Seguridad completa en la nube: ¿verdad o ficción?
Cada vez son más las empresas que confían en la nube para desarrollar sus negocios. La tecnología y las circunstancias ayudan. Ahora, ¿es realmente segura la nube? ¿Pero segura del todo? Esa es la cuestión que hemos trasladado a los principales protagonistas del mercado.
Momento musical para comenzar este reportaje. Que sí, que tiene que ver con la materia, lector/a. Momento musical, decía, protagonizado por Siniestro Total. Canción escogida: ‘¿Quiénes somos, de dónde venimos a dónde vamos?’. Miguel Costas —el vocalista—se hace muchas preguntas en la canción, una tras otra. Ejemplo: «¿Cuándo fue el gran estallido? ¿Dónde estamos antes de nacer? ¿Dónde está el eslabón perdido? ¿Dónde vamos después de morir?».
¿Y la seguridad en la nube? ¿Es completa o no?, hemos preguntado a la industria. Y, ya de paso, centramos la cuestión de manera definitiva. ¿Sí? ¿No? ¿Pedimos el comodín del público? Porque, lo que está claro es que el número de empresas que se echa en brazos de la nube es mayor cada día, pero no son pocas las que todavía recelan a la hora de seguir el ejemplo.
Por si le da, lector/a, a dar por concluida la lectura de este reportaje porque le ha surgido lo que sea o tiene cosas más importantes que hace, no se quede con la respuesta: “Actualmente, el nivel de seguridad de la nube es bueno”, acuerda Javier Modúbar, CEO de Ingecom. Ale, buen provecho. Pero entonces se quedará sin saber que sí, que la seguridad es buena, pero…
Partamos de la base
Recelos, hay. Como los pimientos de Padrón que sí pican. “Se está viendo cada día un poco más de movimiento de las pymes españolas en la transición hacia el Cloud”, nos advierte Alberto Monte Campoó, gerente de Ciberseguridad & Innovación en Avalora. En su opinión, hace años, cuando se empezó a escuchar el tema de la nube, las empresas eran reticentes al cambio. “Quizá la causa que más se oía era el no saber dónde estarían sus datos; o conservar una mentalidad de querer tener sus datos en un CPD propio, en el que saber y controlar quién, cuándo y cómo accedía a ellos; o poder manipular los servidores físicamente ante un posible fallo, ese temido 'pantallazo azul' tras una actualización del sistema operativo. O quizá el sentimiento de pertenencia”, nos dice.
De ahí que, ahora, como prosigue aquel especialista, se vea un patrón “que se repite cada vez más habitualmente. Los servicios que conllevan más dificultad, que requieren de personal cualificado o equipos especializados para su administración diaria (o para hacer frente los problemas que puedan aparecer, y más aún para realizar las evoluciones de versión de forma correcta y controlada, son los mejores candidatos en la migración al Cloud.
Por eso, cada vez más empresas, como decíamos al comienzo de este reportaje, confían en la nube; que es segura siempre y cuando se implementen las medidas de seguridad adecuadas, como nos reconoce Carsten Wenzel, Channel manager para el Suroeste de Europa de CyberArk. “Está claro que si las empresas no aprenden de los errores cometidos en el pasado, pueden volver a cometerlos en el futuro. Sobre todo si hablamos de seguridad en la nube. Por ello, consideramos fundamental que las contraseñas de administración de la nube no sean de fácil acceso. Porque un bajo nivel de acceso permitiría al ciberdelincuente eludir las medidas de seguridad, moverse lateralmente en el entorno y, en última instancia, hacer que los datos críticos sean más accesibles para los atacantes”. Aviso para navegantes. Y no será el último que leerá en este reportaje, lector/a.
Y es así, la nube no es segura por defecto, ya que las compañías que proporcionan software alojado en ella ofrecen un servicio concreto, advierte Enrique Valverde. En su opinión, “a este servicio se unen una serie de características y entre estas, dependiendo del tipo de solución, puede variar la oferta de seguridad. Lo que queremos decir con esto es que vamos a contratar un servicio en concreto y generalmente no incluye opciones ni características relacionadas con la seguridad”.
La razón es que, según Valverde, “por lo general, el propio fabricante o proveedor de servicios hacen la seguridad recaiga en el cliente, por lo que depende del propio cliente tener conocimiento de qué debe proteger y cómo dentro de este servicio. Esto nos lleva a decir que la seguridad en la nube por defecto no es ni alta ni medianamente segura”.
No obstante, “los clientes, a la hora de firmar un contrato, deben ser conocer todos los servicios o funciones que se contratan y, por lo general, el proveedor del servicio deja claro que es el cliente el que debe encargarse de proporcionar las medidas de seguridad a estos servicios. De este modo, el propio proveedor del servicio abre la puerta a la posibilidad de comercializar servicios adicionales de seguridad, pero hay que subrayar que por defecto, la nube o las soluciones en ella alojadas no cuentan con la protección suficiente”, remarca Enrique Valverde, Sales engineer Cytomic, a WatchGuard brand. Lo que viene siendo leer las cláusulas. De toda la vida.
Puede leer aquí el resto del reportaje.
