Seguridad en la nube: utiliza sus servicios evitando riesgos

La protección de la información es un tema de gran relevancia en la era digital y el uso seguro de servicios en la nube se ha convertido en un importante desafío. Continuamente se levantan voces que advierten de que los datos almacenados en la nube no pueden estar seguros bajo ninguna circunstancia, lo que provoca que a menudo los usuarios particulares más precavidos eviten este tipo de soluciones online. No obstante, no es el ámbito privado el único que se preocupa por la seguridad en la nube, pues en el sector empresarial también se utilizan estos servicios para guardar un gran volumen de datos de carácter privado, así como información confidencial relativa a la empresa.

A pesar de los rumores sobre los riesgos de seguridad que conlleva almacenar información en la nube, el volumen de datos que se depositan en ella va aumentando continuamente, pues se suele recurrir a estos sistemas con bastante frecuencia. Por un lado, los particulares los utilizan por la comodidad que supone poder acceder a todos datos guardados desde cualquier lugar e incluso crean copias de seguridad de sus discos duros y las guardan en estos sistemas online. Por otro lado, las empresas encuentran en la nube una herramienta de gran ayuda para poder mantener una mejor conexión entre los diferentes empleados y de este modo aumentar la eficiencia de los procesos de trabajo. Además, su uso reduce costes, dado que con el cloud hosting se pueden ir aumentando los recursos según se requiera, necesitando una infraestructura in situ menor.

La variante más común es la conocida como nube pública (public cloud), en la que proveedores de servicios en la nube como Google Drive o Box ofrecen a sus clientes un espacio de almacenamiento en la nube listo para usar, aunque a cambio establecen sus propias medidas de seguridad. No obstante, quien prefiera tener un mayor control sobre sus datos suele decantarse bien por una nube privada (private cloud) o por una nube híbrida (hybrid cloud), que se configuran respectivamente con completa o parcial independencia de los proveedores públicos. De este modo, los usuarios disponen de un mayor control sobre las medidas de seguridad, aunque al mismo tiempo se les exige un mayor esfuerzo técnico. Principalmente, son las empresas las que, por motivos de protección de datos y seguridad, optan por estas soluciones, aunque con un software con ownCloud los usuarios particulares también pueden crear una nube gestionada por ellos mismos.

Dado que cada vez es mayor la información que circula por los servicios en la nube, surgen inevitablemente con más frecuencia cuestiones relativas a la seguridad. ¿Cuál es la mejor forma de protección de la información en la nube tanto para empresas como para particulares? Aquí explicaremos los riesgos a los que se puede exponer la información y aclararemos los aspectos a los que hay que prestar especial atención. Asimismo, presentaremos diferentes métodos para poder usar todos los tipos de servicios en la nube de forma segura.

Desafíos para un almacenamiento seguro en la nube

A pesar del confort que supone recurrir a la nube, su uso va ligado también a una serie de riesgos. Para poder reducirlos, en primer lugar es necesario conocer qué amenazas se esconden realmente tras este tipo de sistemas, que detallamos a continuación.

Origen de las amenazas de seguridad en la nube

Una y otra vez escuchamos que no existe la nube segura al cien por cien, pero ¿cuáles son exactamente los peligros que la ponen en peligro? Una respuesta incompleta sería aquella que hace referencia a los muchos problemas que supone usar de forma segura los servicios en la nube: junto con la pérdida de información causada por la insolvencia del proveedor, averías técnicas o el bloqueo de la cuenta, también existe el riesgo de que un tercero no deseado pueda acceder a los datos sin autorización. La pregunta que sigue entonces es: ¿quiénes son estos terceros y por qué tienen interés en esta información? A continuación los ejemplos más destacados:

  1. “Ladrones de datos”: un foco de peligro lo representan aquellas personas que buscan usar estos datos con fines económicos o para hacer carrera. No solo los datos bancarios son de su interés, sino todos aquellos relacionados con las personas a las que pertenecen. Por ejemplo, el espionaje industrial se puede llevar a cabo gracias a este robo de información de nubes poco protegidas.

  2. Hackers: los hackers ponen a prueba sus habilidades para poder atravesar los sistemas de seguridad de empresas o instituciones públicas. Algunos informan a los administradores sobre los fallos de seguridad encontrados, pero otros tienen intenciones criminales.

