CAPÍTULO 2. SEGURIDAD CLOUD PARA PYMES Y AUTÓNOMOS.

1. SERVICIOS DISPONIBLES EN LA NUBE.

Cuando decimos que utilizamos servicios en la nube, o en cloud, lo que estamos queriendo decir es que estamos utilizando servicios, bajo demanda, en una infraestructura qué habitualmente no es nuestra, y qué habitualmente se encuentra en Internet.

Todos usamos servicios cloud desde hace tiempo cuando usamos los servicios gratuitos o de pago, de Google o Microsoft, entre otros proveedores. Por ejemplo: servicios como el correo electrónico, el almacenamiento de información en los drives de ambos proveedores, herramientas como Skype o Hangouts, para realizar video llamadas, aplicaciones ofimáticas como procesadores de texto, hojas de cálculo o aplicaciones para generar presentaciones vistosas, y muchas más, algunas prácticamente desconocidas para el público en general.

La nube está empezando a revolucionar los espacios de trabajo y en 15 años, poco más o menos, habrá cambiado completamente nuestras empresas y oficinas.

¿Recuerdas como era tu oficina hace 15 ó 20 años? ¿A qué ha cambiado?

Pues en los próximos 15 ó 20 va a cambiar más aún, fundamentalmente porque habrá sacado de nuestras empresas la infraestructura que ahora mantiene operativos nuestros negocios.

Piensa en oficinas en las que los servidores, el almacenamiento, el backup, los sistemas de seguridad, las aplicaciones, … ya no estén físicamente en el mismo sitio en el que están ahora, dejando únicamente terminales, prácticamente tontos, que se conectarán a todos estos servicios online, y algún equipo de impresión para poder imprimir los pocos documentos que se imprimirán en papel. A fecha de hoy ya hay un importante número de empresas que prácticamente no imprimen nada, utilizando estos dispositivos para digitalizar documentos.

¿Por qué se va a producir este cambio, que ya ha empezado a materializarse?

Fundamentalmente porque nos va a costar menos pagar por su uso, a modo de alquiler que adquirir los equipos y mantenerlos.

Al igual que ocurre cuando te compras un coche, hay unos gastos importantes, en los que habitualmente no reparamos.

Es evidente que no todas las empresas tienen las mismas necesidades, pero ¿te has parado a pensar alguna vez lo que cuesta la infraestructura tecnológica que necesita una empresa?

  • Las salas que debemos tener preparadas para ubicar nuestra infraestructura más crítica, con techos y suelos técnicos.
  • Sistemas de refrigeración y sistemas antiincendios.
  • Sistemas de identificación de acceso.
  • Armarios y cabinas.
  • Los propios servidores: controladores de dominio, servidores de bases de datos, de almacenamiento, de backup, …
  • Todo el equipamiento de comunicaciones y su seguridad: Routers, Firewalls, IDS/IPS, …
  • Las garantías de todos estos equipos.
  • La energía necesaria para mantener encendido todo esto las 24 horas del día.
  • Personal que lo mantenga operativo y securizado.

– Y además cumpliendo todas las normativas vigentes para cumplir la ley y evitar posibles sanciones.

¿De verdad piensas que es más económico comprar que pagar por uso? Pues en este momento ya no lo es, pero dentro de unos años, cuando el mercado de este tipo de servicios se haya asentado, será mucho más económico ir a la nube que quedarse en tierra.

Si el aspecto económico nos agrada, siempre solemos poner el reparo de nuestra información no está en nuestro poder, la almacenamos en máquinas de un proveedor de servicio del que nos tenemos que fiar.

Y la pregunta es ¿de verdad crees que tu información y servicios van a estar más seguros en tus instalaciones que si los tienes en los centros de datos de empresas como Amazon, Google, Microsoft, IBM, …? Es evidente que las instalaciones de estos, los sistemas de redundancia, … serán inalcanzables para nosotros. Docenas de CPDs ubicados por todo el planeta replicando nuestra información para que, en caso de desastre en cualquiera de ellos, la información esté distribuida en el resto y nuestro servicio no se vea afectado por una falta de disponibilidad de la misma.

