Los proveedores de nubes públicas ofrecen servicios accesibles de hospedaje de aplicaciones y de almacenamiento de datos. Sin embargo, depender de un proveedor de servicios para asegurar sus datos es un riesgo, así que usted necesita tomar sus propias precauciones.
El alto volumen de información digital que las empresas producen y reúnen hoy son mayor incentivo para que los hackers irrumpan en las comunicaciones privadas y en los archivos de la compañía. Las recientes revelaciones de que la Agencia Nacional de Seguridad (NSA) de Estados Unidos utilizó con éxito el espionaje digital para desbaratar las operaciones de terrorismo reales sirven como un recordatorio en la era de la información digital.
La fuga dramática de información también es un sombrío recordatorio de la naturaleza frágil de la seguridad informática. Aun cuando se ignoren las preocupaciones por la vigilancia de la NSA, las pequeñas empresas necesitan preguntarse si su infraestructura de TI puede soportar los intentos de intrusión de gobiernos extranjeros u organizaciones sin escrúpulos para hackear sus redes.
Aumentar considerablemente su seguridad puede reducir la dependencia de su compañía de los proveedores de servicios de nube. Dada la falta de supervisión sobre los proveedores externos, las empresas no tienen un medio viable para evaluar con precisión una postura o competencia de seguridad de los proveedores de nube particulares.
Además, los servicios de nube pueden convertirse en un blanco atractivo para los intentos de hackeo patrocinados por los gobiernos extranjeros. Y estos proveedores de servicios de nube podrían ser obligados a revelar información a través de un citatorio federal secreto.
Con esto en mente, aquí algunas de las estrategias que su empresa puede considerar para apretar las tuercas de la seguridad y reducir su riesgo.
Mejor seguridad, ¿pero a qué costo?
Traer todo a casa es la forma más sencilla de asegurar que no se tenga acceso a ningún dato en secreto. Esta es una tarea relativamente sencilla para las plataformas de colaboración populares como Microsoft Exchange Server y SharePoint, los cuales están disponibles en la nube o para implementarse internamente. En algunos casos, un modelo de implementación híbrida que pone datos altamente sensibles en un servidor interno, pero la información más genérica en una nube, también puede servirle.
Si bien el costo inicial de un modelo no basado en la nube casi siempre será más alto que una implementación de nube, la madurez y el conocimiento disponible en la implementación de una infraestructura de virtualización significa que los costos a mediano y largo plazo no deberían ser considerablemente más altos. Además, la disponibilidad de hardware más poderoso, sin mencionar el almacenamiento económico y RAM, significa que incluso un servidor relativamente barato hoy es capaz de correr más máquinas virtuales simultáneamente que antes.
Desafortunadamente, la proliferación de servicios en línea significa que una implementación en sitio no siempre puede ser posible. Las empresas conscientes de la seguridad tal vez puedan reevaluar si los servicios sólo en línea como
QuickBooks Online y FreshBooks son realmente necesarios.
Si la respuesta es “Sí, entonces usted debe por lo menos asegurar que todas las comunicaciones con el servicio en línea se realice siempre a través de un canal encriptado como SSL (secure sockets layer). Éste puede establecerse con la configuración adecuada en el gateway de la compañía o servidor proxy para prohibir las conexiones que no sean SSL.
Agregue servicios de encripción al almacenamiento en la nube
El almacenamiento en la nube ha captado una gran cantidad de seguidores entre las empresas y los usuarios finales, y por una buena razón. Los beneficios son reales: Usted puede respaldar datos en una ubicación remota con nada más que una conexión a Internet, después acceder a ellos sin importar donde se encuentre geográficamente.
Usted puede usar un almacenamiento en la nube relativamente seguro, siempre y cuando usted tenga ciertas precauciones – especialmente, encriptar todos los datos y realizar todas las cargas sobre SSL. Si bien prácticamente todos los proveedores de nube dicen que encriptan los datos cargados, muchos también conservan la llave de desencripción, lo que minimiza cualquier beneficio. Idealmente, el proveedor de almacenamiento en la nube no debería tener acceso a los datos encriptados. Esto se conoce como tener cero conocimiento de los datos.
SpiderOak es un proveedor que encripta los datos al nivel de bloques. Si su negocio ya ha invertido en un servicio de almacenamiento en la nube como Google Drive, SkyDrive y SugarSync, tal vez quiera echarle un vistazo a Boxcryptor, que funciona sobre estos servicios para agregar la encripción EAS 256 y RSA a los archivos cargados.