  3. Órganos estatales: el escándalo de la NSA (Agencia de Seguridad Nacional) norteamericana mostró a la sociedad que la mayor parte de los servicios secretos pueden acceder a la información privada de los ciudadanos. Otros organismos también pueden tener acceso a estos datos en caso sospechoso mediante una orden judicial, motivos que convierten también a los organismos públicos en una amenaza para garantizar la protección en la nube.

  4. Proveedores de servicios en la nube: muchas de las grandes empresas de TI como Google o Apple basan su poder de mercado en el procesamiento de los datos de usuario. A través de unas condiciones de uso poco claras estas empresas se aseguran una cierta libertad de movimiento para extraer datos favoreciendo sus propios fines. Uno de los problemas reside en la poca transparencia de estos proveedores, pues el usuario no sabe a ciencia cierta lo que ocurre con los datos depositados en las nubes públicas.

  5. Personas del entorno interno de la empresa: también los empleados o antiguos empleados de una empresa suponen un riesgo potencial para la seguridad, pues pueden abusar de los conocimientos adquiridos para acceder a la información en la nube y hacer chantaje con ellos, lo que obliga especialmente a las grandes empresas a cuidar con gran cautela su identidad, así como los derechos de gestión de la nube.

Especiales retos para empresas

Si particulares y empresas quieren protegen de forma efectiva el acceso a la nube deberán enfrentarse a una serie de desafíos. Mientras que en el ámbito privado se recurre normalmente a medidas generales de protección de datos como claves de seguridad elaboradas o encriptación de información, el caso de las empresas es algo más complicado.

Al contrario que los particulares, las empresas no solo trabajan con un servicio en la nube, sino que hacen uso de infraestructuras informáticas complejas basadas en esta a la que tienen acceso numerosos empleados. El término genérico que hace referencia a este tipo de infraestructura es cloud computing o computación en la nube, estructuras que no se ejecutan de forma primaria en un ordenador local sino que en la mayoría de los casos se ponen a disposición a través de Internet. Dado que el número de usuarios con acceso a la nube desde diferentes lugares con diferentes dispositivos aumenta en gran medida, las cuestiones a las que prestar atención a la hora de garantizar la seguridad de este tipo de sistema se multiplican y protegerlo se convierte en un verdadero reto técnico.

Hecho

Las empresas también apuestan con mayor frecuencia por el cloud hosting, considerado una parte de la computación en la nube. Con este modelo de alojamiento en la nube los datos no se almacenan en un servidor físico, lo que permite una adaptación mejor y más flexible a las necesidades de las empresas.

Los retos principales surgen a la hora de gestionar la identidad, lo que implica administrar los datos de acceso de los empleados y regular a qué recursos puede acceder cada miembro dentro de la nube. Para que el flujo de trabajo sea más efectivo, las empresas suelen recurrir a una administración central de usuarios para su acceso a la nube. Esta cuestión debe tenerse en cuenta desde el momento en que una empresa usa un servicio para compartir archivos como Dropbox al que cada empleado accede individualmente. La gestión de los entornos multicloud también requiere especial atención. Cuanto mayor es la empresa, más complicada resulta la gestión de la identidad y más importante es garantizar la protección de la nube.

Uso privado: cómo garantizar la seguridad de los servicios en la nube

En el caso de los particulares, el grado de protección de la nube se mide dependiendo de cómo se implementan las medidas generales de protección de datos. Junto al uso de contraseñas seguras hay que prestar atención a la ubicación y las condiciones de uso del servidor del proveedor de servicios y si este encripta datos.

Ubicación del servidor y domicilio social de la empresa

Para estar seguros de que los datos depositados en el servicio en la nube están protegidos hay que tener en cuenta dos factores: la ley de protección de datos del país o la zona en los que se aloja el servidor y el lugar en donde está registrada la sede social de la empresa, ya que ambos van a determinar el grado de protección de la información frente a terceros.

Estos son los motivos por los que se hace también hincapié en que los usuarios particulares tengan en cuenta a qué proveedor de servicios en la nube confían sus datos, pues si un usuario en España recurre a un servidor en EE.UU., los servicios en la nube se regirán por la legislación estadounidense. La legislación de este país proporciona menor protección en la esfera privada que la europea y por ello hay constantes litigios judiciales sobre cómo manejan las empresas estadounidenses los datos de ciudadanos europeos. La importancia de decidir adecuadamente el servidor en función de la zona en la que se aloja es determinante, ya que no solo los ciberdelincuentes, sino también las autoridades públicas pueden conseguir acceso a la información depositada en la nube, aunque no haya consentimiento por parte del usuario. Por eso te recomendamos elegir un servicio en la nube con un servidor alojado en la UE o más concretamente en España. Además, dispondrás de mayor velocidad.

