27 de diciembre de 2024

La seguridad en la nube

 

¿Dónde están mis datos? ¿Estarán seguros? ¿Quién tiene acceso? Esta es la pregunta principal que nos quita el sueño cuando hablamos de servicios en la nube, esa cosa imprecisa y lejos de nuestro control. Cuando se habla de “cloud computing” se plantean tres dudas fundamentales: no está muy claro cómo se gestionan, dónde se ubican las máquinas y dónde están los datos. En los modelos tradicionales las empresas compraban el software, los ordenadores necesarios e instalaban estas máquinas en sus edificios. Ahora, cuando se habla de cloud surge un sentimiento de inseguridad. Las empresas piensan que ya no van a tener el control de los datos. Los responsables IT  se preguntan si el cloud es  tan seguro como los sistemas anteriores.
Es por ello que es necesario distinguir entre tipos de nube, quien las gestiona, cómo y dónde. ¿Se trata de un sistema abierto a cualquier usuario o sólo a clientes con contrato? ¿Se garantiza la localización geográfica de los datos? ¿Está limitado y controlado el número de personas que tienen acceso?
En lo que se denomina la Nube pública el cliente adquiere un servicio y los datos se gestionan por el proveedor del servicio en función de la optimización de su plataforma. Aunque el nivel de control es bajo la adopción ha sido vertiginosa. Empresas como Amazón, Microsoft o Salesforce ofrecen infraestructuras y servicios informáticos a precios muy competitivos y no sólo a empresas sino también a los ciudadanos.  
Una Nube privada es una infraestructura dedicada a un único cliente, el cual tiene la información y a veces el control sobre los servidores, redes, almacenamiento o centros de datos utilizados.
El cloud de comunidad es el modelo en el que se  enmarca Cornerstone. La infraestructura es compartida únicamente entre clientes de un cierto tipo, y gestionada por un proveedor, pero sólo los clientes tienen acceso y, en el caso de Cornerstone, los clientes tienen sus bases de datos separadas.
No se trata de un entorno libre y sin control, sino compartido y controlado. En nuestro caso Cornerstone posee su propia infraestructura, de esta manera no hay terceras partes con acceso a los datos.
La pregunta siguiente es dónde están esos datos. La Unión Europea establece que los datos de los países de la Unión deben estar dentro de la Unión. También pueden estar en países validados como seguros o países con los cuales hay acuerdos firmados, como con EEUU (Safe Harbor). En caso contrario, hay que añadir protecciones legales, contractuales y técnicas adicionales para asegurar que no hay fuga de datos. 
¿Y por supuesto, están los datos seguros? Sin entrar en detalles técnicos, hay que preguntarse si el proveedor es el único que tiene acceso o si subcontrata el servicio, que certificaciones tiene (¿ISO 27001, SSAE 16?) y cuáles son las medidas de seguridad y de continuidad de servicio de las que se dispone, desde la política de copias de seguridad, el control de acceso, la encriptación de datos o los antivirus, hasta la gestión de privilegios o los sistemas de protección anti-intrusión. 
Y sin embargo. A pesar de todas las medidas técnicas que podamos poner en práctica, el principal riesgo son las personas. Por ejemplo, la empresa puede establecer una política de contraseñas extremadamente difícil pero de nada sirve si el empleado la tiene apuntada en un post-it en su  ordenador. Un administrador puede olvidar un informe confidencial encima de una empresa. La concienciación de los empleados respecto de las normas de seguridad, de protección y confidencialidad de datos es crítica. No es raro ver en la prensa, desgraciadamente, que alguien ha sido despedido porque haber difundido información confidencial.
Así, es muy importante disponer de una plataforma que permita limitar de manera muy fina quien tiene acceso a la información. 
Yo empleado soy el riesgo número uno.

¿Dónde están mis datos? ¿Estarán seguros? ¿Quién tiene acceso? Esta es la pregunta principal que nos quita el sueño cuando hablamos de servicios en la nube, esa cosa imprecisa y lejos de nuestro control. Cuando se habla de “cloud computing” se plantean tres dudas fundamentales: no está muy claro cómo se gestionan, dónde se ubican las máquinas y dónde están los datos. En los modelos tradicionales las empresas compraban el software, los ordenadores necesarios e instalaban estas máquinas en sus edificios. Ahora, cuando se habla de cloud surge un sentimiento de inseguridad. Las empresas piensan que ya no van a tener el control de los datos. Los responsables IT  se preguntan si el cloud es  tan seguro como los sistemas anteriores.

