Ya apenas recuerdo la última vez que instalé un servidor físico dentro de una empresa. Es que, hoy en día, la mayoría ha volcado gran parte de sus servicios e información a la nube. Las razones son muchas, y van desde cuestiones económicas hasta prácticas: evitar comprar equipamiento que luego se vuelve obsoleto o pierde su valor, evitar gastos de mantenimiento o energía, o simplificar las tareas del área de TI. Incluso, desde la perspectiva de la pequeña empresa, agregar un servidor o contratar un servicio específico con solo apretar un botón.
Mientras que esta (ya no tan nueva) solución ha hecho que las cosas sean mucho más sencillas para pequeñas y grandes empresas, también ha llevado a nuevos debates y consideraciones en materia de seguridad.
Si has migrado tus servicios e información a la nube, o estás pensando en hacerlo, te dejo algunas consideraciones a tener en cuenta para evitarte una mala experiencia.
#1 Conoce a tu proveedor de servicios
Con la gran variedad de servicios de cloud computing que existen hoy en el mercado, el primer paso es decidir a quién vamos a confiar la información y sistemas de la compañía.
Para tomar esta decisión no alcanza con considerar los servicios y plataformas que ofrecen los diferentes proveedores, también es importante tener en cuenta su reputación y leer atentamente las condiciones de contratación. ¿Es la empresa responsable con la información que maneja? ¿Qué medidas de seguridad implementa? ¿Está certificada en materia de seguridad? ¿Ha tenido incidentes? ¿Cómo los manejó?
Quizá los servicios de una empresa con mejor prestigio sean un poco más costosos que los de una no tan conocida. Sin embargo, hay que entender que las tareas de mantenimiento para que una infraestructura permanezca segura demandan tiempo y esfuerzo, lo cual se traduce en costo extra para el cliente. Recuerda que, en términos de seguridad, lo barato puede salir muy caro.
#2 Entiende tu negocio y tus necesidades
Este mismo consejo lo hemos aplicado en innumerables ocasiones: al diseñar una política de seguridad, la certificación de una norma, el esquema de backup o la implementación de nuevas tecnologías. Es que, antes de tomar una decisión importante, siempre debes pensar en cómo afecta tu negocio y los objetivos de tu empresa.
Si requieres una comunicación rápida, sin demoras ni latencia entre tu oficina y los servicios de la nube, quizá puedas llevarte algunas decepciones. Tal vez almacenar archivos en la nube y accederlos desde cualquier lugar es una solución un tanto tentadora, pero si se trata de consultas a bases de datos, los tiempos de respuesta pueden llegar a afectar el negocio.
Si manejas grandes volúmenes de información en tiempo real, tal vez quieras considerar alguna opción de optimización antes de llevar esos servicios a la nube.
#3 Cifra tu información
Cifra los datos almacenados en la nube, y también los datos en tránsito; en suma, cifra todo lo que puedas cifrar. Si bien puede demandar un esfuerzo extra y aumentar la complejidad de las operaciones, lo cierto es que añade una capa adicional de seguridad a toda la información confidencial.
Recuerda que, si decides contratar servicios en la nube y depositar en ellos tus datos, también estarás delegando, en gran medida, la protección de esa información. Por más seguro y confiable que sea un proveedor, no es bueno depender completamente de este y no está de más cifrar los datos críticos para que, en caso de que haya una brecha de seguridad, no queden expuestos.
#4 Controla el acceso a la nube
El hecho de que tus datos y aplicaciones ya no estén físicamente dentro de tu organización, no significa que puedes desligarte de la administración. Tu proveedor de servicios puede brindarte numerosos controles de seguridad y mantener la infraestructura protegida, pero si dejas la puerta abierta, de nada servirá.
Limita el acceso a la información, de la misma manera que lo harías si estuviera alojada en tu organización. Segrega las funciones y limita las conexiones de los usuarios. De hecho, es más que recomendable utilizar medidas extras de protección, como el doble factor de autenticación al momento de iniciar sesión en la plataforma en la nube.
#5 Respalda tu información
El backup es hoy en día una de las protecciones básicas y fundamentales en cualquier esquema de seguridad. Si bien este servicio suele estar incluido dentro del contrato y ser parte de las tareas que realiza el proveedor, no hay que olvidarse que no se trata solamente de guardar la información, sino también de que la misma se pueda recuperar.
Por eso, es recomendable que realices restauraciones periódicas de la información resguardada. De esta forma, no solo verificas que el proveedor este cumpliendo con esta parte del contrato, sino también te aseguras que la información estará integra y disponible cuando la necesites.
#6 Lee cuidadosamente los términos y condiciones del servicio
Presta especial atención a los apartados que hablen acerca del manejo de la información, la privacidad y la responsabilidad sobre la información que alojas en la nube. No sería la primera vez que aparezcan frases como: “Usted nos da el derecho de acceder, retener, usar y divulgar la información de su cuenta y sus archivos, con el fin de proporcionarle soporte y resolver problemas técnicos” o “No garantizamos que sus archivos no estarán sujetos a apropiación indebida, pérdida o daño y no seremos responsables si sucede”.
Verifica también los tiempos de respuesta y SLA (Acuerdo de Nivel de Servicio) que te otorga el proveedor y asegúrate de que sean acordes a los tiempos y compromisos que tienes con tus clientes. Evita encontrarte con estas sorpresas al momento de tener un incidente o hacer un reclamo.
#7 Recuerda: la nube también puede infectarse
Es un error común pensar que el malware no afecta a equipos en la nube. De hecho, hemos visto diversas variantes del malware Crisis, el cual infectaba equipos con sistemas VMWare. Así como existen códigos maliciosos pensados para atacar plataformas de virtualización, como Venom, también debemos tener en cuenta el resto de las amenazas que continúan propagándose por los sistemas operativos ya conocidos.
Tener tu infraestructura en la nube no te exime de utilizar una buena solución integral de seguridad, que incluya protección para servidores y servicios, así como también para los equipos que acceden a ella.
Por supuesto que la nube ofrece grandes beneficios para tu empresa, y dependerá de cada negocio qué tipo de servicios e información deciden migrar a esta plataforma. Sea cual sea tu caso, no olvides estos consejos para tener tu información protegida y que la migración sea lo más segura posible.