Economía y Negocios
La nube facilita manejar la seguridad digital de los sistemas, pero puede generar exceso de confianza en sus clientes
A medida que se extiende la popularidad de los servicios cloud , que ofrecen alojar la información y servicios de una empresa “en la nube” -o sea, en servidores o data centers ubicados fuera de las instalaciones del cliente, incluso en el extranjero-, es cada vez más importante que las empresas entiendan las implicancias que un cambio a la nube tiene para su ciberseguridad.
En efecto, Hugo Soto, investigador del Centro de Estudios del Futuro de la Universidad de Santiago, describe la existencia de una tendencia, por parte de las empresas, de “extender sus capas de negocio a la nube”, lo que permite, agrega, reducir costos de mantención y seguridad, “como el software y sus actualizaciones, además de la necesidad de contar con personal experto”.
Nada excusa mejorar la seguridad interna
Para Cristián Rojas, consultor de seguridad de la información y profesor de la disciplina en las universidades de Chile, Católica y Adolfo Ibáñez, el aspecto que más diferencia a las opciones cloud es ofrecer servicios de ciberseguridad “que permiten monitorear la infraestructura y aplicar controles de seguridad de manera más simple”.
“Hay muchos servicios que están cubiertos, como respaldo, temas de seguridad, de acceso y disponibilidad de la información, que obviamente son costos que yo tendría que asumir si decido alojar mis datos en mi infraestructura”, agrega el oficial de Seguridad en Internet de la Universidad de Chile, Andrés Peñailillo. Entre ellos, “contar con un equipo de ciberseguridad que aplique las medidas necesarias y parche los servidores regularmente”, detalla.
Todo lo anterior no significa en ningún caso que el cliente pueda despreocuparse. Como advierte Rojas, “el uso del cloud conlleva un riesgo grande: una falsa sensación de seguridad”. Asegura que muchos creen que por ser clientes de una nube, “no tienen que preocuparse de la seguridad, y el proveedor debe encargarse de todo”. Por el contrario, señala el experto, el proveedor cloud solo se ocupará de la ciberseguridad hasta cierto punto. Desde ahí, esta depende del cliente. “No va a hacer, por ejemplo, análisis automatizados del código de tu aplicación”, señala.
Eduardo Almeida, vicepresidente y gerente general para Latinoamércia de Unisys, enfatiza que cuando una empresa pondera si contratar servicios cloud , lo primero “que debe hacer su CISO (director de seguridad de la información) es garantizar que el proveedor del servicio tenga el mínimo de garantías de seguridad compatible con las expectativas que tengo en mi propia empresa”.
Desde allí, la labor de la compañía que pone parte de sus sistemas en la nube es mejorar su propia seguridad.
Por lo mismo, Soto recomienda que se adopten o no soluciones cloud , no solo mantener los controles que actualmente se disponen, sino sumar controles adicionales, ya que se está compartiendo información sensible de la empresa y sus propios clientes con un ambiente externo. Además, sugiere implementar controles de acceso con un segundo factor de autenticación; definir distintos niveles de usuarios, como privilegiados, de acceso interno y proveedores; cifrar o enmascarar datos; tener un servicio de monitoreo orientado a la nube y analizar activamente si hay vulnerabilidades en el ambiente.
SIGA LEYENDO:
https://digital.elmercurio.com/2019/07/01/B/0V3KP554#zoom=page-width