Es por ello que es necesario distinguir entre tipos de nube, quien las gestiona, cómo y dónde. ¿Se trata de un sistema abierto a cualquier usuario o sólo a clientes con contrato? ¿Se garantiza la localización geográfica de los datos? ¿Está limitado y controlado el número de personas que tienen acceso?

En lo que se denomina la Nube pública el cliente adquiere un servicio y los datos se gestionan por el proveedor del servicio en función de la optimización de su plataforma. Aunque el nivel de control es bajo la adopción ha sido vertiginosa. Empresas como Amazón, Microsoft o Salesforce ofrecen infraestructuras y servicios informáticos a precios muy competitivos y no sólo a empresas sino también a los ciudadanos.  

Una Nube privada es una infraestructura dedicada a un único cliente, el cual tiene la información y a veces el control sobre los servidores, redes, almacenamiento o centros de datos utilizados.

El cloud de comunidad es el modelo en el que se  enmarca Cornerstone. La infraestructura es compartida únicamente entre clientes de un cierto tipo, y gestionada por un proveedor, pero sólo los clientes tienen acceso y, en el caso de Cornerstone, los clientes tienen sus bases de datos separadas.

No se trata de un entorno libre y sin control, sino compartido y controlado. En nuestro caso Cornerstone posee su propia infraestructura, de esta manera no hay terceras partes con acceso a los datos.

La pregunta siguiente es dónde están esos datos. La Unión Europea establece que los datos de los países de la Unión deben estar dentro de la Unión. También pueden estar en países validados como seguros o países con los cuales hay acuerdos firmados, como con EEUU (Safe Harbor). En caso contrario, hay que añadir protecciones legales, contractuales y técnicas adicionales para asegurar que no hay fuga de datos. 

¿Y por supuesto, están los datos seguros? Sin entrar en detalles técnicos, hay que preguntarse si el proveedor es el único que tiene acceso o si subcontrata el servicio, que certificaciones tiene (¿ISO 27001, SSAE 16?) y cuáles son las medidas de seguridad y de continuidad de servicio de las que se dispone, desde la política de copias de seguridad, el control de acceso, la encriptación de datos o los antivirus, hasta la gestión de privilegios o los sistemas de protección anti-intrusión. 

Y sin embargo. A pesar de todas las medidas técnicas que podamos poner en práctica, el principal riesgo son las personas. Por ejemplo, la empresa puede establecer una política de contraseñas extremadamente difícil pero de nada sirve si el empleado la tiene apuntada en un post-it en su  ordenador. Un administrador puede olvidar un informe confidencial encima de una empresa. La concienciación de los empleados respecto de las normas de seguridad, de protección y confidencialidad de datos es crítica. No es raro ver en la prensa, desgraciadamente, que alguien ha sido despedido porque haber difundido información confidencial.

Así, es muy importante disponer de una plataforma que permita limitar de manera muy fina quien tiene acceso a la información. 

Yo empleado soy el riesgo número uno.

 

Sección patrocinada por

NOTICIAS RELACIONADAS

DEJA UNA RESPUESTA

Los comentarios están cerrados.

Lo más leído
Los lectores Opinan


¿Qué tendencia en RRHH crees que transformará más las organizaciones en 2025?

Ver los resultados

Cargando ... Cargando ...

Regístrate en el boletín de RRHHDigital

* indicates required
Opciones de Suscripción
En cumplimiento de lo dispuesto en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, "LOPD"), EDICIONES DIGITALES SIGLO 21, SL., le informa de que los datos de carácter personal que nos ha proporcionado mediante la cumplimentación de cualquier formulario electrónico que aparece en nuestras Web Site, así como aquellos datos a los que EDICIONES DIGITALES SIGLO 21, SL. acceda como consecuencia de su navegación, de la consulta, solicitud o contratación de cualquier servicio o producto, o de cualquier transacción u operación realizada a través de las Webs de nuestro grupo editorial EDICIONES DIGITALES SIGLO 21, SL., serán recogidos en un fichero cuyo responsable es EDICIONES DIGITALES SIGLO 21, SL. provista de CIF B86103140 con domicilio a estos efectos en Calle Comandante Franco, 24 28016, Madrid. Con carácter general, los datos de carácter personal que nos proporcione serán utilizados para atender sus solicitudes de información, así como informarle sobre nuevas actividades, productos y servicios de EDICIONES DIGITALES SIGLO 21, SL. Aquí puede leer nuestro aviso legal y política de privacidad.
rrhhdigital