Seguridad en la nube (I)

Como comentaba en alguno de mis posts anteriores, el concepto de la computación en la nube no es nada nuevo, ni tampoco las inseguridades que puede ofrecernos una red como Internet. Probablemente fue a DEC “Digital Equipment Corporation”, empresa de miniordenadores del siglo pasado, a quién primero escuché aquello de que “el Sistema es la Red”. Creo que esta frase resume muy bien la idea de situar la capacidad de proceso en la propia red y no en las instalaciones locales de las organizaciones. Desde entonces y con la explosión de internet mucho más, el poner como obstáculo a la seguridad de la información para no utilizar cierto tipo de tecnologías y modelos de negocio asociados, ha sido bastante habitual y además con argumentos bastante repetitivos.

Computación en la nubeProbablemente muchas empresas que se ponen estrictos con la seguridad de la información, poniéndolo como excusa para no pasar a la computación en la nube, tengan mecanismos y herramientas menos sofisticadas que las empresas de referencia de este tipo de servicios. Hace unas semanas en MIT Technology Review publicaban que un estudio realizado por investigadores de una universidad de Carolina del Norte y de la empresa de seguridad informática RSA demostraba que los ataques espía en la nube eran posibles.

En el artículo se comenta que lo demostrado por estos investigadores es tan complejo, que es poco probable que se convierta en una amenaza para los clientes de cualquier plataforma en nube hoy en día. En cualquier caso, la seguridad al cien por cien nunca la podremos asegurar, ni tan siquiera realizando grandes inversiones. Además mi experiencia contrastada con muchos profesionales que trabajan en temas relacionados con la seguridad de la información, me dice que los eslabones más débiles de un sistema de seguridad, suelen ser con frecuencia los propios empleados de las empresas.

No es mi propósito hablar en este post de la normativa asociada a la seguridad de la información, ni de los aspectos legales, ni tampoco de las herramientas que se instalan hoy en día en las empresas. Más bien se trata de un post de concienciación de la importancia que puede llegar a tener cierta información para una empresa y debiéramos ser coherentes con ello y no tratar a todo tipo de información de la misma manera.

Parece un contrasentido, que en una época que llamamos “Sociedad de la Información y el Conocimiento” donde la información se considera un activo con un valor creciente dentro de las organizaciones, la sigamos tratando igual o a veces peor que el siglo pasado.

Dicho todo esto, si quisiera decir que ojalá la llegada de los nuevos modelos de negocio relacionados con la nube, sirva para que la empresa española empiece a tratar los aspectos de seguridad de la información con mucho más criterio y profesionalidad.

Los tres principales riesgos que nos podemos encontrar tienen que ver con:

En el área militar se sabe que debido a que protegernos de dichos riesgos puede tener costes elevados y que no toda la información es igual de sensible, la información debe distinguirse de acuerdo a diferentes niveles de sensibilidad. El proceso de asignar una determinada información a un cierto nivel de sensibilidad se llama clasificación.

¿Tiene sentido hacer algo similar pero para los entornos civiles?

Mi opinión es que sí, aunque simplificando el proceso y poniendo el foco en la información crítica para la supervivencia de la empresa. Es algo que se viene haciendo en algunas empresas desde hace tiempo, aunque en ocasiones no con la sistemática requerida. Además creo que nunca ha tenido tanto sentido como ahora, pues dicha actividad  debería ser un pilar importante a la hora de decidir el modelo de nube que mejor se adapta a nuestras necesidades.

Cualquier proyecto de I+D+i que se inicie en una empresa debería ser analizado desde el punto de vista de la información que va a generarse y gestionarse. Se trata de identificar por parte de los propietarios de la información si hay algún tipo de información que pudiera ser crítica para la empresa y por lo tanto decidir cual o cuales serían los mecanismos más adecuados para su protección. Es algo que nos llevaría poco tiempo, pero evitaría problemas futuros que la mayoría de las veces suelen ser irresolubles. Mi experiencia me dice que suele ser muy poca información, pero debemos tenerla identificada si es que existe.

Quizás para algunas personas, este tipo de pensamientos les haga pensar que van contra los diferentes modelos de innovación abierta que podemos encontrarnos hoy en día, de los cuales soy un gran defensor. Debemos verlo como el complemento perfecto a los modelos en abierto, cuya filosofía podría aplicarse no solo al mundo empresarial sino también a nuestra vida personal. Por ejemplo, las redes sociales son sin duda una herramienta de comunicación y colaboración estupenda, pero no creo que sea recomendable compartir con todo el mundo las cosas más intimas o privadas, que pudieran hacer peligrar/deteriorar nuestra identidad digital. Todas las amenazas y riesgos del mundo físico son perfectamente trasladables al mundo virtual.

Para no alargar mucho este post en el siguiente daré algunas ideas y recomendaciones concretas, junto con los beneficios que podríamos obtener sin elevar necesariamente la inversión en la seguridad de la información.



Suscribirse a comentarios Comentarios | Trackback |

Enviar comentario

Debe identificarse para enviar comentarios.