Consejo

Es posible recurrir a proveedores de servicios en la nube que tengan el servidor en España. 1&1 ofrece un servidor cloud para los clientes de tarifas móviles y DSL de forma gratuita. Además, gracias a las útiles aplicaciones para documentos, fotos y música, los datos se pueden gestionar en la nube sin mayor complicación. También permite acceder a las carpetas aunque no se tenga conexión a Internet.

Como los usuarios se están tomando en serio los consejos en cuanto al lugar donde se aloja el servidor, las empresas estadounidenses guardan cada vez con más frecuencia los datos de los clientes europeos en servidores europeos. Aunque no es el único elemento que se debe considerar, pues la sede social también es muy importante para determinar la seguridad de los datos. Incluso cuando el servidor de una empresa con sede en EE.UU. se encuentra en España, las oficinas estadounidenses pueden tener acceso a sus datos a pesar de todas las voces en contra y los litigios judiciales.

Política de protección de datos del proveedor web

Si se desea conocer cómo proceden los diferentes servicios en la nube con los datos almacenados en ellos hay que leer las disposiciones sobre la protección de datos, sin olvidar que especialmente los principales proveedores como Google o Apple no consiguen la mayor parte de sus beneficios económicos estableciendo cuotas progresivas a sus usuarios, sino precisamente usando sus datos. Debido a una política de protección de datos ciertamente laxa, criticada continuamente por aquellos que luchan por proteger la información, hay un cierto margen que estas empresas usan para su beneficio.

Además, las grandes empresas de TI disponen por regla general de los medios necesarios para extraer patrones de la enorme montaña de datos de la nube, creando las conocidas huellas digitales o digital footprints de usuarios o grupos de usuarios. Estas huellas se vinculan a su vez a otros servicios (en el caso de Google con Search, Maps, Mail, etc.) que van alimentándolas, es decir, aumentando la cantidad de datos recopilados por usuario. Si se quiere evitar esta exposición de la privacidad se debe optar por un proveedor más pequeño que proporcione un mayor grado de seguridad a cambio de una cuota mensual.

Encriptación de datos

Aquellos que almacenan datos online deberían encriptarlos siempre, pues este método es de gran ayuda para garantizar su protección. Aunque hay muchos procesos de encriptación diferentes, desde el punto de vista técnico suelen presentar cierta complejidad, de ahí que la mayoría de los usuarios accedan a los métodos de encriptación de los propios proveedores de la nube. Estos exigen un menor grado de conocimiento, pero también impiden al usuario comprobar si las medidas son suficientes, especialmente en el caso de las nubes públicas que apenas ofrecen transparencia sobre tratamiento de la información.

Al mismo tiempo, la cantidad de programas externos para la encriptación de información depositada en la nube va aumentando progresivamente. Programas como Cryptomator, CryptSync o Boxcryptor proporcionan una mayor protección de forma independiente al proveedor de servicios en la nube. El mercado de software de encriptación se ha ido volviendo más complejo con el tiempo, pero recurrir a una encriptación de un proveedor externo aumenta la seguridad de los datos depositados en la nube.

Consejo

Se recomienda crear una copia de seguridad de aquellos datos de gran valor o especialmente sensibles y guardarlos offline, ya que siempre existe el riesgo de que los datos de la web se pierdan bien por olvidar la clave de acceso, bien porque el proveedor se declare insolvente o por cualquier otra situación imprevista. Un software de sincronización como SyncBack facilita el trabajo en gran medida.

Consejos para empresas: consigue un almacenamiento en la nube seguro

Para las empresas, la seguridad en la nube es un tema mucho más complejo que para los particulares. Por supuesto, el lugar de alojamiento del servidor y la encriptación son puntos a tener en cuenta, pero estos deben además proteger el acceso a la nube de numerosos empleados y administrar eficientemente la información de forma centralizada.

