Por Cecilia Pastorino*
Hoy en día, la mayoría de las empresas ya volcaron gran parte de sus servicios e información a la nube. Las razones son muchas, y van desde cuestiones económicas hasta prácticas: evitar comprar equipamiento que luego se vuelve obsoleto o pierde su valor, evitar gastos de mantenimiento o energía, o simplificar las tareas del área de TI. Incluso, desde la perspectiva de la pequeña empresa, agregar un servidor o contratar un servicio específico con solo apretar un botón. Si se tienen servicios en la nube o se está analizando migrar la infraestructura, ESET acerca algunas consideraciones que evitarán tener una mala experiencia:
#1 Conocer al proveedor de servicios
Con la gran variedad de servicios de cloud computing que existen hoy en el mercado, el primer paso es decidir a quién se le va a confiar la información y sistemas de la compañía. Para tomar esta decisión no alcanza con considerar los servicios y plataformas que ofrecen los diferentes proveedores, también es importante tener en cuenta su reputación y leer atentamente las condiciones de contratación. ¿Es la empresa responsable con la información que maneja? ¿Qué medidas de seguridad implementa? ¿Está certificada en materia de seguridad? ¿Ha tenido incidentes? ¿Cómo los manejó?
Quizá los servicios de una empresa con mejor prestigio sean un poco más costosos que los de una no tan conocida. Sin embargo, las tareas de mantenimiento para que una infraestructura permanezca segura demandan tiempo y esfuerzo, lo cual se traduce en costo extra para el cliente. En términos de seguridad, lo barato puede salir muy caro.
#2 Entender el negocio y sus necesidades
Antes de tomar una decisión importante, siempre se debe pensar en cómo afecta al negocio y los objetivos de la empresa.
Si se requiere una comunicación rápida, sin demoras ni latencia entre la oficina y los servicios de la nube, quizá lleve algunas decepciones. Si bien almacenar archivos en la nube y accederlos desde cualquier lugar es una solución tentadora, si se trata de consultas a bases de datos, los tiempos de respuesta pueden llegar a afectar el negocio. Si se manejan grandes volúmenes de información en tiempo real, tal vez se podría considerar alguna opción de optimización antes de llevar esos servicios a la nube.
#3 Cifrar la información
Cifrar tanto los datos almacenados en la nube como en tránsito. Si bien puede demandar un esfuerzo extra y aumentar la complejidad de las operaciones, esto añade una capa adicional de seguridad a toda la información confidencial.
Hay soluciones de cifrado fáciles de usar cómo ESET Endpoint Encryption que proporcionan control remoto completo de las claves de cifrado y las políticas de seguridad para todos los archivos almacenados en unidades de discos rígidos, dispositivos portátiles y correos electrónicos.
Además, es clave recordar que si se decide contratar servicios en la nube se estará delegando, en gran medida, la protección de esa información. Por más seguro y confiable que sea un proveedor no está de más cifrar los datos críticos para que, en caso de que haya una brecha de seguridad, no queden expuestos.
#4 Controlar el acceso a la nube
Si bien los datos y aplicaciones ya no estarán físicamente dentro de la organización, no significa que haya que desligarse de la administración. Un proveedor de servicios puede brindar numerosos controles de seguridad y mantener la infraestructura protegida, pero si se deja la puerta abierta, de nada servirá.
Es importante limitar el acceso a la información al igual que se haría si estuviera alojada en la organización. Segregar las funciones y limitar las conexiones de los usuarios. De hecho, es recomendable utilizar medidas extras de protección, soluciones como ESET Secure Authentication, por ejemplo, posibilitan controlar el acceso a la nube agregando un doble factor de autenticación. Una forma simple y efectiva para que todo tipo de empresas implementen la autenticación en varias fases en los sistemas utilizados con mayor frecuencia.
#5 Respaldar la información
El backup es hoy en día una de las protecciones básicas y fundamentales en cualquier esquema de seguridad. Si bien este servicio suele estar incluido dentro del contrato y ser parte de las tareas que realiza el proveedor, no hay que olvidarse que no se trata solamente de guardar la información, sino también de que la misma se pueda recuperar.
Para poner en perspectiva, el 70% de los afectados por ransomware en Latinoamérica perdieron información, dinero o ambas cosas. En este sentido, ESET Latinoamérica puso a disposición una Guía de Backup para ayudar a los usuarios a resguardar su información. Además, acerca Xopero, seguridad completa, backup y recuperación de datos corporativos, sin importar dónde estén almacenados. Protege el entorno completo, desde las endpoints hasta Microsoft Exchange y los entornos virtuales.
Realizar restauraciones periódicas de la información resguardada es un punto básico. De esta forma, no solo se verifica que el proveedor este cumpliendo con esta parte del contrato, sino también se asegura que la información estará integra y disponible cuando se necesite.
#6 Leer cuidadosamente los términos y condiciones del servicio
Prestar especial atención a los apartados que hablen acerca de la privacidad y la responsabilidad sobre la información que se aloja en la nube. No sería la primera vez que aparezcan frases como: “Usted nos da el derecho de acceder, retener, usar y divulgar la información de su cuenta y sus archivos, con el fin de proporcionarle soporte y resolver problemas técnicos” o “No garantizamos que sus archivos no estarán sujetos a apropiación indebida, pérdida o daño y no seremos responsables si sucede”.
Verificar también los tiempos de respuesta y SLA (Acuerdo de Nivel de Servicio) que otorga el proveedor y asegurarse de que sean acordes a los tiempos y compromisos que se tiene con los clientes. Evitar encontrarse con estas sorpresas al momento de tener un incidente o hacer un reclamo.
#7 Recordar: la nube también puede infectarse
Es un error común pensar que el malware no afecta a equipos en la nube. De hecho, desde ESET hemos visto diversas variantes del malware Crisis, el cual infectaba equipos con sistemas VMWare. Así como existen códigos maliciosos pensados para atacar plataformas de virtualización, como Venom, también debemos tener en cuenta el resto de las amenazas que continúan propagándose por los sistemas operativos ya conocidos.
Contar con una infraestructura en la nube no exime de utilizar una buena solución integral de seguridad, que incluya protección para servidores y servicios, así como también para los equipos que acceden a ella. ESET Virtualization Security y ESET File Security realizan un análisis antimalware que combinan velocidad, precisión y un mínimo impacto en el sistema.
Por supuesto que la nube ofrece grandes beneficios para las empresas, y dependerá de cada negocio qué tipo de servicios e información se deciden migrar a esta plataforma. Sea cual sea el caso, tener en cuenta estos consejos para tener la información protegida y que la migración sea lo más segura posible.
Para obtener más información sobre las soluciones e incluso una cotización a medida, complete el formulario del Sitio Web para ser contactado por nuestros asesores.
* Especialista en seguridad informática de ESET Latinoamérica
