Inicio / Protege tu empresa / Blog / Las principales medidas de prevención que una empresa tiene que afrontar desde "la nube"

Las principales medidas de prevención que una empresa tiene que afrontar desde "la nube"

Publicado el 19/11/2013, por Jorge Chinea López
Imagen cloud con movil

Mercedes ha tomado la decisión. Después de asistir a conferencias, leer diferentes artículos sobre el tema y ver cómo trabajan otras empresas, va a dar el paso hacía el Cloud. Desde su asesoría gestiona y ayuda a pequeñas empresas con su fiscalidad y llevar sus cuentas de la mejor manera posible. Toda la información y programas los tiene en un pequeño servidor en su empresa, y va a pasar a integrarlo en un entorno Cloud. Lo hará poco a poco, primero los procesos y servicios menos críticos, y posteriormente todos los demás.

Es consciente de lo importante que es la información de sus clientes y que debe protegerla adecuadamente. Son muchos años llevando sus cuentas y la confianza que tiene con ellos, no puede verse rota por una mala gestión de la información que maneja de ellos: contabilidad, datos fiscales, planes estratégicos, … La clave de su empresa es estar siempre con el cliente para poder asesorarle lo mejor posible. Por este motivo, su tablet, portátil y móvil se convierten en herramientas de vital importancia para poder reunirse con ellos en sus empresas. Sin embargo, en muchas ocasiones, no tiene toda la información actualizada disponible para presentársela a sus clientes o para actualizarla y estar sincronizado con sus compañeros de la asesoría. En un entorno Cloud gran parte de este problema desparecería, ya que podría acceder a toda la información a golpe de clic. Además, tendría aparte otras grandes ventajas en cuanto a costes, flexibilidad, etc.

Pero la seguridad y privacidad de la información de sus clientes es muy importante para Mercedes y no quiere dejar nada al azar. Además, también es consciente que la seguridad al 100% no existe, pero que en el caso de que tenga algún problema, pueda restablecer todo lo antes posible para que su empresa pueda continuar con su actividad normalmente (sabe que muchas empresas han tenido serios problemas de pérdida de información, y que les supuso importantes trastornos por no haber tomado medidas para prevenirlos). Por esto, para Mercedes es muy importante transmitir confianza también a sus clientes, en que la información que maneja de ellos está debidamente protegida.

Como toda tecnología, el Cloud no está exento de riesgos, ¿cuáles son los principales riesgos que tiene que tener en cuenta Mercedes?

  • Fugas internas de información. Un entorno Cloud, es un sistema de información, por lo que la amenaza que suponen los propios empleados, bien sea por estar descontentos o accidentes o por error o desconocimiento, es uno de los riesgos más importantes. Hay que tener en cuenta que los usuarios para desempeñar su trabajo tienen acceso a los datos y aplicaciones de la empresa.

    ¿Cómo podemos prevenirlo? Una de las recomendaciones es especificar cláusulas legales y de confidencialidad en los contratos laborales. Además se deben de establecer políticas de seguridad adecuadas, como por ejemplo a qué tipo de información o aplicaciones puede acceder cada empleado.

    Mercedes redactará una política de seguridad para su empresa, donde clasificará la información y dará acceso sólo a aquellos de sus empleados que necesiten acceder a la misma.

  • Pérdida de información. En la nube, el número de interacciones con los datos se multiplican debido a la naturaleza de la propia arquitectura. Por este motivo, la información podría ser interceptada o modificada.

    ¿Cómo podemos prevenirlo? En la medida de lo posible debemos de utilizar herramientas que nos permitan cifrar la información en la plataforma, así como en el tránsito de la información. Utilizar sistemas de autenticación robustos, junto con contraseñas fuertes para la protección tanto de la conexión como de los datos. Además, relacionado con este asunto, es importante tener tanto una buena política como servicio de copias de seguridad. Monitorizar y recibir alertas sobre el uso de información crítica, así como poder acceder a los logs de acceso a datos y aplicaciones son buenas prácticas que complementan las anteriores para poder prevenirlo.

    Mercedes utilizará una plataforma que le garantice una comunicación cifrada, mantendrá una buena política de contraseñas y tomará las medidas en relación a las copias de seguridad que haya definido.

  • Secuestro de sesión. si un atacante obtiene las credenciales de un usuario del entorno puede acceder a actividades y transacciones, manipular datos, devolver información falsificada o redirigir a los empleados a sitios maliciosos.

    ¿Cómo podemos prevenirlo? En primer lugar dejando claro expresamente, mediante políticas y procedimientos, la prohibición de compartir credenciales entre usuarios. Si existe la posibilidad, aplicar técnicas de autenticación de doble factor siempre que sea posible. Además de monitorizar, a través de las herramientas que nos ofrezca la empresa proveedora, las sesiones en busca de actividades inusuales.

    Mercedes, consciente de los riesgos tomará medidas para que las contraseñas roten, no sean compartidas y para información muy confidencial establecerá también otras medidas adicionales de autenticación, como certificados digitales, monitorizar de vez en cuando actividades inusuales en las sesiones, etc.

  • Riesgos por desconocimiento. Aunque sean medidas técnicas, siempre es importante conocer al menos en parte las medidas de seguridad que se implantarán por parte del proveedor de Cloud y por tanto ver cuáles serían las medidas adicionales a aplicar. La carencia de información de este tipo puede derivar en brechas de seguridad desconocidas por el afectado

    ¿Cómo podemos prevenirlo? Conocer la infraestructura, así como con quién se comparte, y las medidas de seguridad que se aplican.

    Mercedes, solicitará a su proveedor Cloud, conocer todas las medidas de seguridad que está protegiendo su información, su grado de cumplimiento y medidas adicionales para su mejora.

  • Cumplimiento normativo. Al utilizar entornos en la nube no se conoce de forma exacta en qué país están alojados los datos. Además, los clientes del servicio Cloud son en última instancia responsables de la seguridad e integridad de sus datos, aunque estos se encuentren fuera de las instalaciones y gestionados por un proveedor de servicios Cloud.

    ¿Cómo podemos asegurarnos su cumplimiento? Bien sea a través de las condiciones de uso o consultando al propio proveedor del servicio Cloud, hay que consultarle principalmente dos puntos: el marco regulatorio aplicable al almacenamiento y procesado de datos (en el contrato debe de reflejarse que el tratamiento de los datos se subyugue al marco legal del país del suscriptor del servicio), establecer de una forma clara que la organización mantiene la propiedad de todos sus datos asegurándonos que el proveedor no adquiere derechos o licencias a través de los acuerdos para usar los datos en su propio beneficio.

    Mercedes, solicitará a su proveedor Cloud, toda la información en cuanto a la regulación y propiedad del almacenamiento y proceso de datos.

Gran parte de estas medidas ya eran utilizadas por Mercedes en su empresa, por lo que tendrá que adaptar parte de ellas. Además, también tendrá que reforzar la seguridad de algunos puntos críticos desde donde se acceda a la información: su móvil, su tablet y los portátiles de la empresa. Para las cuestiones técnicas se apoyará en los profesionales de la empresa con los que siempre ha trabajado con todo los asuntos tecnológicos, pero teniendo claros los riesgos y cómo prevenirlos todo será más sencillo.