Trabajar de la mano con el proveedor de servicios y contar con políticas claras de manejo de contenido, son las claves para que el almacenamiento en la nube se realice de forma segura y confiable.
por Alejandra García Vélez
La seguridad sigue siendo una de las principales preocupaciones de las empresas que han adoptado el almacenamiento en la nube como una herramienta de trabajo. ¿Cómo mantener la confidencialidad y privacidad de los datos en esta plataforma? Este es el principal reto de corporaciones en todas las industrias.
En el caso del campo de la televisión, es cada vez más común usar este tipo de soluciones como alternativa para el almacenamiento de contenidos y, al parecer, esta es una tendencia que seguirá en alza, por lo que encontrar estrategias para sacarle el mayor provecho a los servicios en la nube a la vez que se garantiza la seguridad de los archivos es indispensable.
Tres expertos de la industria hablaron con TV y VIDEO sobre el tema y ofrecieron su perspectiva frente a las precauciones que se deben tener a la hora de apostar por la utilización de servicios en la nube.
En general, los entrevistados coincidieron al indicar que es primordial contar con una política de manejo de contenidos que permita establecer los límites en cuanto a su transmisión y acceso, así como confiar en un proveedor que ofrezca garantías en cuanto a la integridad y privacidad de la información, al mismo tiempo que se adapta a la política establecida por la empresa.
Protección
La ventajas de utilizar sistemas basados en la nube son bien conocidas, pero esas ventajas pueden convertirse a su vez en la mayor amenaza para una empresa. Por ejemplo, entre esas características estrella encontramos su accesibilidad, la escalabilidad, virtualidad y movilidad, pero el mayor problema será siempre estar sujeto al estado de los proveedores del servicio, ya que todas las aplicaciones e información se encuentran centralizadas.
Christian Combes, director de marketing RHQ para D-Link en América Latina y la región hispana, explica que no se puede decir que los servicios en la nube sean más o menos vulnerables que otros sistemas.
“Todos los sistemas de almacenamiento tienen algún grado de vulnerabilidad, pero los beneficios que entrega el cloud computing son mucho más altos que el de otros servicios por su accesibilidad y respaldo”, explicó Combes.
Aunque no niega que existen estrategias que se pueden y deben implementar para garantizar la seguridad del contenido. El funcionario de D-Link, hace referencia al estudio realizado por Symantec en 2011 sobre el Estado de la Nube, citando algunas de las recomendaciones hechas por esta empresa de software.
Para Combes, el primer paso es establecer niveles de acceso para la información, así como evaluar los riesgos y establecer políticas adecuadas.
“Cuando se trata de la nube, así como en un entorno físico, hay que asegurarse de que solamente los usuarios autorizados puedan acceder a la información crítica y que dicha información no salga de la empresa”, afirmó.
Y agregó que “también es clave garantizar que los proveedores de servicios en la nube puedan satisfacer los requisitos de cumplimiento legal y normativo. Finalmente, es recomendable evaluar posibles proveedores de cuestiones operativas en la nube, como alta disponibilidad y capacidad de recuperación ante desastres”.
Por su parte, Lukas Alarcón, ingeniero ejecutivo de preventa para Websense, resaltó la evolución que ha tenido la nube en los últimos años, llevándola a ser un servicio cada vez más confiable.
“La generalización de servicios ha llevado a que los usuarios y las empresas sientan que las tecnologías en la nube son una solución. La evolución de las mismas es otro factor importante en donde, por el mismo concepto de renovación del servicio, han aparecido conceptos como nubes públicas, privadas e híbridas permitiendo que una empresa pueda plantearse escenarios escalables de acuerdo con sus necesidades”, señaló.
Sin embargo, así como la nube le permite a las organizaciones ampliar su alcance e infraestructura de servicio cuando sea necesario, es la misma organización la que esta a cargo de delimitar su alcance.
“En estos ambientes los datos de los usuarios deben estar resguardados por sistemas de respaldo organizacionales. Se deberá considerar también tener respaldos físicos de su información, puesto que la nube tiene una tasa de cobertura de 99.9% y como sabemos nada es 100% en términos informáticos”, indicó Alarcón.
Importancia del proveedor
Aunque la capacitación del personal interno de la compañía es importante, así como la participación del departamento de TI de la empresa, la clave para tener un servicio seguro es escoger muy bien al proveedor del servicio de almacenamiento en la nube.
Pero, ¿qué características debe ofrecer ese proveedor?, en primer lugar debe contar con certificaciones de terceros para asegurar que cuenta con estándares internacionales de seguridad.
“El nivel de vulnerabilidad de una plataforma en la nube depende directamente del servicio que se contrate y los estándares que vengan acompañados con el mismo. Si adquiero un servicio sin certificación ISO 270001 y sin un sistema de auditoría constante entregado por terceros o por el propio oferente no podré asegurar el estado de riesgo del servicio ni tendré visibilidad de un riesgo”, afirmó Alarcón.
Al consultar la documentación oficial de la Cloud Security Alliance (CSA), esta organización explica que los controles de seguridad aplicados a la computación en la nube, en su mayoría, no difieren de los controles que deben aplicarse en cualquier entorno TI.
“La postura de una organización en cuanto a su seguridad se caracteriza por la madurez, la eficacia y la integridad de los controles de riesgo implementados. Estos controles se implementan en una o más capas que van desde las instalaciones (seguridad física), la infraestructura de la red, los sistemas informáticos, los sistemas TI, la información y las aplicaciones”, explica la organización.
Asimismo, la CSA señala que en el caso del trabajo con proveedores de almacenamiento en la nube, las responsabilidades de seguridad, tanto del proveedor como del consumidor difieren mucho entre los modelos de servicio; pero aclara que, por lo general, el proveedor debe responder por la seguridad física, ambiental y de virtualización, mientras que el consumidor es a su vez responsable de los controles de seguridad que se relacionan con el sistema operativo, las aplicaciones y los datos.
Adam Copeland, ingeniero de Limelight Networks, coincidió y señaló que “un comprador inteligente puede lograr fácilmente un SLA (service level agreement) sólido y garantías para la accesibilidad y seguridad de sus datos. La ventaja de la nube es que no se debe lidiar con fabricantes de almacenamiento, instalaciones, mejoras, mantenimiento, redundancia, auditorías de seguridad y de previsión, pues todas esas preocupaciones pueden ser reemplazadas con un par de preguntas simples y un entrenamiento básico”.
Al establecer el contacto con el proveedor, la empresa debe incluir en su política de manejo de información detalles como, por ejemplo, si los datos serán encriptados antes de ser subidos a la nube o si se le delegará al proveedor esta tarea.
En el mismo sentido, se deben tener claros los procedimientos para realizar copias de respaldo de la información. Asimismo, establecer cada cuanto se cambiaran las contraseñas, que características deben tener éstas y cuales serán los niveles de acceso según usuarios.
“Estas simples preguntas pueden cambiar drásticamente las políticas de su empresa y su flujo de trabajo. Pero también deben entender que un proveedor permite que el usuario se preocupe menos y reduce sus gastos de capital, pero no pone la carga de la seguridad y protección solo en él. Es su contenido, mantener un ojo en él y realizar auditorías siempre que sea posible es responsabilidad del usuario”, afirmó Copeland.
Finalmente, Copeland recomienda asegurarse de que el proveedor seleccionado tiene reglas flexibles, que permitan implementar fácilmente las políticas establecidas por la compañía para controlar el acceso y la distribución del contenido. Además, se debe tener confianza en que el sistema seleccionado puede evolucionar de la mano con las necesidades del negocio.
Deje su comentario