10 reglas de oro para tener seguridad en la nube

La era de la nube ya está aquí. Como todo lo nuevo, exige tener en cuentas numerosos factores a la hora de gestionar las redes y la información privada. Acens presenta 10 reglas de oro para optimizar la seguridad en este nuevo entorno.



1) No todas las nubes son iguales

Aunque el concepto es similar, no todas las nubes y servicios concebidos para la nube están diseñados y desarrollados de la misma forma. Es recomendable analizar todos los detalles de cualquier propuesta de un proveedor.

2) Conoce dónde está y cómo es tu cloud

La nube no es etérea, está ubicada en un sitio físico. Saber dónde está, poder acceder a ella o conocer a la gente que está detrás de la gestión evita sustos en el futuro y facilita las operaciones del día a día. Es importante ofrecer a los clientes un entorno de cloud basado en un datacenter que cuenta con las máximas medidas de seguridad lógicas y físicas.

3) La seguridad es un requisito, no un añadido

En cuestiones tan sensibles como la protección de documentación crítica de la empresa, un buen servicio en la nube debe garantizar el control, gestión y acceso a los datos y aplicaciones bajo estrictas normas de seguridad. Todo esto acorde a los permisos establecidos por el cliente para interferir en su entorno cloud o en los diferentes niveles de opciones que haya configurado.

4) Una buena seguridad cloud obliga a una buena seguridad interna

No hay que olvidar que en los proyectos de infraestructura y de servicios cloud, el compromiso de seguridad debe de ser doble. No tiene sentido exigir al proveedor entornos seguros de acceso y trabajo y descuidar las políticas internas de seguridad de la empresa.


5) Las personas siguen siendo un elemento crítico

Las tecnologías hacen el trabajo, pero el diseño y aplicación de las medidas de seguridad las hacen las personas. Las economías de escala permiten a los proveedores de servicios en la nube contar con auténticos expertos de seguridad que aportan mucho valor y experiencia, sobre todo, teniendo en cuenta que históricamente muchos de los fallos de seguridad son por errores humanos.

6) La seguridad es multiplataforma

El acceso a la nube es ubicuo y multiplataforma. Según las necesidades de cada empleado o departamento accederá a una hora u otra, desde una red fija o una red pública, un dispositivo fijo o móvil -portátil, smartphone, tablet, etc- Una buena política de seguridad no debe descuidar ninguna de estas vías y proponer siempre la existencia de dos redes separadas. Una que tiene conexión con el exterior, dotada de direccionamiento IP público, y una red privada con direccionamiento privado que es de uso exclusivamente interno.

7) Apuesta por estándares de mercado

Siempre es más sencillo trabajar con tecnologías y productos estándares del mercado que acotarse a desarrollos muy específicos o de nicho. La migración e integración de equipos, o incluso la replicación de entornos y sistemas será más rápida y sencilla trabajando con estándares de mercado.

8) Revisa el cumplimiento legal

Un buen proveedor de cloud no sólo debe ofrecer las máximas garantías de seguridad, sino que debe cumplir con las normativas legales en materia de protección de datos, como puede ser en España la LOPD para salvaguardar la confidencialidad y la seguridad de la información y que datos críticos de la compañía no circulen de un país a otro. Por eso es importante contar con personal cualificado que monitorice cualquier incidencia y que notifique y solucione en tiempo real cualquier infracción de seguridad.

9) Exige garantías de alta disponibilidad y redundancia

Contar con nubes redundantes –datacenters en diversas localizaciones- no sólo garantiza la disponibilidad permanente del servicio en cuestiones de red, almacenamiento y nodos de computación, sino que añade un grado extra de seguridad a la hora de garantizar la pérdida de datos ante situaciones de crisis.

10) En seguridad no te la juegues

En realidad las amenazas de seguridad en los entornos en la nube no son diferentes a los que existen en el modelo tradicional. Lo que sí que resulta crítico es la confianza y credibilidad que puede aportar una empresa un proveedor de este tipo de soluciones. Hay que tener en cuenta que la empresa está exponiendo información sensible a un tercero por lo que hay que tener absoluta garantía de que tanto en entornos de cloud pública, como privada o mixta se garantiza la gestión y administración de permisos y accesos; la seguridad física, lógica y monitorización 24 horas; el cumplimiento con la LOPD para salvaguardar la confidencialidad y la seguridad de la información; y la garantía de disponibilidad de servicio.

yorokobu