Para ello son necesarias soluciones más complejas que permitan una gestión eficiente de los permisos en las nubes corporativas, pues son muchos los que usan la infraestructura TI de una empresa y, por lo tanto, se ha de autentificar su identidad y autorizar sus derechos de usuario dentro de la nube. A continuación te presentamos algunas soluciones de autentificación y autorización muy eficaces que ayudan a garantizar la seguridad en la nube.

Cloud Access Security Broker (CASB)

El uso de Cloud Access Security Broker (CASB) constituye una de las soluciones disponibles para poder utilizar la nube de forma segura. CASB es un software diseñado especialmente para proteger y controlar el acceso a la nube. Esta solución relativamente nueva para la seguridad de la nube es considerada un método externo de control pues se sitúa entre el servicio de la nube y el usuario, controlando la comunicación. Además, son muchas más las funciones de las que dispone CASB, que sirven como instrumentos de monitorización y gestión dentro de la nube, informan de procesos irregulares y establecen las acciones que deben llevarse a cabo en caso de una alerta de seguridad. CASB constituye un nuevo grupo de software desarrollado específicamente para gestionar el flujo de trabajo de una empresa basado en la nube.

Para garantizar la seguridad de la nube, CASB ofrece gran variedad de servicios con los que se puede autentificar la identidad de los usuarios, encriptar el tráfico de datos y bloquear el indeseado, identificar el malware, activar alarmas con respecto a acciones sospechosas o integrar requisitos de acceso adicionales. Esto último implica que CASB debe identificar el dispositivo desde el que se pretende acceder a la nube para que el usuario pueda entrar. No obstante, para que CASB lleve a cabo las medidas de seguridad aquí indicadas, estas deben haber sido configuradas de antemano. No hay que olvidar que CASB puede trabajar también junto con otras medidas de seguridad para la encriptación, la autentificación de varios factores, el IAM (Identity and Access Management) o el SIEM (Security Information and Event Management).

Gracias a estos servicios, CASB se ajusta a los requisitos de seguridad actuales de las empresas. De hecho, el instituto alemán de investigación de mercado Gartner pronostica que en el 2020 el 85 por ciento de las empresas recurrirán a CASB para proteger su acceso a la nube. A la luz de esta información no es sorprendente que importantes empresas de TI hayan adquirido algunos de los servicios más recientes de CASB. De este modo, los sistemas Blue Coat pertenecientes a Symantec integraron el servicio Elastica mientras Microsoft tomó a Adallom, lo que viene a demostrar el potencial que se esconde tras esta rama de la industria, así como la importancia que se le da a la seguridad en la nube en la actualidad.

Para que servicios CASB tales como CensorNet, Bitglass, Netskope o CipherCloud funcionen sin problemas es necesario que se integren correctamente en la infraestructura propia de la empresa. Esto significa que deben estar conectados a la gestión de los usuarios y, al mismo tiempo, integrarse bien en la nube que pretende proteger. Por esto, en muchos casos CASB soporta los posibles servicios basados en la nube que las empresas usan en su día a día, tales como Office 365, OneDrive, Box, Google Apps o Salesforce, aunque también se pueden implementar servicios desconocidos.

Para integrar CASB en una red empresarial existen diferentes variantes. El software de CASB funciona bien trabajando en la nube, bien de forma local. Además, en la infraestructura de TI de la empresa se integra como una puerta de enlace central (central gateway) o a modo de aplicación API. Ambas variantes tienen ventajas e inconvenientes. Si se implementa CASB como puerta de enlace, este software se sitúa entre el usuario y el servicio en la nube, esto es, se encuentra en la corriente de información, lo que le permite bloquear directamente acciones no deseadas. No obstante, el rendimiento de la nube puede verse reducido si aumenta la cantidad de trabajo. Para las empresas con un mayor número de empleados son más adecuadas las soluciones basadas en API. En estos casos CASB se encuentra fuera de la comunicación directa entre usuario y nube, por lo que no puede intervenir directamente en estas acciones pero no influye en la reducción del rendimiento del servicio en la nube.

Autenticación de dos o múltiples factores

Mientras que las complejas soluciones CASB están específicamente destinadas a garantizar una mayor seguridad de la nube, los diferentes métodos de autenticación son considerados como sus componentes adicionales más importantes, constituyéndose como un método decisivo de protección de la nube. Estos sistemas se ocupan de controlar el acceso a un servicio en la nube, regulando quién puede usarlo. Las empresas recurren cada vez con más frecuencia a un servicio de autenticación externo (identity provider) que supone la tercera autoridad competente entre el proveedor de la nube y el usuario. Si un usuario quiere usar el servicio informático de una empresa, primero será desviado a un sistema de autenticación en el que normalmente debe identificarse con una contraseña. El identity provider o método de autenticación escogido es decisivo para la utilización de un servicio de almacenamiento en la nube seguro.

