Gracias a Internet conseguimos interactuar más fácilmente con personas que tenemos lejos, compartir información de forma segura, trabajar en remoto o incluso hacer reuniones sentados en el sofá de casa. Y qué decir de los dispositivos móviles: smartphones, tablets que actuar como si fueran ordenadores y que nos permiten obtener estos servicios desde cualquier lugar y en cualquier momento.
La famosa Cloud (o la nube como la conocemos todos), ese concepto etéreo del que tanto se habla actualmente, no son más que servidores que están en redes de empresas, fabricantes, operadores o proveedores de servicios, que se dedican a dar servicios propietarios de forma remota o que se dedican a almacenar datos de clientes y dar acceso remoto a los mismos.
La información cargada en “la nube”, estos servicios proporcionados desde sites remotos, hacen más cómodo el disponer de nuevos productos, programas y soluciones tecnológicas sin que tengamos que instalar nada en nuestras redes, ordenadores o dispositivos móviles. Los proveedores de servicios consiguen aprovisionarnos de todo esto con el objetivo de hacernos la vida más fácil y generar nuevas oportunidades de negocio con empresas y particulares. Para empresas con una topología muy distribuida geográficamente o para teletrabajadores, estas soluciones son muy interesantes y beneficiosas para mejorar su productividad.
Cloud sí, pero sin riesgos
Pero todavía, y a pesar de las mayores cotas de uso de esta alternativa, hay mucha desconfianza por parte de empresas y particulares en dejar que su información, aplicaciones, etc. residan en un servidor que no está físicamente bajo su gobierno. Algo totalmente lógico. Por eso, con este artículo lo que se pretende es que cualquier usuario conozca y esté informado de las soluciones existentes en el mercado para que se asegure de que su información, aplicaciones o incluso redes enteras puedan vivir “en la nube” sin que corran ningún riesgo de seguridad o violación de la privacidad.
Data Loss Prevention: se trata de una tecnología cuyo objetivo es evitar que la información confidencial pueda ser extraída de una máquina (de cualquier tipo: virtual, física, dispositivo móvil) por cualquier canal o vía no deseada ni por un usuario que no tenga derecho a ello. Para que este tipo de soluciones cumplan con su finalidad con éxito, es muy importante y recomendable que el propietario de la información haga un análisis y determinación de qué es para él información confidencial. Una vez hecha esta auditoría, se trata de implementar políticas que identifiquen dicha información para que cuando se intente violar una de estas reglas se haga un bloqueo de ese intento de fuga.
Para ello, existen tecnologías y alternativas que se ajustan a cada caso y que, combinadas, permiten optimizar el uso de la nube garantizando la protección de la información y la privacidad en todo momento:
Encriptación: para asegurarnos de que nuestros datos sólo van a ser accedidos por quienes nosotros queramos, la encriptación es una buena solución. Existen herramientas que consiguen hacer encriptación de máquinas completas, ficheros, carpetas personalizadas, etc. mediante tecnologías de clave pública sin que tengamos que instalar localmente ningún programa o hardware. Estos productos se encargan de generar claves de cifrado y descifrado en servidores especializados para ello en Internet (desde servidores de los fabricantes) y hacer las funciones de cifrado y descifrado de nuestra información en la nube cuando el usuario quiera y como él desee. De esta manera no sólo nos aseguramos de que los datos no están abiertos a usuarios ajenos a mi empresa, sino que se consigue controlar quién queremos que pueda acceder a los mismos; es decir, quién tiene derechos de desencriptar.
Antimalware optimizado para el entorno: últimamente la virtualización es un proceso que se está imponiendo a un ritmo vertiginoso en todo el mundo. España no se queda atrás en este ámbito. Ya son muchas las empresas que han migrado sus máquinas físicas a virtuales. Todos somos conscientes de que es necesario que un sistema antimalware proteja nuestras máquinas, pero también debemos plantearnos cómo hay que hacer esta protección. Una protección comúnmente utilizada en una máquina física, puede ser válida para proteger una máquina virtual, pero no es adecuado desde el punto de vista del rendimiento. Si instalamos soluciones antimalware tradicionales sobre máquinas virtuales corremos el riesgo de consumir muchos más recursos de los necesarios, congestionar las máquinas virtuales hasta el punto de que los usuarios no puedan trabajar en ellas e incluso ralentizar la productividad. Por eso, debemos aprovisionar nuestra red de una solución antimalware que sea capaz de adaptarse al tipo de máquina a proteger. Es una forma inteligente, adaptativa, de aportar seguridad. Lo ideal: conseguir que en el entorno virtual no haga falta instalar ningún software en cada máquina virtual, sino que exista la forma de que esa seguridad venga impuesta a nivel de hypervisor. Estas soluciones existen y son capaces de aportar al entorno virtual, de forma agentless, no solo antimalware, sino otros módulos como prevención/detección de intrusiones, control de aplicaciones web y de cualquier otro tipo, firewall o incluso monitorizar la integridad de nuestros ficheros ante posibles cambios.
Cumplimiento de normativas: Últimamente se está hablando mucho sobre normativas como PCI (Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago), HIPAA (Ley de Portabilidad y Contabilidad de Seguros de Salud)… Dependiendo del sector al que pertenezca una empresa, se puede hacer imprescindible que se cumplan los requisitos marcados por estas normativas. En muchas ocasiones las empresas entienden que el tener que cumplir estas normas les va a resultar difícil y duro. Y dan por supuesto que es necesario llevar a cabo cambios en su arquitectura de red o destinar recursos internos para adaptarse a las mismas. En realidad esto no tiene por qué ser así: tanto si estamos trabajando con todos nuestros servidores y datos onsite, como si estos están alojados en sites externos, existen soluciones de seguridad que desde el momento que se implantan, ya cubren con el cumplimiento de todas estas normativas para la mayoría o la totalidad de sus requisitos. Es crucial, por tanto, elegir una solución de seguridad que nos permita, de base, cumplir las normativas específicas que nos sean impuestas.
En resumen, lo que se intenta transmitir con este artículo, es el hecho de que podemos trabajar con nuestros datos en la nube de forma segura, óptima, efectiva y cumpliendo las normativas que nos sean aplicadas. Sólo es cuestión de tener conocimiento de cuáles son las opciones disponibles en el mercado y actuar, eso sí, siempre con sentido común.
