Una publicación en un medio nacional me movilizó por la sensación de inseguridad que despertaba a los lectores sobre el uso del Cloud Computing en la empresa, por tal motivo, a las fuentes me remití y encontré que la nota no estaba tan lejos de lo expuesto, pero había sido levemente exagerada de una entrevista realizada a Jim Reavis. En base a este informe expongo mi criterio sobre el tema como especialista en la tecnología de Google Scripts.
Desde el punto de vista del usuario y considerando que se trata de una tecnología naciente, se deben extremar las precauciones. Esto es fácil, si se contratan servicios de empresas prestadoras de grandes dimensiones.
1. Los delincuentes informáticos no descansan nunca.
Los delincuentes informáticos son una amenaza para todos los tipos de aplicaciones, pero hay que tener en cuenta que estos delincuentes no son personas superdotadas, sino que son usuarios con habilidades técnicas que descubren fallas en la seguridad de los sistemas y actúan con rebeldía.
El punto es que, si esto sucede en la nube, la velocidad con la que se soluciona el problema es inmensamente superior a si el problema no ocurre en ella. Es mejor recuperarse de un ataque en la nube que de un ataque en un equipo local.
Para minimizar problemas de este tipo, las aplicaciones deben estar diseñadas de manera óptima y el acceso debe ser a travès de una conexión segura encriptado bajo el protocolo HTTPS.
2. Son las 3 de la mañana: ¿sabe dónde están sus API?
Esto es posible en servicios administrados en servidores por empresas de tamaños menores. En los Scripts de Google los roles de usuarios estàn perfectamente definidos y no es posible que otro usuario acceda a su consola de secuencia de comandos.
3. No se puede confiar siempre en los empleados del proveedor.
Las empresas de desarrollo de software, como Google, tienen estrictos controles sobre la información propia y de sus clientes, con mecanismos de seguimiento y de condena en caso que alguno de sus empleados o ex-empleados violen los contratos de confidencialidad. Esto, además, es parte fundamental de la ética del profesional de las tecnologías de información y puede compararse con el secreto que guardan los sacerdotes en referencia a la confesión.
4. Compartir tecnologías significa compartir riesgos.
Pero también, compartir tecnologías, significa que los riesgos compartidos estàn minimizados. Hay que tener especial cuidado con las tecnologías de virtualización, diferenciando a las empresas que utilizan la virtualizaciòn para recortar costos, de aquellas que la utilizan para optimizar recursos.
5. Dejar de hacer copias de seguridad no es una opción.
Los mecanismos de copias de seguridad no se realizan a la ligera, sino que hay una serie de procedimientos que definen las políticas adoptadas para resguardo, acceso y reposiciòn de la información. Estos mecanismos deben contemplar la alta disponibilidad y las acciones de contingencia ante eventuales desastres. Por lo general, el resguardo es automático y la información se encuentra encriptada y replicada en varias ubicaciones.
6. Robo de identidad: no sólo un problema para el consumidor.
El phishing no es un problema particular de la Nube. Para reducir el riesgo, se deben adoptar políticas de seguridad por parte del cliente. Google Scripts implementa mecanismos de seguridad que evitan acciones que puedan vulnerar la identidad del usuario, pero además, se debe concientizar adecuadamente a los usuarios de la empresa para evitar compartir claves y acceder en forma segura a los sistemas.
7. Usted no sabe qué cosas no sabe
El proveedor de servicios en la nube tiene la obligación de ofrecer a sus clientes todos los mecanismos de seguridad, resguardo, y procesamiento de la información. Por su parte, el cliente, tiene el derecho de conocer y la obligación de realizar el análisis
exhaustivo de la empresa en la que va a confiar su principal activo, la información.
Ing. Sergio Viera.