Por Edgar Vásquez Cruz
Utilizar la nube para migrar servicios y reducir costos en infraestructura es uno de los mejores sucesos que le han ocurrido a las empresas en años recientes; sin embargo, los riesgos asociados con esta decisión pueden ser altos y están relacionados no sólo con la falta de software para protegerse sino con la ausencia o la falta de cumplimiento de políticas de seguridad, lo que aunado a la falta de confianza en este nuevo elemento genera un nuevo paradigma.
Recientemente Intel Security dio a conocer el estudio: ¿Cielos Azules en el Horizonte? El estado de la adopción de la nube, un informe global que muestra la necesidad de que los proveedores de tecnología ayuden a negocios, gobiernos y consumidores a comprender la creciente adopción de la nube así como los pasos necesarios para brindarles seguridad. En este documento se muestra la visión sobre la evolución y el futuro de la computación en la nube, en donde se puntualiza que el uso que hacemos de esta plataforma informática se expandirá y las consecuencias de nuestra dependencia tendrán enormes ramificaciones tanto para consumidores como para empresas. Algunas personas consideran esto incluso, como un punto de inflexión en las tecnologías de la información.
Por otro lado el estudio Know Your Cloud promovido en 2013 por Intel Security (antes McAfee) muestra que las empresas están más preocupadas por la seguridad en sus puntos de acceso o sus servidores de correo, que en los servicios que contratan en la nube.
El estudio, realizado entre 160 clientes de McAfee evidencia que 56 por ciento de las compras de servicios públicos en la nube, en empresas de más de 20 mil empleados, son hechos directamente a proveedores, sin pasar por el departamento interno de TI; mientras que en las empresas con menos de mil empleados el porcentaje sube hasta 64 por ciento.
Quizá a causa de esta situación las tres principales preocupaciones de las empresas estudiadas en este informe son la pérdida de datos o bien la fuga de los mismos (73 por ciento en promedio); el control del acceso y la autentificación (66 por ciento en promedio), así como el monitoreo de la seguridad y la administración de incidentes y su visibilidad (55 por ciento en promedio).
Las cifras muestra que en todas las empresas del estudio, ya sean desde menos de 1000 hasta más de 20 mil empleados, el departamento interno de TI no tiene todo el control en la adquisición de servicios en la nube y, por consiguiente, no puede establecer políticas de seguridad para reducir riesgos de fugas de información.
Información sensible en la nube, un reto de seguridad
De acuerdo con el documento Orchestrating security in the cloud elaborado por SANS™ Institute, con el respaldo de Intel Security y publicado en septiembre de 2015, la clase de datos que comúnmente almacenan o procesan en la nube pública los 486 profesionales de las TIC entrevistados para el estudio, son: con un 52 por ciento, datos sobre inteligencia de negocios e información financiera y contable; con 48 por ciento información sobre los registros de empleados; 40 por ciento información personal de sus clientes; en tanto que 20 por ciento de los encuestados aseguró que también la usan para guardar y procesar información sobre propiedad intelectual.
De esta forma, la encuesta muestra que las tres clases de datos almacenados en la nube están entre los más sensible que una empresa puede manejar y que son parte del núcleo de su negocio, por lo que la ausencia de políticas de seguridad, así como de procedimientos autorizados para manejar esa información podría, incluso, poner en riesgo a toda una organización.
Un claro ejemplo de lo que sucede diariamente en las organizaciones es el siguiente:
Un gerente administrativo de una empresa del sector manufacturero decidió un día abrir una cuenta en un servicio público de nube y “subir” los estados financieros confidenciales de la empresa para la que trabaja, sin pedir autorización a sus superiores y mucho menos consultarlo con el área de TI.
Más tarde, el gerente compartió varios documentos con otro compañero de la compañía sin saber que esos vínculos son públicos y que una búsqueda normal permite localizarlos y tener acceso a ellos sin ninguna restricción.
Este escenario es una muestra contundente de uno de los riesgos más factibles para las empresas que utilizan la nube, los cuales podrían estar siendo enfrentados con políticas de seguridad adecuadas y soluciones de seguridad contando con la asesoría necesaria.
No obstante, antes de continuar hablando de los riesgos de seguridad en la nube es necesario entender de manera puntual este concepto para comprender el verdadero alcance del problema. Cuando se habla de la nube, nos referimos a una red de servidores poderosos que proporcionan diferentes servicios, aplicaciones y plataformas, en algunos pueden almacenarse y tener acceso a datos, en tanto que otros ofrecen diversos servicios en línea.
Este “espacio virtual”, lo que generalmente se conoce como “nube”, se divide en tres partes:
● Infraestructura como servicio (Infrastructure as a Service o IaaS por sus siglas en inglés). Este es el nivel básico dentro de los servicios y se utiliza mayoritariamente para almacenar datos e información. Existen varias empresas dedicadas a rentar espacio para guardar información o para hacer respaldo de la misma.
● Plataforma como Servicio (Platform as a service o PaaS por sus siglas en inglés). Situada en el sector medio, permite a los desarrolladores de software crear aplicaciones con grupos de herramientas y estándares, además de proporcionarles canales para distribuirlas y venderlas, todo en la misma plataforma.
● Software como Servicio (Software as a Service o SaaS por sus siglas en inglés). En este nivel los usuarios rentan el software que funciona en los servidores y pagan una renta mensual en lugar de comprar una licencia, al mismo tiempo evitan ocuparse de actualizaciones, compatibilidad con el sistema operativo y mantenimiento.
¿Cómo evitar amenazas si utiliza la nube?
Los servicios que su empresa tenga en la nube deben contar con una administración y una seguridad similar a la de cualquier elemento de Tecnologías de la Información (TI) por medio de herramientas, servicios, monitoreo y sobre todo por políticas de seguridad.
Asimismo, es importante considerar que aunque su empresa no utilice o planee utilizar los servicios de nube, probablemente sus empleados si lo harán, por lo tanto es necesario que el área de TI realice una evaluación de los procesos de negocio, las aplicaciones empresariales y de los datos existentes de acuerdo con la importancia que tengan en la organización.
Después de esa evaluación deberá crear una política para usar la nube, en la cual conviene tener una explicación muy precisa de lo que sí puede ser “subido” a la nube y de lo que no está permitido en la organización; de igual forma, para las aplicaciones que pueden utilizarse o implementarse deben quedar claras las precauciones, así como las herramientas necesarias para utilizar la nube de forma segura.
Finalmente, si su empresa ya decidió comenzar a migrar a la nube le recomendamos ampliamente verificar que su seguridad interna esté optimizada al 100 por ciento para evitar que la red de su empresa sea vulnerable.