La preocupación por la seguridad y el diseño web de los datos en la nube es algo que está presente desde que se comenzó a utilizar este tipo de servicios. A pesar de que las preocupaciones sobre ataques de hackers y piratas informáticos han bajado algo, la preocupación por la pérdida de datos y privacidad sigue poniendo en riesgo la implantación de algún intento de migración a la nube, como es el caso de la adopción de un sistema CRM con integración de datos de sistemas locales.
La raíz de las preocupaciones de seguridad es la naturaleza compartida de los servicios en la nube y la pérdida de control físico. El pensamiento es, que si tienes los datos y el equipo en tu poder, entonces es más probable mantenerlos a salvo. Hay una preferencia natural para creer que las cosas que están fuera de nuestro control son menos seguras. Los compañeros de Powerdata nos comentan qué debemos saber sobre la seguridad de los servicios en la nube.
Contenido
Seguridad en la nube de alto nivel
Los proveedores de servicios en la nube no tienen otra opción que ofrecer seguridad del más alto nivel. Sin ella, no pueden conseguir los lucrativos negocios de grandes clientes en industrias como las de servicios financieros y asistencia sanitaria. Estos servicios suelen diseñarse con un modelo que les obliga a abordar casos de uso muy diferentes.
Las compañías de la nube también pueden aplicar economías de escala. Debido a que sus inversiones en seguridad benefician a todos los clientes, pueden amortizar sus costos de manera más eficiente. Los parches y las actualizaciones también se pueden aplicar a todos los clientes haciendo que cada cuenta individual sea más segura.
El temor de que los entornos compartidos sean inherentemente menos seguros, también es un mito. Es cierto que este sistema proporciona múltiples clientes que comparten los mismos recursos, pero la virtualización ofrece el mismo nivel de seguridad que los servidores físicos y es casi imposible para un atacante alcanzar el hardware desde la máquina virtual, que es donde más daño se puede hacer.
Las amenazas internas
El cloud computing está permitiendo que muchos sectores estén transformando su manera de hacer negocios pero también nos permite ver que las empresas son mucho más vulnerables a las amenazas internas que a las externas. Forrester Research informa que el 25% de las infracciones de seguridad son causadas por personas mal intencionadas y un 36% por errores de empleados. Las políticas de contraseñas poco firmes, el phishing y la ingeniería social, comprometen cualquier sistema independientemente del lugar en el que se encuentre. Incluso la solución más segura en tus propias instalaciones es vulnerable a las malas prácticas de seguridad. Esas prácticas pueden afectar negativamente a los sistemas locales y la nube por igual.
Cómo mantenerse a salvo
Quizás el mito más grande es la creencia de que la seguridad está en manos del proveedor de la nube. Los expertos subrayan que la seguridad es una responsabilidad compartida de la que el cliente realmente tiene la mayor parte de la responsabilidad. Mediante la aplicación de algunas prácticas de seguridad, los usuarios pueden evitar más del 90% de las amenazas más comunes.
Control de acceso
Los 100 password que la gente utiliza con más frecuencia no han cambiado mucho en los últimos años. Los patrones analizados sobre más de 10 millones de nombres de usuario y contraseñas así lo indican. No importa cuántos firewalls tengas si los usuarios dan voluntariamente sus contraseñas a desconocidos que les llaman haciéndose pasar por personas del help desk. El cliente sigue siendo responsable de la contraseña y otros controles de acceso, independientemente del proveedor de servicios y la ubicación del centro de datos.
Uso de contraseñas seguras y cambio frecuente
Los usuarios también deben tener una contraseña diferente para cada sitio web o servicio. Existen servicios de gestión de contraseñas que hacen que sea relativamente sencillo crear credenciales fuertes y realizar un seguimiento de muchas contraseñas diferentes. La mayoría de los proveedores de la nube también ofrecen encriptación en dos etapas en la que una contraseña se incrementa mediante un código de verificación enviado a un teléfono móvil. Tu proveedor de la nube puede incluso ofrecer single sign-on como parte de su servicio.
Encriptación de datos
Es recomendable utilizar una red privada virtual (VPN) que proporcione una excelente seguridad y garantice que todos los usuarios autorizados obtengan un nivel básico de encriptación.
Acceso controlado a recursos de niel de sistema
El acceso a recursos de nivel de sistema también debe ser estrictamente controlado para que sólo unas pocas personas puedan probar nuevas máquinas virtuales o acceder a datos de nivel global. El departamento de IT e debe ser consciente de cada máquina virtual que la empresa utiliza para acceder a los datos.
Copias de seguridad locales
Asegúrate de que el proveedor de la nube te permite realizar copias de seguridad locales de tus datos. Esto no siempre es posible, así que es mejor asegurarse y preguntar antes de contratar.
Control en el punto final
Los datos probablemente estén más seguros en la nube que en tu propio centro de datos, pero eso no importa si los dispositivos que usa la gente para acceder están abiertos. Los datos confidenciales deben ser encriptados mientras están en tránsito y de nuevo cuando se almacenan en un PC o dispositivo móvil. Las buenas prácticas de contraseñas son tan importantes en los smartphones y tabletas como las computadoras.
Conclusión
En una época en la que traer tu propio dispositivo a tu puesto de trabajo y teletrabajo son algo común, la seguridad física no importa mucho. La seguridad de la nube es mucho menos acerca de tecnología y más acerca del proceso. Esto es un hecho, independientemente de dónde residen los datos.