Otra opción es Mozy, que ofrece la capacidad opcional de encriptar datos con una llave privada. Puede incluso utilizar servicios no seguros como Dropbox si usted se asegura de que los archivos de datos sean encriptados por separado antes de ser cargados.
Además, las pequeñas y medianas empresas estarán contentas de saber que es posible realizar respaldos afuera sin tener que recurrir a los servicios en la nube, porque los appliances de almacenamiento conectados a la red (NAS) de proveedores como Lenovo Iomega y Synology ofrecen la capacidad de realizar le réplica de dispositivo a dispositivo.
Con la infraestructura de red adecuada, no hay razón de por qué las empresas no puedan implementar unidades redundantes en las sucursales para agregar capacidades de sincronización o respaldo en tiempo real sin tener que invertir en SANs costosas.
Proteja los mensajes instantáneos con redes privadas
La comunicación no protegida a través de la mensajería instantánea (MI) también es vulnerable a la intercepción. Los empleados solían conversar a través de redes de mensajería instantánea como AIM Google Hangouts y Windows Live para transmitir discusiones confidenciales, contraseñas y otra información privilegiada que no garantiza su privacidad. Además, muchos servicios IM también soportan llamadas de video o chats de voz, que sirven como vectores de riesgo vulnerables para que partes no autorizadas espíen.
Se puede superar la inseguridad de las redes de MI públicas al establecer una red privada – normalmente con un servidor de MI implementado dentro de una red corporativa. Las opciones incluyen a Microsoft Lync Server o una alternativa de código abierto como Jabber de Cisco Systems. (Tenga en cuenta que Lync puede implicar costos adicionales de licenciamiento, mientras que Jabber y otros podrían requerir más esfuerzo de implementación)
Hacer que los usuarios adopten un nuevo servicio de MI puede ser un reto más grande de lo que la mayoría de las empresas anticipan. AIM, Google Hangouts y Windows Live son populares por una razón. Asimismo, tenga en cuenta que muchos clientes de chat MI en el escritorio y los dispositivos móviles pueden no soportar estándares abiertos como Jabber, mientras que una plataforma cerrada como Lync sólo es accesible a través de clientes oficiales.
Utilice VPN para encriptar todas las transferencias de datos
La red privada virtual (VPN) es otro componente de seguridad que se ignora constantemente y que las empresas deberían implementar lo antes posible. Para los empleados remotos, la capacidad de encriptar las comunicaciones de datos desde sus laptops y escritorios a la oficina no sólo los protegen contra el espionaje en hotspots Wi-Fi inseguros, también brinda acceso remoto a los recursos de la red corporativo.
La complejidad y el costo de establecer una VPN se han reducido considerablemente. Además, se ofrece soporte en una variedad de tabletas y smartphones. Así, usted necesitará investigar para determinar qué funciona mejor. (La mayoría de los servicios de VPN se conectan a los servicios de directorio existentes como Active Directory para la autenticación).
Dependiendo del número de usuarios de la VPN que su compañía espera en un momento dado, puede ser necesario implementar un dispositivo más robusto o incrementar las especificaciones de la máquina virtual para manejar la carga de trabajo.
Además de las soluciones físicas tradicionales y virtuales, ofertas como
iTwin Connect puede funcionar bien para las organizaciones más pequeñas también.
iTwin facilita crear un túnel VPN encriptado hacia la red corporativa. Deja un extremo del dispositivo de dos piezas conectado en el escritorio de la oficina, con otro extremo conectado a una laptop que está fuera del firewall corporativo.
Las empresas deben fortalecerse
Los alegatos del espionaje de los representantes de los países que asistieron a la cumbre G20 de 2009, junto con el hackeo a RSA en 2011, ponen en evidencia lo que los gobiernos y hackers pueden realizar. Incluso la encripción SSL puede no ser tan infalible como se creía, dado cómo los hackers están robando llaves de encripción secretas y atacando con éxito a las autoridades que emiten certificados digitales.
Nadie es inmune a los intentos de hackeo y el acoso digital. Con tanto en riesgo, las empresas tienen la responsabilidad de elevar su nivel de seguridad al eliminar comportamientos riesgosos e implementar medidas de seguridad sanas. Con diligencia y conciencia, no hay razón para que las empresas con un presupuesto modesto no puedan lograr una mayor seguridad.
– Paul Mah