La pérdida de control directo sobre la forma en que se prestan los servicios puede ser motivo de preocupación, sobre todo porque, con arreglo a normativas como el RGPD, si pasara algo, usted seguiría siendo el responsable.
La ciberseguridad siempre es un reto, pero muchas organizaciones más pequeñas descubren que su ciberseguridad mejora con el cambio de sus servicios a proveedores en la nube acreditados. La pérdida de control se ve compensada por el hecho de que los grandes vendedores de servicios en la nube cuentan con conocimientos técnicos y recursos que les permiten hacer grandes inversiones con el fin de garantizar su propia seguridad y la de sus clientes.
La clave para estar a salvo en la nube es ser diligente: investigar y comprobar que los posibles proveedores de servicios en la nube, ya proporcionen soluciones de software como servicio (SaaS), de plataforma como servicio (PaaS) o de infraestructura como servicio (IaaS), tengan las competencias y los recursos para mantener seguros sus datos e información.
A continuación, presentamos 7 medidas que puede tomar para asegurarse de que su organización sea cibersegura al usar servicios en la nube:
- Hacer un inventario de los datos en nubeRealice un inventario periódico de los datos que utiliza o almacena en la nube y compruebe que tanto usted como el proveedor de servicios en la nube los están protegiendo convenientemente.Ciertas clases de datos requieren tipos de protección especiales exigidos por la normativa o por determinados organismos del sector, lo cual debe tenerse en cuenta al hacer inventario. Por ejemplo, los datos personales de los ciudadanos de la UE gozan ahora de una protección especial con el Reglamento General sobre Protección de Datos y el procesamiento en línea de las tarjetas de pago está regulado por el PCI Security Standards Council (Consejo sobre
Normas de Seguridad de la industria de tarjetas de pago), creado por los principales proveedores de tarjetas, incluidos Visa y Mastercard.Si no se sabe lo que hay en la nube, no se puede estar seguro de que esté bien protegida.
- Hacer las comprobaciones debidas sobre el vendedorCuando esté sopesando la posibilidad de firmar o renovar un contrato con un vendedor de servicios en la nube, haga las comprobaciones necesarias para cerciorarse de que estos cumplan los requisitos en materia cibernética.Pregunte al proveedor qué acreditaciones y certificaciones tienen y asegúrese de que sean las apropiadas para el tipo de servicios que prestan y el tipo de datos que almacenarán o tratarán para usted. Existe una plétora de acreditaciones y certificaciones internacionales, nacionales y centradas en los proveedores, como ISO 27001 (el estándar internacional para la seguridad de la información), ISO 27017 (el código de prácticas para controles de seguridad de la información basado en ISO/IEC 27002 para servicios en la nube), Cyber Essentials (en el Reino Unido), la certificación PCI DSS para la industria de los pagos en línea, etc.
Muchos pequeños vendedores de SaaS prestan servicios que, a su vez, están basados en plataformas de proveedores de servicios en la nube más grandes, como Microsoft Azure, Google o AWS. Siempre que sea posible, intente comprender la propia cadena de suministro del proveedor de los servicios en la nube y asegúrese de que tanto él como su personal cuenten con las acreditaciones adecuadas y sean competentes a la hora de desarrollar y prestar servicios en dichas plataformas.Siempre es más probable que usted y su empresa estén más seguros con un proveedor que sea transparente y muestre cómo maneja su propia ciberseguridad y que esté dispuesto a someterse a una auditoría de terceros para obtener las acreditaciones y certificaciones pertinentes.
- Tener un plan de copias de seguridad si algo sale malUna de las ventajas de los servicios en la nube es que, a menudo, el proveedor capaz de ofrecer mayores niveles de disponibilidad que el personal interno propio; por su tamaño, ellos pueden invertir en la última tecnología y en el equipo humano necesario para prestar niveles de servicio sobresalientes. No obstante, seguirán produciéndose interrupciones en el servicio, por lo que es importante que usted cuente con un «plan de continuidad de las actividades» para asegurarse de que, si un servicio en la nube clave queda interrumpido durante unas horas en la época del año de más trabajo, su negocio pueda lidiar con la situación.
