Seguridad en la nube

 

Cada vez más empresas apuestan por contratar servicios en la nube: servidores de ficheros, backup, alojamiento web, CRM y ERP, videoconferencias, etc. La nube nos permite utilizar recursos de computación que de otra forma no estarían a nuestro alcance. Además de permitirnos almacenar y administrar datos en servidores remotos, nos ofrece ventajas como el pago por uso, el acceso desde cualquier lugar, la unificación de recursos y una implementación rápida, al evitarnos tener que construir o mantener infraestructuras. Actualmente existen muchos proveedores y variedad de servicios cloud, pero, ¿tomamos las precauciones necesarias para utilizar la nube con seguridad?

Introducción a los servicios cloud

Los servicios cloud están de moda y cada vez son más demandados. Las empresas apuestan por trabajar y ofrecer sus servicios desde la nube. Esto permite abaratar costes, acceder desde cualquier dispositivo y lugar, tener directorios compartidos o trabajar de forma colaborativa.

No obstante, los empleados que hagan uso de la nube deben conocer cómo realizar una buena gestión de los recursos de almacenamiento. Para ello, la empresa ha de tener una política de clasificación de información que indique qué tipo de información puede subirse al cloud. Además, contará con una normativa interna para el tratamiento y cifrado de la información crítica y sensible. También se deben establecer procedimientos para aplicar otras medidas de seguridad, como backups o borrados seguros de información.

La seguridad en la nube suele regirse por un modelo de responsabilidad compartida en el que el proveedor de servicios en la nube es responsable de gestionar la seguridad de la infraestructura subyacente y el cliente es responsable de gestionar la seguridad de sistemas operativos, usuarios, aplicaciones, datos, etc. Cuando una empresa elige guardar datos o utilizar la nube para alojar su aplicación, delega, en parte, el control de los servidores en el proveedor cloud. Como resultado, la información sensible y confidencial podría estar en riesgo si no se toman precauciones.

Una forma de obtener las garantías de seguridad del proveedor es revisando los contratos y los acuerdos de nivel de servicio. En ellos se ha de especificar, además de certificados y sellos que ha de tener el proveedor, otros aspectos operativos, como qué tipo de monitorización de seguridad realiza el proveedor o los chequeos de control de acceso, las garantías de aislamiento de datos y quién hace las copias de seguridad o las actualizaciones del software y en qué momento.

Recomendaciones de seguridad

Las prácticas de seguridad en la nube son similares en muchos aspectos a las prácticas en redes y sistemas tradicionales, incluyendo aspectos específicos relativos al proveedor:

• Clasificar y cifrar la información.
• Contar con protección contra el malware.
• Tener una política de permisos.
• Definir los servicios cloud permitidos.
• Utilizar una contraseña robusta y doble factor de autenticación.
• Conocer la política de seguridad y privacidad del proveedor.
• Comprobar que el proveedor incorpora mecanismos que permitan la trazabilidad de los accesos y las modificaciones de la documentación almacenada.
• Disponer de mecanismos que permitan realizar copias de seguridad.