, nos ayudan a proteger nuestros equipos y datos. Pero, un buen día, aparece un virus como Wannacry y en unos minutos pone patas a arriba toda esa “magnífica seguridad”. No es de extrañar que, los que no sean expertos, reflexionen sobre en qué manos se ponen.
Una cosa es cierta, los cibercriminales crecen y se sofistican a medida que crecen y se sofistican las soluciones tecnológicas, si no más. Así que, tenemos que tener todos claro que la seguridad al 100% no existe, es más, debemos ser conscientes de que, en este tema, todos somos un poco responsables. Ya no estamos hablando de un panorama en el que juegan el fabricante del dispositivo, el desarrollador del antivirus y el “tejemaneje” del usuario. Ahora hablamos de nube, de no tener barreras físicas y de que el espacio a proteger no tiene límites, es decir, que los actores implicados en la seguridad se multiplican, ahora son proveedores, clientes, propietarios de datos, prestatarios de infraestructuras, proveedores de servicios, etc.
La seguridad cloud existe y es lo que posibilita que esta tecnología esté expandiéndose a la velocidad que lo hace hoy en día (Gartner dice que solo los servicios de cloud público crecerán este año un 18%). ¿Exageramos? Ya en el año 2012, Stefan Gross-Selbeck, presidente de la red social Xing, indicó que “los datos son el petróleo del siglo XXI”. El gurú tecnológico pronunció esta frase en la conferencia DLD, que reúne a la flor y nata de Internet mundial en Munich y hoy está siendo repetida hasta la saciedad porque tiene más sentido que nunca.
Aunque buscar una empresa que cumpla todos estos requisitos no es sencillo, lo cierto es que existen, pero para poder identificarlas tienes que tener claro cuáles son las claves de seguridad que debes tener en cuenta en esta materia y que impedirán que te tachen de negligente en la gestión de tu IT, comparte David Cruz, CTO de Gigas.
pesar de estar hablando de algo tan abstracto como la nube, las empresas deben buscar un proveedor con una seguridad física adecuada. Es decir, que los edificios que albergan el activo más valioso de las empresas: el dato, tengan un adecuado control de acceso a sus instalaciones para evitar que alguien no autorizado pueda acceder a su interior (o que un huracán nos dejara sin servicio). Las certificaciones TIER aportan seguridad en este sentido. Yo, particularmente, no dejaría mis datos en ningún data center por debajo de TIER III.
La seguridad física debe ir acompañada necesariamente de la implementación de medidas internas (definidas por ti y tu equipo IT) destinadas a asegurar el uso adecuado del software y sistema, y a la protección de la información y el acceso ordenado a la misma. Aunque este aspecto compete básicamente a las empresas, el proveedor cloud puede facilitarnos la ejecución con productos y soluciones de calidad como firewalls de última generación, balanceadores de carga y VPNs, SIEM, UEBA.
Aún si puedes demostrar que has tenido en cuenta la seguridad física y lógica mencionada, hay cosas que pueden pasar y pasarán. Y si en la gestión de tu infraestructura no tuviste en cuenta conceptos como “redundar” o “replicar”, quizás antes o después te encuentres ante un desastre. Mantener backups periódicos o las soluciones de contingencia Disaster Recovery pueden ahorrarte problemas y noches en vela, por un precio muy asequible, que te permiten incluso replicar íntegramente la infraestructura caída en minutos, como si no hubiera pasado “casi“ nada.
En todo momento debes saber y poder explicar dónde están tus datos. Si además debes cumplir con normativas de protección de datos, entonces, asegúrate bien de mantenerlos en la órbita que pueden exigirte y recuerda: puedes tener tu dato perfectamente ubicado, pero, ¿sabes dónde están los datos del último backup que has realizado?
Más allá de los conceptos inherentes al cloud (disponibilidad, flexibilidad, escalabilidad y eficiencia), o quizás por encima de todos ellos, está la seguridad, que nos obliga a los proveedores de estos servicios a invertir cada día más esfuerzos y recursos en mejorar a todos los niveles (producto, infraestructura y procesos). La seguridad es hoy clave en la decisión para elegir uno u otro proveedor y el compromiso de los proveedores cloud con la seguridad IT debe ser absoluto.