Protege tu información, aplica estas recomendaciones de seguridad en servicios de almacenamiento cloud
La crisis ocasionada por el COVID-19 ha hecho que muchos procesos de la empresa se vean alterados. Uno de ellos afecta a la forma en que se gestiona y almacena la información. Una de las soluciones que más versatilidad ofrece son los servicios de almacenamiento en la nube, gracias a estos servicios los empleados que teletrabajan desde sus casas pueden compartir y almacenar información.
Utilizar los servicios de almacenamiento en la nube no está exento de riesgos, pero siguiendo una serie de recomendaciones, la ciberseguridad de la empresa y la información que se gestiona no se verán afectados.
Recomendaciones de seguridad
Conocer la política de seguridad y privacidad del proveedor
Este será el primer aspecto que debe comprobarse antes de optar por un servicio u otro. La política de seguridad del proveedor cloud debe contemplar las diferentes recomendaciones de seguridad que se describen en los siguientes aparatados.
Conocer cuál es la política de privacidad también es importante, se debe revisar y asegurarse que cumple con las directrices del Reglamento General de Protección de Datos (RGPD) y que la información se almacena en servidores ubicados dentro de la Unión Europea.
Además, es recomendable establecer acuerdos a nivel de servicio (SLA, Service Level Agreement) que especifiquen las sanciones que tendrá el proveedor en caso de no cumplir con los mínimos requeridos como, por ejemplo, la disponibilidad del servicio.
Definir los servicios cloud permitidos
Los empleados deben saber el almacenamiento cloud que deben utilizar para guardar cualquier tipo de información empresarial, así se evitará que utilicen servicios que puedan sufrir fugas de información. Además, la información que se encuentra centralizada en un servicio facilita cualquier tarea de gestión.
Clasificación de la información
Clasificar la información es un paso muy importante para aplicar las medidas de protección adecuadas sobre ella. No se deben aplicar las mismas medidas de seguridad a un documento público que a cualquier tipo de información confidencial. Por ello, aplicar unos criterios de clasificación adecuados servirá para mejorar el nivel de seguridad y evitar accesos no autorizados.
Cifrado de la información
El cifrado es una técnica que permite acceder a la información solamente a quien conozca la clave de descifrado. Esta medida es crítica si se quieren obtener unos adecuados niveles de privacidad y seguridad.
La información que se envía y recibe debe hacerlo utilizando mecanismos que la protejan, para ello si se utiliza la versión web del sistema cloud se debe comprobar que la dirección web comienza por el protocolo «https». Si se utiliza la versión de escritorio o app móvil, también se comprobará en la política de seguridad del servicio que la información se transmite utilizando protocolos seguros.
Cuando la información que se quiere almacenar es confidencial, es recomendable que se cifre en el dispositivo del empleado antes de subirla al servicio de almacenamiento en la nube. Esto evita que ante un acceso no autorizado, bien sea de un ciberdelincuente, el propio proveedor cloud o un empleado sin permiso para ello, la información siga estando protegida.
El servicio contratado también debe aplicar técnicas de cifrado en reposo, es decir, la información se almacena en los servidores del proveedor cloud cifrada. Esto significa que ante una fuga de información, los ciberdelincuentes deberán romper como mínimo un cifrado antes de poder acceder a su contenido.
Contraseña robusta y doble factor de autenticación
La robustez de la contraseña es un factor clave en la ciberseguridad de cualquier sistema, para ello se deben utilizar contraseñas lo más largas posibles y que cuenten con minúsculas, mayúsculas, números y símbolos. Utilizar gestores de contraseñas puede ser de gran ayuda a la hora de crear y almacenar las diferentes contraseñas de los distintos servicios. El servicio elegido es recomendable que fuerce a los usuarios a utilizar una contraseña robusta, evitando así malas prácticas de seguridad.
El proveedor contratado también debe disponer de doble factor de autenticación. Esta medida de seguridad reduce al mínimo que se produzca un acceso no autorizado a la cuenta, aunque un ciberdelincuente se haga con las credenciales de acceso.
Trazabilidad
El proveedor contratado debe incorporar mecanismos que permitan una trazabilidad de los accesos y las modificaciones de la documentación almacenada. Esto permitirá saber qué usuarios han accedo a determinada información y los cambios que han realizado, un aspecto importante en cualquier auditoría que certifique la seguridad de la información.
Protección contra el malware
La solución elegida debe contar con mecanismos de detección de malware los cuales pueden poner en riesgo la información de la empresa y los dispositivos de los trabajadores. También es recomendable que cuente con mecanismos que permitan identificar y detener los ciberataques por ransomware, y que en caso de que se hayan producido, se pueda restaurar una versión de los ficheros afectados.
Política de permisos
No toda la información que se almacena en el servicio cloud debe ser accesible para todos los empleados. Se debe aplicar a cada miembro de la empresa el principio de mínimo privilegio que les permita desempeñar sus labores.
Copias de seguridad
Las copias de seguridad son importantes, también para la información que se almacena en la nube. El proveedor cloud debe disponer de mecanismos que permitan realizar copias de seguridad de la información almacenada.
Confiar todos los documentos de la empresa a un proveedor externo no es un escenario demasiado recomendable, por ello también es importante realizar copias de seguridad periódicas en un dispositivo de almacenamiento propio.
Borrado de la información
Aplicar técnicas de borrado seguro es un paso fundamental que evita fugas de información. Los datos que ya no sean necesarios de almacenar deben borrarse y garantizar que no puedan ser recuperados. Esto debe indicarse en la política del proveedor y se debe garantizar su cumplimiento.
Si tienes dudas, llama al 017, la Linea de Ayuda en Ciberseguridad de INCIBE. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.