Los servicios en la nube están a la orden del día. Son muchos los particulares que usan estos servicios para almacenar información, música, fechas, contactos y un largo etcétera. Y la pregunta que queremos plantearnos en este post es; ¿y por qué no utilizar una plataforma cloud para nuestra información corporativa?
Esta pregunta nos la hemos hecho todos en alguna ocasión, pero para poder responderla tenemos que conocer las ventajas e inconvenientes que tiene un servicio de almacenamiento de información corporativa en la nube.
Son muchos los motivos por los que podemos decidirnos por contratar un servicio cloud en nuestra organización. El primer aspecto es la descentralización de la información, que ofrece un entorno cloud ya que se puede acceder a ella desde cualquier dispositivo y lugar.
Otro aspecto a favor de utilizar la nube en un entorno corporativo es el ahorro de recursos ya que no requiere que haya una importante estructura para mantener la información en nuestra organización. Disponer de herramientas de almacenamiento propio requiere de desarrollo, mantenimiento hardware y software, además de importantes controles de seguridad que tienen un coste humano y económico importante. Además el uso de herramientas colaborativas a través de la nube está revolucionando y modernizando los métodos de trabajo, permitiendo el trabajo simultáneo sobre un documento, directorios compartidos con distintos permisos de acceso y otras muchas ventajas que todos ya conocemos. Este, por tanto, es otro aspecto a tener en cuenta a la hora de tomar la decisión de utilizar los servicios de la nube.
En cambio no todos los aspectos de almacenar la información en la nube son positivos, o al menos debemos tener en consideración algunos aspectos a la hora de decidir y aplicar contramedidas para garantizar la seguridad de la información. El primer inconveniente es la dependencia de terceros. Terceros que tendrán sus riesgos propios y que nosotros no podemos controlar. En cualquier caso debemos exigir que nuestro proveedor los considere y los trate de forma adecuada para garantizar la seguridad de nuestra información. Otro aspecto que podemos contemplar como negativo es la necesidad de conexión a Internet para acceder a nuestra información, y no tenerla en red local.
Pero… ¿qué medidas de seguridad tiene que tener nuestro proveedor para que sea fiable y seguro? ¿Cómo sabemos si la confidencialidad de nuestra información está asegurada? La seguridad es uno de los miedos e inconvenientes que ven las organizaciones para confiar en estos servicios en la nube.
En primer lugar debemos garantizar la confidencialidad de la información. El mayor activo de una organización es la información que maneja. Por tanto es el activo que más protegido debe estar. Para ello debemos asegurarnos que la información está en todo momento cifrada, y por tanto que alguien que intercepte la comunicación no pueda disponer de la información.
En segundo lugar debemos asegurarnos la disponibilidad de la información. Las organizaciones necesitan disponer de los datos constantemente y tener acceso a la misma es algo que el proveedor cloud debe asegurar. Para ello lo más común es acordar contratos SLA (Service Level Agreement) o Acuerdos de Nivel de Servicio. Esto no es más que un contrato escrito entre proveedor y cliente donde se acuerdan los servicios prestados y el nivel de calidad de dicho servicio. En este contrato se suelen definir aspectos como la disponibilidad que garantiza el proveedor del servicio, tiempo de respuesta en caso de incidentes, tiempo de resolución de incidencias, y otros muchos parámetros que aseguran al cliente la calidad del servicio. Es habitual también que aparezcan las compensaciones que, en caso de incumplimiento garantiza el proveedor.
En tercer lugar debemos garantizar la trazabilidad de la información. Para ello es importante que el servicio garantice la autenticación y se realice una adecuada gestión de logs o registros donde en un momento dado se puedan revisar los accesos y la información que ha sido accedida. Por otro lado, pero también en cuanto a las medidas de seguridad que debemos tener en cuenta, y que nuestro proveedor debería cumplir es lo referente a las copias de seguridad. Si decidimos utilizar un entorno cloud de un tercero, debemos saber la política de copias que llevan a cabo, su periodicidad, y la seguridad que tienen las mismas con el fin de garantizar la seguridad de nuestra información que no olvidemos que es nuestro principal activo.
Pongamos el ejemplo de un comercio donde aloja toda la información de sus clientes en la nube y cuando va a realizar una venta o un reparto no tiene acceso a esa información. ¿Quién paga ese perjuicio? Además de lo ya mencionado anteriormente, debemos asegurarnos que el proveedor cloud cumple los requisitos legales y normativos. Además es conveniente saber dónde se aloja la información para saber qué requisitos normativos afectan a nuestra información.
Además, si almacenamos datos de carácter personal, como responsables del tratamiento, debemos conocer si intervienen terceras empresas, además de supervisar que el proveedor cumple con las medidas de seguridad de acuerdo con la información que almacenamos. La Agencia Española de Protección de Datos ha publicado una guía donde nos informa de los pasos que hay que dar respecto a la LOPD si somos clientes cloud computing.
En conclusión, son muchos los aspectos positivos a la hora de almacenar la información de nuestra organización en la nube, ya que además ofrecen otros servicios que pueden aumentar la productividad de en el trabajo. En cambio, si nos decidimos por esta opción, no debemos olvidarnos de que ésta no debe comprometer la seguridad de nuestra información, y antes de tomar la decisión debemos garantizar la confidencialidad y disponibilidad de nuestra información.
Ahora que ya conoces un poco las principales ventajas y desventajas de almacenar la información en la nube, ¿sabes lo que vas a hacer? Sea lo que sea, ¡hazlo de forma segura!
by INCIBE via Blog de Empresas de INCIBE
No hay comentarios:
Publicar un comentario