Tampoco es inusual que quiebren los vendedores de servicios en la nube, en concreto los que ofrecen servicios especializados. Una vez más, asegúrese de disponer de un plan para poder sacar los datos de sus servicios en la nube con poca antelación y evalúe regularmente los servicios que esté utilizando para identificar si en algún momento se ha vuelto fundamental para su negocio un servicio en la nube que antes solo era de «probatura». Si eso sucede, evalúe sus opciones: ¿hay disponible algún proveedor de servicios en la nube más grande y sólido? ¿Debería plantearse poner el software en algún tipo de depósito en garantía, para que siga estando disponible en caso de que falle el vendedor de software? ¿Debería considerar incluso la posibilidad de adquirir al vendedor de software? Por supuesto, esto presenta la ventaja añadida de mantener un software crítico para su actividad fuera del alcance de la competencia.
Tómese en serio el lema de los Scouts y esté «siempre listo».
- Proteger las «costuras»Los sitios donde la «costura» de su propia infraestructura de TI se tope con la de los servicios en la nube pueden ser un punto de especial vulnerabilidad. Mantener a salvo las «costuras» es una parte fundamental en una buena ciberseguridad He aquí algunos aspectos en los que puede centrarse:
- Lleve a cabo una buena gestión de activos para que sepa qué dispositivos está utilizando y pueda asegurarse de que tengan instalados los últimos parches y gocen de un buen mantenimiento.
- Active sus cortafuegos e instale un antivirus en todos los ordenadores portátiles y de sobremesa, y active la protección con contraseña para todos los dispositivos.
- Cifre los discos duros y asegúrese de que los dispositivos móviles perdidos o robados puedan bloquearse y borrarse a distancia.
- Disuada al personal de conectarse a puntos de acceso públicos de wifi; anímelos a «vincular» sus ordenadores portátiles con sus dispositivos móviles o proporcióneles un dongle inalámbrico. Si la suya es una organización más grande, considere la posibilidad de dotar a los empleados de una «red privada virtual» (VPN) para cuando trabajen de forma remota.
Otro tipo de «costura» a tener en cuenta es cómo controlar el acceso a sus sistemas en la nube. Todo el mundo sabe que el personal nunca debe compartir contraseñas, pero ¡hay mucha gente que sigue haciéndolo! Esto no solo causa considerables problemas en materia de ciberseguridad, ya que no se sabe quién le está haciendo qué a sus sistemas, sino que, en muchos casos, ¡también es ilegal!
A las organizaciones más grandes tal vez les convenga implantar controles de acceso centralizados, también llamados «inicios de sesión únicos», que canalizan los inicios de sesión para todas las aplicaciones (incluidas las SaaS) a través de un solo punto. Así, el personal solo necesitaría una contraseña para acceder a todos los sistemas que necesiten y, además, se simplificaría el proceso para los empleados que se incorporasen o dejasen el trabajo.
- Educar al personalHasta el personal con las mejores intenciones puede suponer un riesgo de seguridad si no es consciente de sus responsabilidades en materia de ciberseguridad y no ha sido educado para comprender y gestionar los riesgos a los que se enfrenta cada día.Haga responsable a una sola persona de la implantación de la ciberseguridad en su organización. Una parte esencial del trabajo de dicho responsable será asegurarse de que todos estén haciendo el esfuerzo necesario para mantener la seguridad de la empresa, incluyendo el desarrollo y publicación de una política de uso aceptable que todo el personal debe leer y cumplir. Esta política debe describir las responsabilidades del personal sobre cómo emplean los servicios tecnológicos que se les proporcionan, incluido el uso de los servicios en la nube. Por ejemplo, tal vez se desee prohibir al personal el acceso a cuentas de correo privadas y redes sociales desde dispositivos de trabajo o usando wifis públicas. El incumplimiento de la política de uso aceptable debe considerarse una falta disciplinaria y habría que recordarle periódicamente al personal lo que debe hacer para cumplir dicha política.Su personal también debe ser educado en cuanto a la ciberseguridad en general, como por ejemplo, cómo reconocer suplantaciones de identidad (phishing) y ataques de «ingeniería social» (en los que se embauca al personal para que revele información segura, incluidas contraseñas), además de estar alerta ante virus que infecten unidades de memoria USB o archivos adjuntos en correos electrónicos.
