El ABC de la seguridad Cloud: los puntos a tener en cuenta

Mobile World Congress (MWC) in Barcelona

Averiguar qué es lo que queremos almacenar, cuáles servicios son los más convenientes o si tienen doble factor de autenticación, son algunos de los puntos a tener en cuenta por parte de las empresas y usuarios, que muchas veces recurren a plataformas gratuitas, pero que pueden dejar en evidencia datos o información sensible.


No la vemos pero, a pesar de eso, debe ser protegida. La tecnología cloud, hoy en día, está en todas partes. Desde softwares, videojuegos, documentos o conversaciones respaldadas en formato virtual, pero que ya han dejado de utilizar un espacio físico determinado en los propios dispositivos, y que se albergan “en otro lugar”. Eso sí, a pesar de todo, eso no significa que no puedan quedar expuestas y ser atacadas o incluso “secuestradas”. Los usuarios, sobre todo en un mundo que avanza cada vez más hacia nuevas tecnologías, no deben de perder de vista sus datos o confiar en la distintas plataformas. En este artículo, una serie de consejos.

“Los modelos Cloud cada vez son más seguros para la gestión de la información debido a la infraestructura de seguridad con que cuentan los proveedores de estos servicios”, dice Francisco Guzmán, director de Claro empresas. Sin embargo, agrega, “como usuarios hay algunas prácticas de ciberseguridad a considerar para que ésta sea efectiva: el control inadecuado de cambios y los errores de configuración en la nube, la falta de una estrategia de seguridad y credenciales insuficientemente protegidas, como no contar con claves automatizadas criptográficas y la falta de barreras de autentificación, además del uso de contraseñas inseguras”.

Gene Spafford, un reconocido experto en seguridad informática alguna vez dijo que el único sistema verdaderamente seguro es aquel que se encuentra apagado, encerrado en una caja fuerte de titanio, enterrado en un bloque de hormigón, rodeado de gas nervioso y vigilado por guardias armados y muy bien pagados. “Incluso entonces, yo no apostaría mi vida por ello”, apuntó.

Lo señalado por el especialista es rescatado por Hans Nemarich, Chief Technology Officer (CTO) y Tech Recruiter Lead en N12, una compañía especializada en tecnología y adquisición de talento IT, Tech y UX. “Entonces, lo que podemos hacer es tomar riesgos controlados o mitigarlos, para que su probabilidad de ocurrencia sea mínima y estas medidas deben ser acordes a la criticidad de la información que se almacena”, señala el también docente de la Pontificia Universidad Católica de Chile.

El servicio adecuado

Uno de los primeros factores para tener en cuenta, dice Hans Nemarich, es tener en claro qué tipo de servicio cloud se requiere de acuerdo a qué tipo de documentos o información se desea almacenar. “Porque, por ejemplo, si estás usando alguna nube pública, lo ideal sería no guardar información crítica o sensible, y no tiene que ver con que sean inseguros, sino que tiene que ver con protegerse de brechas de seguridad que nosotros mismos podríamos dejar abiertas”, plantea Nemarich. “No recomendaría guardar un archivo con las claves de tu banco, pero sí podrían ser utilizables para resguardar fotos o documentos que no sean netamente confidenciales”, añade.

Resguardo ante todo

Si se está utilizando el servicio cloud en una compañía, la idea sería intentar protegerla de la mejor manera posible. El experto plantea que primero debe existir una política de autorización o autenticación robusta. Autentificar bien los accesos, quién puede acceder a qué información y qué puede realizar con ella y, desde el punto de vista de seguridad, es recomendado también activar aquellas que protegen del mal uso de ella, “como la autenticación de dos factores y que robustece el password”. “La idea es que no solamente la seguridad se base en algo que recuerdo y que, al final, puede resultar débil, sino que también tenga un doble o hasta múltiple factor de autenticación”, señala Nemarich.

Además, apunta que para las compañías también debería ser relevante qué tipo de protección se brinda cuando se guarda cierto tipo de información. “Información sensible no debería guardarse en claro, sino tener cierto grado de cifrado, e información persona, tampoco debería ser aojada de tal forma que, si ocurre alguna brecha de seguridad, se pueda correlacionar información”, desarrolla el docente de la UC.

contraseña

Auditar la nube

Al momento de comenzar a utilizar algún servicio o proveedor cloud, es recomendable auditar las configuraciones que trae preseleccionadas, “porque la mayoría que vienen por defecto dejan expuestas algunas brechas de seguridad”. “Siempre es bueno auditar o darles alguna vuelta a ver cómo está montada la infraestructura y la carga de trabajo que tengo en esas ubicaciones, de manera que pueda identificar si existe alguna brecha o no”, asegura Nemarich.

Flancos cubiertos

En un nivel un poco más avanzado, y que aplicable en casos que la información es relevante desde un punto de vista de negocios, existen también aquellas tecnologías que permiten detectar a intrusos, para así prevenir que existan brechas de seguridad no cubiertas. “En definitiva, uno podría implementar esa tecnología al entorno de la nube, o conducir alguna auditoría hacia ese tipo de herramientas, o un servicio de pen testing (penetration testing) o ethical hacking para ver dónde podrían haber brechas de seguridad no cubiertas”, desarrolla.

Más allá de la empresa

En cuanto a usuarios particulares, las recomendaciones son similares, pero hay que sumar además el factor de seguridad en cuanto a cómo ingresan a dichas plataformas. Por ejemplo, no es conveniente otorgar permisos a determinados sitios o herramientas en línea que soliciten acceso a través del correo electrónico, Facebook u otra red social.

Es muy común ver sitios que solicitan datos para “facilitar” el acceso, pero los usuarios pueden caer en el error de entregar información a terceros y que puede abrir incluso “la puerta” hacia datos y claves de acceso más personales, que lleven a ciberdelincuentes o cibernautas mal intencionados a ingresar a correos electrónicos, archivos o documentación delicada, entre otras cosas.

Por eso, en caso de querer solicitar una cuenta en una nube pública y que esta ofrezca un acceso “más rápido” o directo otorgándole permisos a través de una red social o cuenta de e-mail, lo más conveniente en esas situaciones es pasar de ello y formar un usuario único y contraseña que no pueda ser correlacionada a la misma que se utiliza en el correo electrónico o respectivas redes sociales.

Hay algunas compañías que otorgan sus propios servicios en la nube, pero sumado a eso entregan una amplia red de seguridad para que los usuarios puedan resguardar sus documentos e información en la red.

Comenta

Los comentarios en esta sección son exclusivos para suscriptores. Suscríbete aquí.

Este evento, que reunió en el Teatro Municipal de esa ciudad a expositores de distintas soluciones tecnológicas -entre ellos, Kinesix VR, Zeus y Huawei, partners de Claro empresas- fue también el punto de partida para la nueva Corporación de Innovación y Desarrollo Sostenible de la Ciudad Jardín.