Los servicios cloud aportan escalabilidad, elasticidad, flexibilidad y control absoluto, además de permitir tener los datos e información relevantes siempre al alcance, de manera rápida, eficaz y segura.
Tal y como comentamos en este post, los servicios cloud aportan una serie de ventajas: ahorro de costes, facilidad de acceso, soluciones personalizadas, actualizaciones automáticas, así como almacenamiento ilimitado que ayudarán a incrementar la eficiencia y productividad del día a día de una empresa.
No obstante, cada vez son más los proveedores en la nube, aún así, no todos ofrecen los mismos servicios ni ofrecen las mismas funcionalidades. Es por eso que antes de contratar a un proveedor cloud es importante que como IT te hagas las siguientes preguntas relacionadas con seguridad y fiabilidad, para encontrar la solución cloud que mejor se adapte a tus necesidades.
Todo IT debe asegurarse que los datos de la empresa se almacenarán de manera segura, en un entorno específico y con alto nivel de seguridad para evitar que terceros no autorizados puedan acceder a ellos. Es importante asegurar que los datos que se han compartido estén cifrados, tanto los datos que se encuentran en reposo como los que están en movimiento. Recomendamos que escojas un servicio cloud que te ofrezca ambas opciones para garantizar la seguridad de la empresa.
En la mayoría de casos, los proveedores de nube son los que administran la seguridad de la red y de los servidores hasta la capa hypervisor (entre el hardware físico y las máquinas virtuales), siendo los responsables de proveer los recursos de los sistemas físicos y virtuales. Por lo que hace a las otras capas, la empresa que ha contratado el servicio será la responsable de sus datos.
A parte de la capa de virtualización, existen otras posibilidades como la creación de una estrategia de seguridad colaborativa para evitar brechas de seguridad.
En este caso el objetivo es minimizar los riesgos de secuestro de credenciales. Es importante que preguntes a un CSP si emplea algún modelo menos privilegiado para limitar a quienes acceden a la infraestructura inferior y evitar así la fuga de datos. También es importante preguntarse sobre la forma en la que el proveedor usa la autenticación multi factor para el acceso a sistemas críticos.
Importante tener en cuenta la frecuencia, el alcance de la limpieza y las vulnerabilidades en los test o pruebas de penetración que se realizan en tu red virtual. Una vez realizado el análisis, es importante saber cómo se van a corregir las brechas de seguridad encontradas. Para ello, el proveedor debe poner a tu alcance su política de procedimientos y protocolos, para saber si se adecua a las necesidades de la empresa.
Los certificados permiten saber que el proveedor sigue con los estándares de seguridad específicos como por ejemplo: PCI DSS para las transacciones de tarjetas de crédito o los SOC 2 para contables.
Normalmente todos los proveedores en la nube ofrecen flexibilidad y escalabilidad. Es decir, la posibilidad de aumentar sus funcionalidades a medida que lo vayas necesitando y pagando sólo por aquello que utilices. Asegúrate que el proveedor te ofrece esta posibilidad para adaptarse al 100% a tus necesidades. Quizás un proveedor que no te ofrezca esta posibilidad no será una buena opción para ti. Fíjate bien en el contrato y valora qué es lo que realmente necesitas y por qué funcionalidades estarías pagando de más.
Las copias de backup son de suma importancia para garantizar que en caso de pérdida o robo, puedas recuperar tu información. Es importante determinar quién se encarga de realizar las copias de seguridad. Hay proveedores que la incluyen como parte de sus servicios, otros que lo ofrecen como un servicio a parte y otras que se desentienden y debe ir a cargo de la propia empresa contratadora. Asegúrate bien de este punto para no quedarte sin copias de seguridad, pensando que tu proveedor cloud se ocupa de ello, cuando en realidad no es así.
La ley exige que algunos datos se conserven durante un cierto período de tiempo, además, las propias empresas pueden establecer políticas internas de retención de datos a pesar de que la ley no le obligue. Por eso, es importante que el proveedor conozca tu política de retención de datos, para saber qué datos deben permanecer siempre activos y cuáles pueden archivarse, de esta manera, se minimizarán los errores y se evitará su pérdida y el incumplimiento de la ley que puede conllevar a sanciones.
Antes de escoger un proveedor en la nube es importante saber cómo son sus procesos de migración y que servicios ofrecen, para garantizar una migración de todo tu sistema y datos al cloud de manera exitosa. Además, deberá quedar claro de antemano qué parte realiza el proveedor y qué parte tendrás que hacer tú.
Fíjate bien en la política de seguridad y privacidad que te ofrece el proveedor para saber qué pasará con tus datos una vez estos sean eliminados. De esta forma podrás asegurarte de que nadie podrá volver acceder a ellos y que se habrán eliminado por completo después de haber estado almacenados en su base de datos.
Aunque parezca mentira, hay muchísimos proveedores cloud famosos (Google entre ellos) que cifran la información mientras viaja por internet, pero no la almacena cifrada ya que ellos mismos la escanean para generar perfiles de compradores y saber qué anuncios serán más adecuados para tu empresa. Si tu proveedor no almacena los datos cifrados, asegúrate de hacerlo tú. De esta manera, evitarás que en caso de fuga de datos un tercero no autorizado pueda acceder a tu información.
Para garantizar la seguridad y fiabilidad en la nube por lo que hace a datos e información de tu empresa, es importante que antes de adquirir un servicio cloud te realices las preguntas anteriores, de esta manera, sabrás ver cuál es la solución cloud que mejor se adapta a tus necesidades.
En ESED, te asesoramos para que encuentres tu mejor solución cloud y garantizamos la seguridad de toda tu infraestructura en la nube. Trabajamos con cloud pública, híbrida y privada para que escojas la solución que mejor se adapte a tus necesidades. ¿Te ayudamos? Puedes contactar con nosotros en el siguiente enlace.