Aun fijándonos en las innumerables ventajas que aporta este sistema, debemos reconocer que puede haber un pequeño tipo de empresas a las que este servicio no les encaje por su idiosincrasia.

Por ello debemos realizar un estudio previo para identificar si nuestro negocio se puede ver beneficiado si adopta este tipo de servicio y, en el caso de que así sea, dimensionemos en condiciones nuestra necesidad. Y esto no es trivial.

Por otro lado, la flexibilidad y escalabilidad de estos servicios y la posibilidad de acceder a los recursos desde cualquier sitio, en un momento en el que la movilidad se ha vuelto imprescindible para la gestión de nuestros negocios, son otros de los motivos para decidirse a dar el salto a la nube.

Pero ¿a qué nos referimos cuando hablamos de flexibilidad y escalabilidad?

Fundamentalmente a la capacidad de dimensionar mi infraestructura atendiendo a mis necesidades en cada momento, de una forma casi inmediata.

Supón que adquieres un servidor para un nuevo servicio que necesitas prestar a tus trabajadores. 6 meses más tarde necesitas incrementar la plantilla en un número de trabajadores con los que no habías contado cuando dimensionaste el servidor que compraste y necesitamos ampliarlo porque nos hemos quedado cortos.

En una situación tradicional, tendríamos que ponernos en contacto con uno o varios proveedores, solicitar un presupuesto, realizar el pedido, esperar varios días a que llegara el material adquirido e instalar la memoria, procesador o disco duro que hayamos adquirido. Esto, en máquinas de gama media va a suponer parar el servidor, instalar el nuevo hardware, reconfigurarlo y volver a poner en marcha la máquina.

En lo que hemos leído la explicación que acabamos de dar, habríamos realizado una ampliación de los recursos de nuestras máquinas en la nube, pagando a partir de ese momento por el servicio recibido.

Ahora bien, imagínate que tiempo después, el personal incorporado deja de ser necesario, porque había sido contratado para una campaña concreta. En este momento no puedo ponerme en contacto con el proveedor que me ha suministrado el equipamiento para devolvérselo porque ya no lo necesito. Sin embargo, en el tiempo que hemos tardado en leer esta nueva explicación, habríamos redimensionado de nuevo nuestros equipos, a la baja, pagando a partir de ese momento por la nueva configuración que estamos usando.

Otra situación, que por desgracia ocurre con frecuencia, se da cuando hemos adquirido un equipamiento que pagamos a través de un crédito, un renting o un leasing y se da la circunstancia de que tenemos que cerrar nuestra actividad. En este caso, tenemos que terminar de pagar el equipamiento adquirido sin poder recuperar la invertido porque el valor del producto se ha devaluado de tal forma que no vale si quiera lo que se debe. Sin embargo, si utilizamos servicios en nube y se da una situación como la descrita, le decimos al proveedor que ese mes va a ser el último que le pagamos y se acaba el problema.

Uno de los principales obstáculos que podemos encontrar a la hora de implementar estas soluciones se debe a la necesidad de tener una muy buena conectividad para poder acceder a los servicios. Si no hay conexión a Internet, no hay servicio.

Es cierto que en los núcleos urbanos esto no es problema, pero cuando sales 25 kilómetros de las ciudades, tener acceso a una conexión de fibra óptica no es tan sencillo y económicamente suele ser bastante más costoso.

Para poder tomar una decisión al respecto necesitamos conocer los tipos de nubes que existen y el tipo de servicios que se puede contratar.

Tipos de nubes

  • Públicas:

Aquellas que proveen proveedores como Telefónica, Amazon, Microsoft, Google, …

Toda la infraestructura está en sus instalaciones y la compartimos con otros clientes

  • Privadas:

Aquellas que adquiero e instalo en mis propios CPDs para prestarnos a nosotros mismos el servicio. El problema es que suelen ser bastante caras.

