La seguridad de un almacenamiento en la Nube no reside exclusivamente en una sola característica. Existen una serie de medidas que en conjunto proporcionan esos niveles de seguridad y privacidad.
La forma de almacenar, el cifrado o el control de acceso deben acompañarse de otras medidas.
Por tanto, cuando hablamos de seguridad de una plataforma en la Nube no podemos centrarnos en tan solo un factor. Es sencillo de entender, la seguridad de un coche no depende solo de que tenga buenos frenos, si el volante funciona mal nos saldremos en una curva.
¿Qué es un sistema en la Nube seguro?
Si por ejemplo, nos cautiva la idea de un almacenamiento que ofrece un gran nivel de privacidad porque dispone de un estupendo cifrado, deberíamos valorar también otros factores.
Un buen cifrado es un importante punto a favor. Pero si el sistema guarda los archivos en el disco duro del usuario y estos están sin cifrar hasta que se suben a la nube, la realidad es que no aporta mucho más que un sistema que cumpla normas europeas de protección de datos. Estas normas incluyen el cifrado en transferencia y en reposo en la Nube.
Es más, esos archivos están a expensas de la dudosa seguridad de los ordenadores de múltiples usuarios conectados a ese sistema. Un sistema en que todos sincronizan archivos de esa Nube y que guardan en los discos duros sin cifrar.
Cada cosa forma parte de un conjunto. Conviene dejar claro lo que debemos exigir a un sistema en la Nube para considerarlo seguro.
- Garantizar la permanencia de los archivos
Sea como sea la empresa nunca debe perder documentos. Incluso este requisito está por encima de la privacidad, un acceso indebido o un conocimiento de los datos por parte de un tercero es grave, pero tendrá menos importancia que una pérdida. - Garantizar la disponibilidad de los archivos
Ante cualquier incidente, de cualquier tipo, siempre debe ser posible la recuperación o el acceso a los archivos almacenados por medios alternativos previstos para ello. - Impedir ciberataques que puedan comprometer los datos y el propio servicio.
En esto no es necesario ser ingeniero de sistemas. Nadie sabe como funcionan los sistemas por dentro, pero el proveedor tiene diversos argumentos que son indicios de control, como registros de actividad, que declare las infraestructuras que utiliza, que someta a pruebas el sistema, que nos firme el contrato de protección de datos, etc. - Dinámicas de funcionamiento y medidas de prevención para evitar los problemas anteriores.
El almacenamiento en la Nube puede demostrar su compromiso con la seguridad y la privacidad
Aparte de declarar a los cuatro vientos la seguridad de un sistema, alguien puede plantearse si todo es una cuestión de fe y confianza. Si no hay alguna manera de aportar garantías.
Si que hay una forma. Algo tan simple como la firma de un contrato, algo que la empresa pueda guardar y que al menos sirva para saber a quién reclamar, que compromisos se han adquirido y bajo que condiciones se aporta la seguridad y la privacidad prometidas.
Si de verdad un sistema es seguro no tendrá problemas en firmarnos un contrato. Esto no es raro, el mundo de las transacciones comerciales se rige por contratos.
Pero, es que no tenemos que inventar nada.
Todo esto ya está previsto, todo esto ya está legislado aunque algunos prefieren hablar lo mínimo sobre esto.
Todo está previsto en lo que se llama RGPD, el Reglamento General de protección de Datos.
Incluso el contrato del que estamos hablando, que es de obligado cumplimiento para las empresas europeas. Ese contrato se denomina: Contrato de tratamiento por parte de terceros.
Implica una serie de normas para prestar el servicio de almacenamiento en la nube a las empresas.
- La primera, como no, es la firma del contrato con la empresa.
- Cifrado de los datos tanto en tránsito como en reposo.
- Declaración de los lugares de almacenamiento de los datos.
- Documento de seguridad dónde se explican las medidas de seguridad que tiene el sistema.
- Mantener un registro de incidencias de seguridad que obligatoriamente han de ponerse en conocimiento de los usuarios.
- Mantener contacto directo con un responsable de la empresa, para comunicar cualquier tipo de incidencia o problema de seguridad o privacidad.
Ya vemos que firmar el contrato RGPD demuestra el compromiso con unas normas estándar.
No hay que inventar nada y tenemos una garantía de cumplimiento. Mucho ojo porque esto es ley y el incumplimiento acarrea graves sanciones.
Medidas adicionales de seguridad y protección de datos de un almacenamiento en la Nube
Aquí la plataforma puede incorporar muchas características adicionales.
La dinámica de funcionamiento de un sistema es determinante en la seguridad. Hablamos de la dinámica de uso del sistema.
Un disco virtual, es una forma muy popular de almacenamiento en la Nube, todos estaremos de acuerdo en esto. Pero su dinámica de funcionamiento hace a los archivos vulnerables a pérdidas por virus o ataques Ransomware, incluso por errores humanos. Su forma de funcionar no ofrece privacidad en los ordenadores de los usuarios dónde está instalado el sistema.
Es muy sencillo, la sincronización consiste en subir a la Nube los archivos que tenemos en cierta carpeta de nuestro ordenador.
En este caso, todos y cada uno de los empleados de la empresa tienen copias de esos archivos en carpetas de su ordenador.
La privacidad puede estar garantizada en el almacenamiento en la nube por cifrado u otros mecanismos, pero qué ocurre con esos ficheros duplicados en multitud de ordenadores.
Si la empresa tiene 40 empleados, hay 40 lugares dónde la privacidad es vulnerable, hay 40 ordenadores dónde sufrir un ataque. Cuando tan solo uno de esos archivos en un solo ordenador sea infectado tendremos 40 ordenadores infectados, por sincronización, y una copia infectada en la Nube.
