La respuesta es “sí, pero”. Para que esto sea seguro, debe satisfacer ambos extremos de lo que llamamos el modelo de responsabilidad compartida para la seguridad en la nube.
Elegir el proveedor de nube adecuado
Primero, debe usar un proveedor de nube listo para la empresa. Los ejemplos incluyen Box, Dropbox Business, Office 365 de Microsoft, G-Suite de Google, etc. Todos estos proveedores de la nube realizan importantes inversiones en seguridad, más de lo que la mayoría de las empresas pueden permitirse. Pueden tener certificaciones que permitan a las agencias gubernamentales y compañías en industrias reguladas usar sus servicios. Estas certificaciones requieren auditorías intensivas de terceros. Almacenar datos en estas aplicaciones puede evitar muchos de los riesgos de almacenar datos incluso en su propia computadora; por ejemplo, si alguien roba su computadora portátil, aún no podrá iniciar sesión en una aplicación en la nube para acceder a sus datos.
- ¿Es difícil el cumplimiento de GDPR en la industria de la nube?
- ¿Quién es el mejor proveedor de nube privada?
- ¿Cómo se elige un proveedor de IaaS en la nube?
- ¿Puede ser más rentable ejecutar una nube privada con OpenStack que AWS?
- ¿Para qué sirve el lenguaje Python? ¿Es necesario usar la nube en ella?
Asegurando tu fin
Lo llamamos el modelo de responsabilidad compartida porque, en última instancia, el usuario de la nube debe asegurarse de que no se abuse de su cuenta. Si su contraseña es “1234”, no puede culpar al proveedor de la nube si alguien adivina su contraseña y le roba información. La autenticación multifactor es una capacidad efectiva para evitar que los delincuentes inicien sesión con una contraseña robada. Luego existe el riesgo de que los empleados pongan en riesgo sus datos. Hay dos categorías de fallas de seguridad de los empleados: accidental y maliciosa. Para ver un ejemplo de la primera categoría, imagine que necesita compartir un comunicado de prensa con un contratista de relaciones públicas, de modo que cree un enlace en Box o Dropbox Business. Un empleado descuidado puede crear un enlace público, lo que significa que cualquier persona con acceso al enlace puede acceder al documento y el propietario pierde el control. En el lado malicioso, eche un vistazo al ejemplo de la compañía de videojuegos Zynga. La semana pasada, la compañía presentó una demanda contra un empleado. El empleado era un director creativo y planeaba mudarse a un competidor. Antes de abandonar Zynga, utilizó una cuenta corporativa de Google Drive para descargar carpetas de información confidencial de la empresa y poner los datos en una unidad USB. Ambos ejemplos muestran los problemas de seguridad que las empresas deben abordar cuando dejan que los empleados usen servicios en la nube. Las redes tradicionales tenían poderosas capacidades de monitoreo de comportamiento y aplicación de políticas, y las compañías necesitan las mismas capacidades en la nube. Es posible que las empresas también necesiten usar funciones como el cifrado con sus propias claves para garantizar que solo tengan acceso a los datos y cumplan con las leyes reguladoras.
Muchas compañías realmente transfieren datos a la nube para estar más seguros. Pero para cargar con confianza información confidencial en los servicios en la nube, debe seleccionar un proveedor seguro de aplicaciones en la nube y aplicar la seguridad en el lado del usuario de la ecuación.