  • Híbridas:

En entornos corporativos grandes, tanto públicos como privados, están muy extendidas. Una parte de la infraestructura la tenemos nosotros mismos y otra parte está alquilada en un proveedor externo, buscando redundancia y tolerancia a fallos.

Tipos de Servicios:

  • laaS: Infrastructure as a Service

Con este tipo de servicio, lo que el proveedor nos ofrece son Máquinas Virtuales en las que vamos a poder colocar nuestros servidores, nuestros equipos de comunicaciones, nuestros sistemas de seguridad, balanceadores de carga, .

  • SaaS: Software as a Service.

Con este tipo de servicio, lo que proveemos a nuestros usuarios es el Software (CRM, ERP, …), escritorios virtuales, correo electrónico en nube, .

  • PaaS: Platform as a Service

Con este tipo de servicio adquirimos plataformas como servicio, para despliegue de aplicaciones como servidores web, bases de datos, sistemas de big data, .

Una cosa que nos debe quedar clara es que la seguridad de los servicios suele estar repartida entre el proveedor y el cliente. La administración, gestión y securización de estos entornos hay que contratarlos a parte de la infraestructura que contratemos. Esto es así porque nos podría interesar usar la infraestructura en la nube, pero ser nosotros mismos los que la gestionáramos. Por tanto, el proveedor del servicio nos lo podrá ofrecer siendo nosotros los que tomemos la decisión de gestionarlo nosotros mismos o externalizarles a ellos la administración de nuestra infraestructura en Ciberseguridad la nube.

2. RIESGOS Y AMENAZAS.

Utilizar servicios en la nube exige un cambio de mentalidad, ya que nuestra infraestructura deja de estar bajo nuestro «estricto» control, como ha estado hasta ahora.

Aunque ya hemos comentado las ventajas económicas, de flexibilidad y escalabilidad, de las que nos beneficiamos al utilizar servicios cloud, no es todo oro lo que reluce y debemos tener en cuenta los riesgos que asumimos y las amenazas a las que nos vemos expuestos:

  • No solemos tener acceso a las instalaciones físicas de nuestros proveedores cloud. Sin embargo, debemos conocer la ubicación real de nuestras máquinas virtuales.
  • Debemos tener muy claros los contratos que vinculan nuestra relación y en los que se incluirá: o Qué servicios se prestan y cuáles no.

o Qué tiempos de respuesta máximos nos afectarán.

o Las responsabilidades que asume el proveedor, exigiendo cláusulas de confidencialidad y seguridad de los datos ya que debemos cumplir las leyes de protección de datos vigentes en cada momento.

  • Como hemos indicado antes, una pérdida de conectividad puede paralizar la actividad de mi empresa.
  • Tendremos que mantener las políticas de seguridad que afectaban a los servicios que hemos trasladado a la nube.

Las amenazas estarán directamente vinculadas al tipo de servicio contratado y al contrato de servicios firmado, teniendo especial impacto quien debe encargarse de gestionar y administrar los servicios.

Si no tenemos controlados todos estos aspectos podemos vernos afectados por:

  • Fugas de información.
  • Suplantación de identidad.
  • Accesos no autorizados.
  • Incumplimiento normativo.

 

3. CONSIDERACIONES LEGALES.

Si debemos tener en cuenta la legislación vigente que nos afecta, en todo momento, más aún debemos tenerla en cuenta cuando nos decidamos a contratar servicios en cloud.

En España nos afectaba la Ley Orgánica de Protección de Datos (LOPD) pero, desde el pasado 25 de mayo, nos regimos por el nuevo Reglamento General de Protección de Datos (RGPD) europeo, con el que se pretende unificar criterios respecto a la protección de datos personales, en el ámbito europeo.

