La seguridad de un almacenamiento en la Nube no reside exclusivamente en una sola característica. Existen una serie de medidas que en conjunto proporcionan esos niveles de seguridad y privacidad.
La forma de almacenar, el cifrado o el control de acceso deben acompañarse de otras medidas.
Por tanto, cuando hablamos de seguridad de una plataforma en la Nube no podemos centrarnos en tan solo un factor. Es sencillo de entender, la seguridad de un coche no depende solo de que tenga buenos frenos, si el volante funciona mal nos saldremos en una curva.
¿Qué es un sistema en la Nube seguro?
Si por ejemplo, nos cautiva la idea de un almacenamiento que ofrece un gran nivel de privacidad porque dispone de un estupendo cifrado, deberíamos valorar también otros factores.
Un buen cifrado es un importante punto a favor. Pero si el sistema guarda los archivos en el disco duro del usuario y estos están sin cifrar hasta que se suben a la nube, la realidad es que no aporta mucho más que un sistema que cumpla normas europeas de protección de datos. Estas normas incluyen el cifrado en transferencia y en reposo en la Nube.
Es más, esos archivos están a expensas de la dudosa seguridad de los ordenadores de múltiples usuarios conectados a ese sistema. Un sistema en que todos sincronizan archivos de esa Nube y que guardan en los discos duros sin cifrar.
Cada cosa forma parte de un conjunto. Conviene dejar claro lo que debemos exigir a un sistema en la Nube para considerarlo seguro.
- Garantizar la permanencia de los archivos
Sea como sea la empresa nunca debe perder documentos. Incluso este requisito está por encima de la privacidad, un acceso indebido o un conocimiento de los datos por parte de un tercero es grave, pero tendrá menos importancia que una pérdida. - Garantizar la disponibilidad de los archivos
Ante cualquier incidente, de cualquier tipo, siempre debe ser posible la recuperación o el acceso a los archivos almacenados por medios alternativos previstos para ello. - Impedir ciberataques que puedan comprometer los datos y el propio servicio.
En esto no es necesario ser ingeniero de sistemas. Nadie sabe como funcionan los sistemas por dentro, pero el proveedor tiene diversos argumentos que son indicios de control, como registros de actividad, que declare las infraestructuras que utiliza, que someta a pruebas el sistema, que nos firme el contrato de protección de datos, etc. - Dinámicas de funcionamiento y medidas de prevención para evitar los problemas anteriores.
El almacenamiento en la Nube puede demostrar su compromiso con la seguridad y la privacidad
Aparte de declarar a los cuatro vientos la seguridad de un sistema, alguien puede plantearse si todo es una cuestión de fe y confianza. Si no hay alguna manera de aportar garantías.
Si que hay una forma. Algo tan simple como la firma de un contrato, algo que la empresa pueda guardar y que al menos sirva para saber a quién reclamar, que compromisos se han adquirido y bajo que condiciones se aporta la seguridad y la privacidad prometidas.
Si de verdad un sistema es seguro no tendrá problemas en firmarnos un contrato. Esto no es raro, el mundo de las transacciones comerciales se rige por contratos.
Pero, es que no tenemos que inventar nada. Todo esto ya está previsto, todo esto ya está legislado aunque algunos prefieren hablar lo mínimo sobre esto.
Todo está previsto en lo que se llama RGPD, el Reglamento General de protección de Datos. Incluso el contrato del que estamos hablando y que es de obligado cumplimiento para las empresas europeas. Ese contrato se denomina: Contrato de tratamiento por parte de terceros.
Implica una serie de normas para prestar el servicio de almacenamiento en la nube a las empresas.
- La primera, como no, es la firma del contrato con la empresa.
- Cifrado de los datos tanto en tránsito como en reposo.
- Declaración de los lugares de almacenamiento de los datos.
- Documento de seguridad dónde se explican las medidas de seguridad que tiene el sistema.
- Mantener un registro de incidencias de seguridad que obligatoriamente han de ponerse en conocimiento de los usuarios.
- Mantener contacto directo con un responsable de la empresa para comunicar cualquier tipo de incidencia o problema de seguridad o privacidad.
Ya vemos que firmar el contrato RGPD demuestra el compromiso con unas normas estándar. No hay que inventar nada y tenemos una garantía de cumplimiento. Mucho ojo porque esto es ley y el incumplimiento acarrea graves sanciones.
