Sigue estas recomendaciones para almacenar tu información en la nube – Segunda parte

Fecha de publicación 08/01/2019
Autor
INCIBE (INCIBE)
Imagen de acompañamiento.

Hace unas semanas publicamos un artículo de blog llamado «Sigue estas recomendaciones para almacenar tu información en la nube», dónde os mostrábamos los aspectos básicos a tener en cuenta a la hora de seleccionar el servicio de almacenamiento en la nube más adecuado para una empresa.

En esta nueva entrada, trataremos otro tipo de aspectos relacionados con la forma de gestionar la información de la empresa en este tipo de servicios, tanto a la hora de almacenarla, como de usarla y posteriormente de borrarla. Además, propondremos varias recomendaciones de seguridad con las que mitigar el principal riesgo al que se enfrentan este tipo de infraestructuras: el acceso no autorizado.

Qué información almacenar y cómo gestionarla

Clasificación

El primer paso a la hora de gestionar los datos de nuestra empresa en la nube, será identificar qué tipo de información es susceptible de ser almacenada en el servidor logs y cuál no. Las empresas manejan gran cantidad de información sensible como son los datos personales de empleados, de clientes o proveedores, nuevos proyectos, datos sobre el inventariado del almacén, etc. Sin duda, se trata de información necesaria para la operativa de la empresa, pero no toda es esencial en términos de continuidad del negocio. Por este motivo, debemos comenzar por implementar un procedimiento que clasifique la información.

Existen múltiples criterios que se pueden utilizar para clasificar la información. Estos deberán contemplar en qué estado quedaría la organización en caso de pérdida, robo o un acceso no autorizado. A la hora de clasificar la información hemos de comenzar por realizar un inventariado donde se establezcan cuáles son los criterios de clasificación de la información como por ejemplo, por su nivel de confidencialidad:

  • Confidencial. Accesible solo por la dirección o personal concreto como en el caso de proyectos que se estén desarrollando o datos especialmente sensibles contemplados en el RGPD.
  • Interna. Accesible únicamente por el personal de la empresa como el inventariado de productos disponibles o el procedimiento a seguir en caso de desastre.
  • Pública. Accesible públicamente. Como la información publicada en la página web corporativa.

Cifrado y borrado seguro

Una vez identificados y clasificados adecuadamente todos los activos de la información, se ha de establecer cuáles podrán ser almacenados en la nube y cuáles no, junto con los mecanismos de seguridad a seguir en caso de decidir subirlos a la misma.

En base a la clasificación previa se recomienda establecer las siguientes medidas de seguridad.

  • Información confidencial. Como norma general, se recomienda que los datos clasificados en esta categoría, no sean nunca almacenados en la nube, sino en los servidores internos de la organización.
  • Si la información es para uso interno, hemos de garantizar que no se pueda acceder a la misma sin la autorización correspondiente. Para evitar accesos no autorizados implementaremos el uso de herramientas de cifrado, gracias a las cuales la información únicamente será accesible para aquellos usuarios que conozcan la clave de descifrado. Almacenar la información cifrada evitará que ante un incidente de seguridad los datos almacenamos en el servidor logs se vean comprometidos.
  • En cambio, cuando la información almacenada en la nube no contenga datos de uso interno, no será necesario cifrarlos.

La información almacenada en la nube, como cualquier otra información, tiene un ciclo de vida. Cuando deja de ser útil para la empresa, esta se borrará de forma segura para evitar que con posterioridad pueda ser recuperada. El servicio de almacenamiento contratado debe ofrecer garantías suficientes para que el borrado sea seguro y completo. Esta circunstancia, como ya se ha mencionado en el artículo anterior ha de estar incluida en los acuerdos a nivel de servicio o SLA.

Recomendaciones de seguridad adicionales

El principal riesgo de cualquier servicio de almacenamiento en la nube es que se produzca un acceso no autorizado, y por consiguiente a la información que en él se aloja. Para reducir este riesgo al máximo posible se recomienda:

  • Establecer credenciales de acceso al servicio lo más robustas posible.
  • Si el servicio permite el uso de doble factor de autenticación (2FA), habilitarlo.
  • Mantener todo el software actualizado a su última versión.
  • Tener activo el cortafuegos, de la red o del equipo y el antivirus.
  • Tener precaución a la hora de seguir enlaces en correos o ejecutar ficheros adjuntos.
  • En caso de tener que acceder desde una red insegura, como una red wifi pública, utilizar una conexión VPN o la red de datos móviles.

Siguiendo las recomendaciones de ambos artículos podrás desarrollar e implantar una política de almacenamiento en la nube en tu empresa, con la que conseguirás un nivel de seguridad adecuado para salvaguardar tu información. Protege tu información y recuerda que se trata del principal activo de tu organización.

Etiquetas