La seguridad en la nube depende más del usuario que de los sistemas.

La seguridad en la nube depende más del usuario que de los sistemas.

La seguridad en la nube es un factor clave en cualquier sistema informático. Aunque ahora es un tema de actualidad con la expansión y uso de sistemas en la Nube. Hasta hace bien poco la seguridad era algo secundario e incluso ignorado por muchas empresas. Se tenía asumido un concepto erróneo, una especie de teoría de la seguridad que decía algo como: “Lo más cercano es lo más seguro“.

De alguna manera la gente ha venido pensando que si sus documentos estaban cerca entonces estaban más seguros. La seguridad en la nube de mis datos es directamente proporcional a la distancia que me separa de ellos. Esta forma de pensar. Propició un gran auge de ventas de dispositivos de almacenamiento como pendrives, discos portátiles y servidores de oficina. Llevado al extremo. En muchos casos se intentaba incluso que los servidores estuviesen cerca de los despachos de los directivos de la empresa.

¿Paz mental?

Tener cerca los archivos y las bases de datos de la empresa ha venido proporcionando por tradición un estado de paz mental, una especie de éxtasis de seguridad. Todo esto independientemente de que esos dispositivos o servidores fuesen accesibles por cualquiera, incluido el Wifi del vecino, tuviesen brechas de seguridad o almacenasen a su vez toda una fauna de virus y malware dignos de un catálogo.

El uso de un almacenamiento en la Nube rompe estos esquemas.

De golpe se rompió el dogma de que lo cercano era lo seguro, además de forma traumática, ahora los datos se almacenan a miles de kilómetros. Cambios de mentalidad de este tipo ya se han dado ya en la historia de la humanidad, cuando hubo que pensar si una máquina de vapor podía sustituir a un caballo, cuando hubo que pensar si un trozo de plástico podía sustituir al fajo de billetes en el bolsillo.

Los servicios en la Nube alteran varios conceptos, los de cercanía y de distancia. El usuario se queja de no saber dónde se almacenan sus archivos, he hablado de esto decenas de veces, si un proveedor no declara públicamente dónde almacena los archivos es que no es de fiar. El cambio en la distancia es también algo muy discutible, yo personalmente siento la cercanía de mis archivos más fuerte cuando puedo acceder a ellos desde cualquier lugar con mi móvil, con mi portátil o desde una cafetería con Wifi.

Los servicios en la Nube cambian también el concepto de el modo de acceso.

Ahora los empleados de una empresa no necesitan copiar los archivos a un pendrive (muy seguro) para llevarse los archivos a casa y repasar el trabajo, ahora los empleados no se tienen que enviar por email esos archivos a sus correos para posteriormente descargarlos en casa. Parece que se ha perdido el control cuando ocurre todo lo contrario.

En un sistema medianamente serio se controla el acceso, se registra y demás se podría incluso bloquear dicho acceso en un momento de necesidad. Antes, según la teoría de la cercanía, no importaba mucho lo que Juan hiciese con los archivos porque Juan estaba cerca, con su pendrive en el bolsillo, tan sólo teníamos que ir su mesa, ahora Juan puede estar en su casa o de viaje.

¿la Nube dispone de medidas de seguridad?

Los servicios en la Nube disponen de medidas de seguridad excepcionales. Se puede afirmar que muchas más de las que puede disponer cualquier empresa. El proveedor de servicios en la Nube almacena los archivos en lugares que se dedican exclusivamente a esta labor. Mantienen personal contratado que se dedica a esto.

Normalmente los sistemas están monitorizados y supervisados 24 horas todos los días del año. Las pequeñas empresas nunca han tenido esta posibilidad. Las grandes con departamentos IT han dependido de que el personal estuviese pendiente del tema con preocupación, horas de trabajo etc…

En definitiva es cierto. La Nube hace más accesible la información a los miembros de la empresa y a sus clientes. Mucho más que con los antiguos modelos en que los archivos estaban en la empresa. ¿Por esto la seguridad en la nube es menor?  La pregunta es si esa facilidad en el acceso a los archivos propicia un menor nivel de seguridad. Pues la respuesta no es tan sencilla porque involucra otro concepto que implica: conocer, evaluar y determinar cuál es la responsabilidad confianza y compromiso que la empresa exige o espera de sus empleados.

Cualquier sistema de seguridad, incluyendo los de seguridad en la nube y la seguridad de los propios sistemas informáticos. Son vulnerables a los actos del personal en el que se deposita la confianza. De nada sirve la caja fuerte más segura del mundo, en el sótano del banco más seguro del mundo. Si alguien le facilita las contraseñas y las llaves a otro.

Todos los estudios sobre la seguridad en la Nube coinciden en el hecho de que el factor humano es el punto más crítico.

Cuando una empresa deposita la confianza en sus empleados espera un comportamiento responsable y ético con los documentos. Nunca se podrá delegar el factor confianza en ningún sistema. Al final un ser humano tendrá que acceder a este sistema, por tanto tendrá claves de acceso y podrá tratar con cierta libertad los archivos. Yo siempre digo que si quieres un ordenador 100% seguro lo mejor es dejarlo apagado.

La cuestión es que, aunque muchos lo desconozcan, la documentación de una empresa es propiedad de la empresa, como tal los empleados tienen el deber de tratarla con las debidas precauciones. En todos los países del mundo existen leyes que castigan el daño o perjuicios provocados por un mal uso de la información de la empresa. Los señores de la limpieza pueden tener las llaves de la oficina, pero todo el mundo entiende que esas llaves no son para abrir el despacho de los directivos y llevarse lo que hay sobre la mesa.

El acceso remoto a los datos y archivos no es nuevo.

Veamos como ha venido funcionando la banca en los últimos decenios. En las sucursales bancarias hay personal que tiene claves para acceder a los datos de tu cuenta y realizar operaciones. Estos empleados pueden conectarse a los servidores del banco, la seguridad en la Nube del banco. Ellos podrían realizar una transferencia de fondos a cualquier otra cuenta. El buen uso de este acceso a los datos es responsabilidad del banco. Y no es habitual que los empleados vacíen las cuentas de los clientes.

En la Nube. Las personas que tienen acceso al sistema y permisos sobre los datos son responsables de su actividad sobre esa información. Un sistema, tanto si de seguridad en la Nube como si no. Podrá incorporar gran cantidad de medidas destinadas a la seguridad pero la final obtendremos el mismo resultado. La parte débil en seguridad es el usuario que accede.

Discutiendo sobre estas cuestiones.

Hace unas semanas discutía con un informático de otra empresa sobre estas cuestiones. Hablábamos de lo adecuado que puede ser tener archivos de solo lectura en el sistema. Se trata de que existan archivos que los usuarios pueden leer y no modificar. Yo le comenté que no me parecía una mejora de seguridad tan buena. Le comenté que si el usuario tenía acceso al archivo, podría haber formas de que lo manipule de forma inadecuada.

Me envió las claves de su sistema para probar. Esperando que yo analizara si el sistema se podía hackear de alguna forma, me retó a que descargara el archivo. Tardé solo cinco minutos en enviarle un archivo por email. ¿cómo lo hice? sencillo, abrí el archivo en mi ordenador. Hice una foto con el móvil y le pasé un OCR, nada de hackear, nada de complicaciones. Al final el punto crítico es el usuario. De nada sirven todas las medidas, las claves más complicadas y los sistemas más complejos. Si alguien comparte sus claves o las tiene apuntadas en un post-it en la mesa.