En la actualidad, la nube es una tecnología de almacenamiento en línea cada vez más utilizada por las empresas. Pese a este antecedente, muchas organizaciones implementan dicha tendencia sin adoptar las medidas de seguridad necesarias. Este post explica algunos aspectos de este tipo de servicios y brinda 3 consejos importantes para utilizar la nube de modo más seguro.
Antes de comenzar con el tema de la seguridad en la nube, es importante considerar que esta tecnología en las empresas no solo es utilizada para almacenar información y copias de seguridad, sino también para desplegar aplicaciones y diferentes infraestructuras informáticas. En esta línea, la nube se podría entender como un sistema de computación distribuido sobre Internet, es decir, que contempla el uso de servicios informáticos que se encuentran implementados en servidores ajenos a la organización tanto en términos físicos como de propiedad sobre dichos equipos. Asimismo, y de acuerdo a un estudio realizado por Gartner que proyecta el estado de la nube entre 2011 y 2016 con respecto a varios aspectos, Latinoamérica no es la región que más ha invertido en términos económicos en esta tecnología (lo es Estados Unidos con el 59%), sin embargo, algunos países de América Latina como Argentina, México y Brasil son las naciones que registran las tasas de crecimiento más altas de servicios en la nube.
Algunas características de la nube como la posibilidad de acceder a diferentes recursos desde prácticamente cualquier lugar que cuente con una conexión a Internet, el ahorro de recursos de hardware en el caso de utilizar aplicaciones en la nube, entre otras, no solo aceleran el crecimiento de esta tecnología, sino también provocan que sea un blanco atractivo para los cibercriminales. Por lo mismo, adoptar medidas que permitan un uso más seguro de la nube en las empresas es fundamental, más si se considera que se prevé un crecimiento de la nube en las empresas y sistemas de producción que sumará un total de $131 mil millones de dólares. Considerando lo anterior, ¿Está protegiendo su negocio adecuadamente? A continuación se muestra un esquema que ejemplifica las amenazas en la nube:
En base al esquema anterior, la primera instancia en que la información podría resultar comprometida es antes que esta sea almacenada en la nube. Por ejemplo, una empresa cuyos sistemas se encuentren infectados con un código malicioso, se expone a que los datos sean robados antes de que sean subidos a la nube. Por otro lado, la información también puede correr riesgo si la organización transmite los datos a través de una conexión insegura. En este sentido, el robo de información ocurriría durante el envío de esta producto de ataques como sniffing o robo de paquetes. En la tercera instancia, la seguridad que adopte el proveedor del servicio en la nube como cifrado de datos, política de uso y seguridad, etc., también determina la factibilidad de que la información almacenada en la nube pueda ser vulnerada mediante un ataque en contra del proveedor de los servicios. Considerando todo lo anterior, se mencionan tres consejos que permiten mitigar los riesgos mencionados en esta publicación:
- Antes de subir la información a la nube: implementar una política de seguridad en la empresa que contemple una protección integral desde los tres pilares fundamentales: tecnología, educación y gestión. En este sentido, el uso de la nube también debe regularse a través de la política de seguridad en lo que respecta a qué datos o sistemas serán almacenados en este tipo de servicios. En el post 10 mandamientos de la seguridad de la información en la empresa es posible encontrar consejos destinados a la protección de datos en organizaciones y que sirve como punto de partida.
- Durante el envío de información a la nube: en este punto, es importante considerar el uso exclusivo de conexiones a Internet seguras, es decir, que implementen sistemas de protección como un firewall, el acceso restringido a equipos pertenecientes a la empresa, etc. En el caso de conexiones inalámbricas, el uso de WPA2 con cifrado AES, un SSID oculto, filtrado por direcciones MAC, entre otros, contribuyen a mitigar el impacto de este tipo de ataques.
- Después de subir la información en la nube: con respecto a esto, leer detalladamente el Contrato de Uso del servicio en la nube es fundamental para determinar aspectos como los métodos de protección que se ofrecen. Por ejemplo, el cifrado de los datos almacenados, el uso de doble autenticación como en el caso de Dropbox, la política con respecto a qué se hace cuando la información es eliminada de la nube, etc.
Muchas empresas sienten desconfianza al hablar sobre el uso de la nube debido al hecho de que todos los sistemas informáticos son susceptibles de ser atacados por ciberdelincuentes. Asimismo, que los datos se encuentren almacenados en sistemas en los cuales la organización no tiene control directo aumenta todavía más esta desconfianza. Por lo mismo, las medidas que adopten los usuarios y las empresas con respecto a la seguridad en la nube son imprescindibles para mitigar las amenazas que atentan en contra de la Seguridad de la Información.
André Goujon
Especialista de Awareness & Research