Seguridad en la Nube, Manteniendo el Control sobre su Información

La puesta en escena de Google Drive ha causado algo de revuelo por las implicaciones de privacidad que las condiciones de uso de este proveedor tienen sobre la información que los usuarios depositan en el servicio. Estas preocupaciones, como es natural, tienen ramificaciones al uso de otros servicios sobre lo que se ha venido llamando generalmente "la nube". Aquí presentamos una visión de la situación general desde la perspectiva de Itverx.

Responsabilidad de la Protección de la Información

Los problemas relacionados con la seguridad de la información datan de mucho antes de la aceptación de "la nube" como conjunto de tecnologías útiles para empresas o individuos. El hecho de que la información resida en medios de almacenamiento que físicamente se ubican fuera del control del dueño de la información ya es en sí un cambio importante a la matriz de riesgos que debemos considerar.

Desde hace años las empresas en muchos sectores -- banca y finanzas, servicios, manufactura y un amplio etcétera -- han basado sus estrategias de recuperación en tener copias de sus datos en otros centros de cómputo, intencionalmente lejos de sus oficinas. Muchas de esas empresas no incluyeron controles adecuados para proteger esa información bajo el falso pretexto de que los medios de almacenamiento están bajo llave o en un sitio "seguro".

La realidad es que razones judiciales, el mero error humano o la malicia pueden exponer esos datos. La nube -- ya sin comillas -- no lo hace diferente. Así, las organizaciones tienen la responsabilidad de aplicar controles adecuados para salvaguardar la privacidad de su información independientemente del proveedor de infraestructura virtual (PIV -- la organización que provee servidores o almacenamiento en la nube).

Desde el año 2008 cuando comenzamos a trabajar en Itverx con tecnologías de virtualización y plataformas para habilitar la nube, identificamos claramente los riesgos de privacidad y control de acceso a la información de nuestros clientes. Es por esto que nuestros productos emplean estos controles desde su introducción al mercado. También hemos sido muy exigentes a la hora de evaluar y certificar PIVs para ofrecer servicios a nuestros clientes.

Y es que independientemente de lo que pueda decir el contrato de adhesión o las condiciones de uso del PIV escogido para llevar adelante el proyecto de nuestros clientes, tenemos la responsabilidad de proteger su información.

¿Cómo Protegemos su Información?

Los controles que empleamos -- y que conceptualmente podrían ser empleados por cualquier proveedor de servicios con tecnología equivalente -- se basan en cifrar la información de nuestros clientes cuando esta se deposita sobre un "disco virtual". De este modo, los datos que reposan en los medios de almacenamiento del PIV son totalmente ilegibles.

Esto permite que cualquier tecnología que el PIV emplee internamente para administrar su infraestructura sigue funcionando sin problemas, con la salvedad de que aunque lo intente, le será imposible acceder a la información de nuestros clientes.

Estrategia similar seguimos con los respaldos, un punto débil muy común. Itverx emplea técnicas que producen medios de respaldo cifrados y firmados digitalmente, de modo que es imposible para un tercero rescatar la información que contienen sin autorización de nuestro cliente. Igualmente, resulta imposible suplantar un medio de respaldo de forma fraudulenta.

¿Estamos Realmente Seguros?

Con estos controles, Itverx puede ofrecer a sus clientes niveles de seguridad superiores a los que se logran en centros de cómputo convencionales incluso sin importar la escogencia del PIV.

Aun así, es importante que las organizaciones consideren que el mundo de las TI cambia continuamente. Es fundamental apreciar esos cambios y adaptar las políticas y procesos de la organización.