Contenido Exclusivo

Decálogo para evitar riesgos al hacer uso de la nube

Guardamos fotos personales, añadimos contactos, trabajamos… Todo lo hacemos en la nube. Sus ventajas son evidentes: acceder y almacenar información, recursos y aplicaciones en cualquier lugar donde haya una conexión a Internet.

Como explicó César Córcoles, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC y miembro del grupo de investigación Technology Enhanced Knowledge and Interaction Group (TEKING), cuando se trabaja en la nube se delega la gestión de la seguridad al proveedor de servicios que se esté utilizando. “Es muy etéreo hablar de “la nube”, pero al fin y al cabo lo que estamos haciendo es pasar de guardar los documentos en el disco de nuestra computadora a hacerlo en los discos del proveedor de servicios que hayamos elegido”, indicó.

Si ese proveedor, ya sea uno de los grandes, como Amazon, Google o Microsoft, u otro más pequeño, tiene mejor competencia en seguridad que el usuario o las personas que administran sus computadoras y redes internas, en general se está mejorando la seguridad, “especialmente en el caso de empresas e instituciones pequeñas que no pueden dedicar muchos recursos a la seguridad”, afirmó el profesor de la UOC.

En su opinión, trabajando con los documentos en la nube probablemente será más difícil “que un programa malicioso cifre nuestros datos y nos exija un rescate por ellos, la política de copias de seguridad seguramente sea mejor que la que podamos implementar nosotros y no vamos a estar descargando tantos archivos a nuestras computadoras ni llevándolos de un lado para otro en un disco USB, que puede perderse”.

Sin embargo, al usar la nube para los documentos que se desee compartir o guardar, también se los está “perdiendo de vista” y depositando mucha confianza en ese proveedor que se ha elegido y en sus políticas de seguridad. Y, aunque la empresa proveedora se encargue de buena parte de la seguridad, el principal riesgo “es el propio usuario que tiene acceso a los documentos”, recordó Córcoles.

Para evitar esos potenciales peligros, hay una serie de estrategias que recomiendan los expertos:

  1. Escoger un proveedor de confianza. Para César Córcoles, la primera estrategia de prevención es elegir la “nube” de un proveedor de confianza. “Es complicado, si no imposible, para los clientes evaluar esos aspectos, por lo que en general dependemos de la reputación de las empresas que nos ofrecen sus servicios”, afirmó.
  2. Tener un control de acceso adecuado. Como explicó Helena Rifà, profesora de los Estudios de Informática, Multimedia y Telecomunicación de la UOC y directora del máster universitario de Ciberseguridad y Privacidad de la UOC, para eliminar riesgos es clave “ajustar los permisos de acceso a nuestros archivos evitando dar permisos a personas que no los necesitan. Al mismo tiempo, revisar regularmente los accesos para cancelar los permisos si es posible, por ejemplo, cuando una colaboración o proyecto de la empresa en la que se trabaja haya finalizado o cuando los miembros del grupo hayan cambiado”.
  3. Gestionar los controles de acceso a los datos a través de roles o grupos profesionales. Establecer y administrar las políticas y restricciones que determinan quién tiene permiso para acceder a ciertos datos o recursos dependiendo de su función o posición en una organización puede prevenir riesgos, en opinión de Rifà. “En lugar de asignar permisos individuales a cada usuario, se agrupa a los usuarios en roles o grupos basados en sus responsabilidades o funciones laborales. Luego, se aplican controles de acceso a estos roles o grupos, lo que facilita la gestión y aplicación coherente de las políticas de seguridad de datos en toda la organización”, afirmó la profesora de la UOC.
  4. Utilizar la autenticación de dos factores. Como explicó Helena Rifà, la autenticación de dos factores es una combinación de dos de los siguientes principios: algo que el usuario sabe (generalmente una contraseña fuerte, con doce caracteres como mínimo); algo que el usuario tiene, como una clave en el móvil que permite generar códigos de un solo uso; y algo que el usuario es (uso de biometría, como huella dactilar, retina…). Lo que no se recomienda es utilizar una autenticación de dos pasos basados en una contraseña y un código SMS recibido en el móvil, “ya que la mensajería SMS no es segura y, por lo tanto, el código SMS no se considera un factor robusto de “algo que tienes””, explicó.
  5. Mantener el dispositivo electrónico en buenas condiciones de seguridad. Actualizar regularmente el sistema operativo también es importante. “Una computadora con problemas de seguridad puede enviar comandos a la nube con los que no estemos de acuerdo (cambio de permisos de un documento, cambio de titulares, añadir/borrar datos, extracción de datos a un servicio externo, inserción de programa malicioso en la nube…”, indicó Helena Rifà.
  6. Realizar copias de seguridad. Otro consejo de los expertos es realizar copias de seguridad periódicas de la nube, o bien asegurarse de que el proveedor de servicios lo hace.
  7. Cifrar la información sensible. Si se usa la nube para guardar documentos personales, como información sensible o fotos, además de realizar copias de seguridad, conviene cifrar esa información siempre que sea posible y compartirla con cautela, recomendó Helena Rifà.
  8. Conocer las políticas de seguridad de la empresa y de la nube para evitar ser víctimas de ataques de ingeniería social. Según explicó la profesora de la UOC, al conocer las políticas de seguridad de la empresa y la nube, el usuario se cerciora de que nunca le van a pedir la contraseña por teléfono o por mensajería, al igual que no debe dar información sensible a través de enlaces incluidos en correos electrónicos. Además, es buena idea aprender a identificar las páginas web y los correos electrónicos sospechosos.
  9. Cuantas menos aplicaciones, más seguridad. Como indicó César Córcoles, en general debe considerarse cada aplicación que se usa como un potencial riesgo de seguridad. Lo que significa que cuantas menos aplicaciones instaladas, menos potenciales agujeros de seguridad habrá. “Esto es así tanto en nuestra computadora como en el móvil o la tableta que puede acceder a nuestros documentos. Y si usamos un paquete ofimático en línea, a las extensiones o plugins que podemos instalar”, explicó. Por eso es conveniente no instalar aplicaciones si no se necesitan, revisar qué permisos tienen esas aplicaciones para acceder e incluso modificar los propios archivos y tomarse la molestia de revisar de vez en cuando qué se tiene instalado y hacer limpieza de aquellas cosas que ya no se usen o no se necesiten.
  10. Desconfiar de aplicaciones que prometan incrementar la seguridad y no provengan directamente de la empresa que se tiene contratada. “En general, a esas aplicaciones les damos muchos permisos para operar y, por tanto, también son potencialmente muy peligrosas”, recordó el profesor de la UOC.

Lo Más Reciente

La digitalización ofrece mejoras en la gestión de casos en el sector público

Los factores macroeconómicos globales y locales que cambian rápidamente,...

Cómo impulsar el crecimiento de las empresas en la era de la IA

La inteligencia artificial está revolucionando los negocios. Sin embargo,...

Realizan el segundo Foro de Talento en Data Centers

La Asociación Mexicana de Data Centers, MEXDC, realizó el...

Newsletter

Recibe lo último en noticias e información exclusiva.

Mireya Cortés
Mireya Cortés
Editora CIO Ediworld Online. La puedes contactar en mcortes@ediworld.com.mx

La digitalización ofrece mejoras en la gestión de casos en el sector público

Los factores macroeconómicos globales y locales que cambian rápidamente, siguen ejerciendo una presión cada vez mayor sobre el sector público de México. El gobierno...

Cómo impulsar el crecimiento de las empresas en la era de la IA

La inteligencia artificial está revolucionando los negocios. Sin embargo, muy pocos empresarios están adaptando sus empresas a este contexto, para lograr un crecimiento. Para...

Chivas Rayadas del Guadalajara consigue gestionar sus activos de TI de manera más eficiente

El Club Deportivo Guadalajara es uno de los más importantes en México. Con más de 500 colaboradores, requería herramientas para auditar su parque informático,...