El RGPD es una norma directamente aplicable, que no requiere de normas internas de trasposición ni tampoco, en la mayoría de los casos, de normas de desarrollo o aplicación. Por ello, los responsables deben ante todo asumir que la norma de referencia es el RGPD y no las normas nacionales, como venía sucediendo hasta ahora.

En cuanto a los servicios cloud, el principal aspecto que tenemos que tener en cuenta es el de la ubicación de nuestros datos, es decir, las máquinas en las que almacenamos nuestros datos o nuestro correo electrónico deben estar dentro del ámbito territorial permitido en el RGPD.

Para cumplir las obligaciones impuestas por el Reglamento Europeo debemos atender:

  • A la protección desde el diseño y por defecto, no solo con la obligación de garantizar la seguridad de los datos personales, si no que se deberá tener en cuenta también la forma del almacenamiento de la información para atender el derecho de acceso, el de rectificación y limitación al tratamiento, el derecho al olvido y sobre todo el nuevo derecho a la portabilidad de los datos.
  • Cumplimiento proactivo, disponiendo de todas las medidas técnicas y organizativas apropiadas para poder demostrar, en cualquier momento, que los tratamientos de datos son conformes con este Reglamento.

– En caso de manejar información de carácter personal, el Reglamento exige que el proveedor contratado ofrezca garantías suficientes en cuanto a su cumplimiento, es decir, que disponga y pueda demostrar, que cuenta con todos los medios necesarios para cumplir sus obligaciones como encargado en el manejo de los datos personales de su cliente. Para ello el responsable de los datos personales no solo deberá firmar el contrato con el proveedor del Cloud, donde se establezcan sus obligaciones en el manejo de los datos, si no que deberá establecer, en el proceso de selección del proveedor, mecanismos para poder determinar si éste cuenta con estas garantías suficientes para cumplir el Reglamento y la protección de los derechos de los interesados.

– Evaluaciones de impacto para ciertos tratamientos de datos, como en la elaboración de perfiles o cuando se manejen a gran escala datos de categoría especial, que son los relativos al origen racial, religión, afiliación sindical, genéticos y de salud. Con ello se determinará que riesgos existirán para los derechos de las personas en el tratamiento de sus datos personales.

– En cuanto a las medidas de seguridad a implantar sobre los datos, éstas deben estar ajustados al riesgo, pudiendo incluir seudonimización y cifrado (tanto en tránsito como mientras permanece almacenada en mis equipos informáticos), para garantizar la confidencialidad, integridad, resiliencia de los sistemas y servicios, la capacidad de restaurar la disponibilidad y el acceso a los datos de forma rápida. Pero los riesgos para el responsable de los datos y la empresa que presta el Cloud pueden no ser iguales, dado que dependerán estos riesgos de los tratamientos de datos que se lleven a cabo cada uno de ellos. Por lo que convendrá acordar en el contrato con el proveedor cual serán estos riesgos y las medidas que deban implantarse.

– En el caso de producirse una violación de la seguridad en los datos, y exista riesgo para los derechos y libertados de las personas, es obligatorio notificarlo a la Agencia Española de Protección de Datos, en el plazo de 72 horas desde que se haya tenido conocimiento.

– Deberemos tener claro quién es el responsable del incidente, el proveedor o nosotros. Si la brecha de seguridad es atribuible al proveedor cloud, este deberá notificárnoslo para posteriormente notificarlo nosotros a la Agencia. Para atender a esta obligación, deberemos establecer algún procedimiento que determine que violaciones de seguridad se notificarán, el mecanismo para notificarla.

Deberemos informar, incluso, a los interesados, cuando sus datos hayan sufrido un alto riesgo desde el punto de vista de sus derechos y libertades, teniendo entonces que incorporar en este procedimiento de notificación de violaciones de seguridad a la Agencia Española de Protección de Datos, el mecanismo para comunicarlo a las personas, tras determinar si se produjo un alto riesgo, como decíamos, para sus derechos y libertades.

 

 

CAPÍTULO 3. ¿ESTÁS PREPARADO PARA UN CIBERATA