Lo ideal es que el almacenamiento en la Nube pueda aislar e incluso limitar el contacto de los archivos de la empresa con esos ordenadores inseguros. Si, los de la sede de la empresa pueden estar bien mantenidos, pero los de casa de cada usuario no tanto.
Aparte de la dinámica de funcionamiento, medidas tradicionales extras que puede tener el sistema serían:
- Que el sistema aparte del cifrado haga un almacenamiento fragmentado.
- Que el sistema disponga de permisos de acceso de tal forma que cada empleado de la empresa solo acceda a una parte de los archivos, la parte en que debe desarrollar su actividad.
- Que se disponga de copias de seguridad totales e individuales de los archivos modificados.
- Que las copias residan en un lugar geográficamente apartado del sistema principal.
- Que exista un registro de acciones de los usuarios.
- Que el almacenamiento se realice por duplicado. Esto se llama redundancia.
- Que el propio sistema disponga de resiliencia. Medidas para garantizar la continuidad del servicio incluso en caso de incidencias o ataques.
La localización del proveedor de almacenamiento y la calidad de las infraestructuras es de gran importancia
Un servicio de almacenamiento en la Nube cuyas infraestructuras y localización de la empresa residan en la UE es garantía de cumplimiento. Simplemente por estar en la jurisdicción de las leyes de seguridad y protección de datos.
En el caso más simple, sabes a quién podrás reclamar si ocurre algo. Si no sabes dónde están y ni siquiera contestan a un email o una llamada telefónica no habrá solución o explicaciones.
La calidad de las infraestructuras la determinan los servicios que usa el propio proveedor. Un sistema en la Nube utiliza servicios a su vez de otros proveedores. No ocultarlos es ya una buena señal. Ya hemos visto que el RGPD obliga a declararlos.
La Nube es un sistema de mayoristas y minoristas. Una determinada plataforma utiliza servicios de otros mayoristas. Una panadería elabora pan pero no tienen un campo de trigo y un molino para fabricar la harina que usan. La calidad de la harina determina en gran medida la calidad del pan.
Hay que dejar muy claro que los mayoristas del Cloud ofrecen diferentes calidades, cumplen diversas certificaciones de seguridad y protección de datos. Hay proveedores de gran calidad como Azure, Oracle, IBM y otros baratos como Amazon o Google. La localización de estos proveedores es también importante, si guardan los datos en Estados Unidos no tendremos las mismas garantías que si lo hacen en Europa y no ocultan su empresa en paraísos fiscales, debe haber una empresa responsable y cumplidora a la que reclamar.
Un sistema que incorpora todas el medidas mencionadas y algunas más es Dataprius. Firma los contratos RGPD antes mencionados. No se trata de un sincronizador, es una Intranet de archivos en la Nube que además del almacenamiento en la Nube, proporciona un buen número de utilidades para el trabajo diario con los archivos de la empresa.
El que se firme un contrato, se manifieste públicamente donde están los cosas da cierta tranquilidad jurídica la verdad. Y sobre todo que escribí un email o llamo y me responde alguien
Hola Miguel,
El tema del contrato RGPD es obligatorio. Otros almacenamientos en la Nube nunca lo firman. Dicen que no es necesario si no se guardan datos personales pero cualquier empresa los guarda, simplemente meten datos de sus clientes y además es normal subir archivos con datos privados. Los otros almacenamientos en la Nube asimilan un click en una casilla de aceptación pero entonces la empresa que contrata no tiene el documento.
En definitiva, si no te lo firman está mal y al menos sabemos que que no se mojan. En definitiva, si un almacenamiento en la nube se dice seguro debe firmarlo. A nadie se le ocurre contratar nada sin un resguardo.
Gracias por comentar.
Resumen, declarar dónde, cómo, y firmar que no se venden los datos con un contrato. He testeado la versión free, estoy en México y parece que va rápido el uso con las pruebas. ¿Tenéis infraestructura en América?
Hola Luis, gracias por comentar.
No tenemos infraestructuras en América por el momento, pero tampoco las hemos estimado necesarias. Si que nos preocupamos mucho de tener buena conexión y el hecho de ofrecer el servicio desde Madrid y Amsterdam es porque disponen de conexiones troncales con ramas que conectan por cable submarino a América, de hecho estos cables van directos al Golfo de México.
Tenemos muchos clientes en México y ellos nos indican cómo funciona el servicio. Las leyes de protección de datos son muy parecidas.
Gracias. Sí, ya he comprobado que va bien la velocidad.
¿Qué pasa si la empresa cierra de repente? Es un temor común, y por eso uno acaba yéndose a los más populares por si acaso.
Siempre se pueden recuperar los documentos descargando los archivos en algún lugar. La ley impone un mínimo de 15 días para permitir la descarga, pero esta ley que es RGPD solo se cumple en Europa.
Cuando se han producido casos de cierre, lo normal es que se hayan tenido entre 3 y 6 meses para descargar los ficheros. Por lo que respecta a Dataprius, las planificaciones se hace a dos años vista.
Tenemos que saber que lo popular no tiene por qué ser lo mas estable. Desde 2014 en que se pone en marcha nuestro servicio, hemos visto caer a varios sistemas de almacenamiento en la Nube. Lo popular invierte demasiado en publicidad y no suelen tener una estructura empresarial sostenible, a menos que ingresen por venta de datos como hacen algunas plataformas. Si la empresa facilita la recuperación de datos no debe preocupar ese problema del cierre. Llevamos respondiendo a esta pregunta desde 2014. Nuestro sistema facilita la descarga de todo lo almacenado mucho más que otros, siempre hay un backup en otra localización geográfica y que funciona de forma independiente del sistema principal, esto es otra medida más de seguridad.
Gracias por comentar.