Su personal técnico necesitará un nivel más profundo de educación sobre cómo identificar y reparar vulnerabilidades de ciberseguridad y qué hacer en caso de brecha. También debe asegurarse de que cuenten con los recursos y la formación necesarios para garantizar que los equipos informáticos estén actualizados y que las «costuras» se mantengan seguras.Plantéese si existe algún requisito de formación especializada en ciberseguridad para el personal técnico en los planes de desarrollo profesional de estos, o si valdría la pena asociarse con algún socio externo que le ayude a hacer las cosas bien.
- Considerar la posibilidad de obtener sus propias acreditaciones y certificaciones de ciberseguridadHay incluso algunas empresas muy pequeñas que estiman que vale la pena invertir para obtener sus propias acreditaciones de ciberseguridad. Obtener y conservar la certificación ISO 27001 o participar en un programa de certificación nacional, como Cyber Essentials en el Reino Unido, puede dar a sus propios clientes la confianza de que los datos están a salvo.Aunque muchos propietarios de pequeñas empresas pueden descartar el esfuerzo que implica prepararse y obtener estas certificaciones por ser demasiado onerosas, están diseñadas para que puedan obtenerlas hasta las organizaciones más pequeñas. La razón de ello es que se centran en garantizar que las organizaciones evalúen sus propios riesgos y adopten medidas proporcionales para gestionarlos. El énfasis se pone en lo que funciona para cada organización individual. Para las pequeñas empresas y organizaciones, esto significa centrarse en garantizar que la ciberseguridad se integre en las prácticas de toda la organización, en vez de en desarrollar procesos y políticas que nadie tiene en cuenta jamás.Las certificaciones de ciberseguridad realmente ayudan a ganar y conservar clientes, e incluso las organizaciones más pequeñas pueden obtener y han obtenido la certificación.
- Hacer que un tercero ajeno a la organización ponga a prueba sus defensasMuchas organizaciones comerciales ofrecen servicios que tratan de identificar posibles vulnerabilidades en la infraestructura o el software que se posee, allí donde los servicios internos se topan con los servicios en la nube, así como posibles vulnerabilidades de los propios servicios en la nube. Este tipo de comprobación se llama «prueba de penetración» y está diseñada para identificar debilidades en la seguridad para que pueda resolverse cualquier problema. Existen muchas organizaciones reputadas de ciberseguridad que ofrecen pruebas de penetración, pero, al igual que con cualquier proveedor o vendedor, haga las comprobaciones debidas para asegurarse de que su proveedor esté cualificado para llevar a cabo este tipo de pruebas y de que emplee a «hackers éticos» de confianza. Pida referencias de otras organizaciones de su mismo tamaño a las que hayan ayudado y póngase en contacto con ellas a ver qué le pueden contar en primera persona, en lugar de limitarse a fiarse de lo que le diga el proveedor sobre sus propios servicios.
Mantener la seguridad de su empresa u organización al cambiarse a la nube puede resultar abrumador, sin embargo, implantar estas siete medidas le ayudará a hacer la transición de forma segura. De hecho, como se indicaba en la introducción, muchas organizaciones descubren que su seguridad mejora al pasarse a la nube, ya que los grandes proveedores de servicios en la nube cuentan con conocimientos técnicos y recursos que no tienen las organizaciones más pequeñas.
La ciberseguridad es asunto de todos, así que asegúrese de que su personal y cualquier otra persona que tenga acceso a sus sistemas sean conscientes de sus responsabilidades, y usted cerciórese de invertir el tiempo y los recursos necesarios para hacer la transición a la nube de forma segura.