Medidas adicionales de seguridad y protección de datos de un almacenamiento en la Nube
Aquí la plataforma puede incorporar muchas características adicionales.
La dinámica de funcionamiento de un sistema es determinante en la seguridad. Hablamos de la dinámica de uso del sistema.
Un disco virtual, es una forma muy popular de almacenamiento en la Nube, todos estaremos de acuerdo en esto. Pero su dinámica de funcionamiento hace a los archivos vulnerables a pérdidas por virus o ataques Ransomware, incluso por errores humanos. Su forma de funcionar no ofrece privacidad en los ordenadores de los usuarios dónde está instalado el sistema.
Es muy sencillo, la sincronización consiste en subir a la Nube los archivos que tenemos en cierta carpeta de nuestro ordenador.
En este caso, todos y cada uno de los empleados de la empresa tienen copias de esos archivos en carpetas de su ordenador. La privacidad puede estar garantizada en el almacenamiento en la nube por cifrado u otros mecanismos, pero qué ocurre con esos ficheros duplicados en multitud de ordenadores.
Si la empresa tiene 40 empleados, hay 40 lugares dónde la privacidad es vulnerable, hay 40 ordenadores dónde sufrir un ataque. Cuando tan solo uno de esos archivos en un solo ordenador sea infectado tendremos 40 ordenadores infectados, por sincronización, y una copia infectada en la Nube.
Lo ideal es que el almacenamiento en la Nube pueda aislar e incluso limitar el contacto de los archivos de la empresa con esos ordenadores inseguros. Si, los de la sede de la empresa pueden estar bien mantenidos pero los de casa de cada usuario no tanto.
Aparte de la dinámica de funcionamiento, medidas tradicionales extras que puede tener el sistema serían:
- Que el sistema aparte del cifrado haga un almacenamiento fragmentado.
- Que el sistema disponga de permisos de acceso de tal forma que cada empleado de la empresa solo acceda a una parte de los archivos, la parte en que debe desarrollar su actividad.
- Que se disponga de copias de seguridad totales e individuales de los archivos modificados. Que las copias residan en un lugar geográficamente apartado del sistema principal.
- Que exista un registro de acciones de los usuarios.
- Que el almacenamiento se realice por duplicado. Esto se llama redundancia.
- Que el propio sistema disponga de resiliencia. Medidas para garantizar la continuidad del servicio incluso en caso de incidencias o ataques.
La localización del proveedor de almacenamiento y la calidad de las infraestructuras es de gran importancia
Un servicio de almacenamiento en la Nube cuyas infraestructuras y localización de la empresa residan en la UE es garantía de cumplimiento. Simplemente por estar en la jurisdicción de las leyes de seguridad y protección de datos.
En el caso más simple, sabes a quién podrás reclamar si ocurre algo. Si no sabes dónde están y ni siquiera contestan a un email o una llamada telefónica no habrá solución o explicaciones.
La calidad de las infraestructuras la determinan los servicios que usa el propio proveedor. Un sistema en la Nube utiliza servicios a su vez de otros proveedores. No ocultarlos es ya una buena señal. Ya hemos visto que el RGPD obliga a declararlos.
La Nube es un sistema de mayoristas y minoristas. Una determinada plataforma utiliza servicios de otros mayoristas. Una panadería elabora pan pero no tienen un campo de trigo y un molino para fabricar la harina que usan. La calidad de la harina determina en gran medida la calidad del pan.
Hay que dejar muy claro que los mayoristas del Cloud ofrecen diferentes calidades, cumplen diversas certificaciones de seguridad y protección de datos. Hay proveedores de gran calidad como Azure, Oracle, IBM y otros baratos como Amazon o Google. La localización de estos proveedores es también importante, si guardan los datos en Estados Unidos no tendremos las mismas garantías que si lo hacen en Europa y no ocultan su empresa en paraísos fiscales, debe haber una empresa responsable y cumplidora a la que reclamar.
Un sistema que incorpora todas el medidas mencionadas y algunas más es Dataprius. Firma los contratos RGPD antes mencionados. No se trata de un sincronizador, es una Intranet de archivos en la Nube que además del almacenamiento en la Nube, proporciona un buen número de utilidades para el trabajo diario con los archivos de la empresa.
Como saber si RGPD es realmente cumplido por un proveedor en Cloud
La entrada Requisitos de un almacenamiento en Nube seguro para empresas se publicó primero en Blog de Dataprius..