¿Dónde están mis datos? ¿Estarán seguros? ¿Quién tiene acceso? Esta es la pregunta principal que nos quita el sueño cuando hablamos de servicios en la nube, esa cosa imprecisa y lejos de nuestro control. Cuando se habla de “cloud computing” se plantean tres dudas fundamentales: no está muy claro cómo se gestionan, dónde se ubican las máquinas y dónde están los datos. En los modelos tradicionales las empresas compraban el software, los ordenadores necesarios e instalaban estas máquinas en sus edificios. Ahora, cuando se habla de cloud surge un sentimiento de inseguridad. Las empresas piensan que ya no van a tener el control de los datos. Los responsables IT se preguntan si el cloud es tan seguro como los sistemas anteriores.
Es por ello que es necesario distinguir entre tipos de nube, quien las gestiona, cómo y dónde. ¿Se trata de un sistema abierto a cualquier usuario o sólo a clientes con contrato? ¿Se garantiza la localización geográfica de los datos? ¿Está limitado y controlado el número de personas que tienen acceso?
En lo que se denomina la Nube pública el cliente adquiere un servicio y los datos se gestionan por el proveedor del servicio en función de la optimización de su plataforma. Aunque el nivel de control es bajo la adopción ha sido vertiginosa. Empresas como Amazón, Microsoft o Salesforce ofrecen infraestructuras y servicios informáticos a precios muy competitivos y no sólo a empresas sino también a los ciudadanos.
Una Nube privada es una infraestructura dedicada a un único cliente, el cual tiene la información y a veces el control sobre los servidores, redes, almacenamiento o centros de datos utilizados.
El cloud de comunidad es el modelo en el que se enmarca Cornerstone. La infraestructura es compartida únicamente entre clientes de un cierto tipo, y gestionada por un proveedor, pero sólo los clientes tienen acceso y, en el caso de Cornerstone, los clientes tienen sus bases de datos separadas.
No se trata de un entorno libre y sin control, sino compartido y controlado. En nuestro caso Cornerstone posee su propia infraestructura, de esta manera no hay terceras partes con acceso a los datos.
La pregunta siguiente es dónde están esos datos. La Unión Europea establece que los datos de los países de la Unión deben estar dentro de la Unión. También pueden estar en países validados como seguros o países con los cuales hay acuerdos firmados, como con EEUU (Safe Harbor). En caso contrario, hay que añadir protecciones legales, contractuales y técnicas adicionales para asegurar que no hay fuga de datos.
¿Y por supuesto, están los datos seguros? Sin entrar en detalles técnicos, hay que preguntarse si el proveedor es el único que tiene acceso o si subcontrata el servicio, que certificaciones tiene (¿ISO 27001, SSAE 16?) y cuáles son las medidas de seguridad y de continuidad de servicio de las que se dispone, desde la política de copias de seguridad, el control de acceso, la encriptación de datos o los antivirus, hasta la gestión de privilegios o los sistemas de protección anti-intrusión.
Y sin embargo. A pesar de todas las medidas técnicas que podamos poner en práctica, el principal riesgo son las personas. Por ejemplo, la empresa puede establecer una política de contraseñas extremadamente difícil pero de nada sirve si el empleado la tiene apuntada en un post-it en su ordenador. Un administrador puede olvidar un informe confidencial encima de una empresa. La concienciación de los empleados respecto de las normas de seguridad, de protección y confidencialidad de datos es crítica. No es raro ver en la prensa, desgraciadamente, que alguien ha sido despedido porque haber difundido información confidencial.
Así, es muy importante disponer de una plataforma que permita limitar de manera muy fina quien tiene acceso a la información.
Yo empleado soy el riesgo número uno.
Los comentarios están cerrados.