Un método de autenticación es especialmente seguro si para desbloquearlo se requiere además de una contraseña al menos otro parámetro. Se habla entonces de autenticación de dos o múltiples factores, entendida como la medida más eficaz para garantizar la seguridad de acceso a la nube. Es por este motivo que se recomienda su uso en ámbitos con un alto riesgo de seguridad. Además, en el caso de la protección de actividades administrativas en las nubes de las empresas se considera más adecuada la autenticación de múltiples factores. Junto a la combinación de diferentes claves también existe la posibilidad de utilizar contraseñas de un solo uso o la de integrar un objeto en el proceso de autenticación, por ejemplo, una memoria USB.

Autorización dinámica

La gestión de los derechos de la nube no solo hace referencia a la identificación de los usuarios, sino también a la autorización de los permisos. La palabra autorización describe el conjunto de derechos de los que disfruta cada usuario dentro de la nube, derechos que uno o varios administradores asignan de forma individual a cada empleado en el ámbito multiusuario de una empresa. Estas autorizaciones regulan quién puede modificar ajustes, tiene acceso a determinadas subcarpetas o dispone de un tiempo limitado de acceso, así como los empleados que pueden acceder a la vista de un documento pero no puede modificarlo.

Para usar los servicios en la nube de manera segura, las empresas deben disponer de procesos de autorización dinámicos. La autorización ha de presentarse individualmente y debe de estar en continuo proceso de actualización de forma que cada empleado solo pueda ver la información que le corresponda por su posición en la empresa (principio de mínimo privilegio) e igualmente, si un empleado se va de la empresa también se deben suprimir sus derechos de usuario.

Hecho

Con la autenticación se controla a los usuarios que tienen acceso a la nube y con la autorización se gestionan los recursos a los que cada usuario puede acceder dentro de esta. Para ambos ámbitos de seguridad en la red existen protocolos abiertos que permiten su implementación. OpenID se usa para la identificación de usuario descentralizada y con OAuth se garantiza una autorización segura desde aplicaciones web o de escritorio.

Proteger la red de las empresas

Para proporcionar la seguridad necesaria, las empresas deben proteger eficientemente no solo los servicios individuales, sino también la estructura que los rodea, esto es, la red misma de la empresa. Esto adquiere significativa importancia para aquellas que trabajan con servicios en la nube, ya que también a través de una red empresarial insuficientemente segura se pueden robar las claves de los usuarios. De hecho, es uno de los métodos más usuales para conseguir un acceso no autorizado a servicios en la nube.

Las grandes empresas que trabajan con redes más complejas deben considerar la protección de las redes internas con dispositivos de seguridad individuales (security appliances) como los cortafuegos o los antivirus. Un cortafuegos externo, conocido también como cortafuegos por hardware, ofrece la ventaja de haber sido creado para controlar la conexión entre dos redes y evitar un acceso a la red no deseado.

Gestionar centralmente la identidad de forma segura

Especialmente para las grandes empresas que tienen usuarios en diferentes ciudades o países, la seguridad de la nube es realmente un desafío. Si pretenden utilizar la nube para favorecer y mejorar el ritmo de trabajo necesitan igualar y centralizar las identidades heterogéneas de los usuarios. Mientras que las pequeñas empresas recurren a una gestión central de la identidad mediante servicios externos, las empresas de mayor tamaño construyen su propia red, y mientras que las empresas de nueva creación instalan desde un principio cloud computing, las que tienen mayor antigüedad se ven obligadas a integrarla a posteriori. En definitiva, la gestión segura y centralizada de la identidad es también una tarea importante para garantizar la seguridad de los servicios en la nube.

Para que los cambios funcionen y la identidad de los trabajadores se pueda integrar de forma segura en una estructura centralizada, se requiere una capa de integración instalada en la arquitectura del sistema de red que concentra la información sobre la identidad de los empleados y permite su gestión centralizada. Al implementar este tipo de capa de integración, las empresas también consiguen gestionar los servicios en la nube con seguridad.