La ‘nube’, ¿riesgo en la información?
Miles de sitios web y millones de pedazos de información privada tienen cada vez más presencia en una gran nube, donde no aplican muchas de las viejas reglas de seguridad de la información. Con el auge de las compañías de computación, y con la ferocidad con la que las compañías tecnológicas más grandes están absorbiendo a las compañías pequeñas, no es ningún secreto que una gran cantidad de información del usuario ya esté almacenada en la nube. Nuestros correos electrónicos, documentos, perfiles de redes sociales y cientos de miles de pequeñas compañías ya dependen de los servicios nube, como SalesForce.com, para poder ser más competitivas y tener una mayor eficiencia en costos.
Pero una preocupación sigue siendo la seguridad: al descargar información en la nube , las compañías y sus usuarios podrían estar abriéndose cada vez más a un hacker, a la pérdida de información y a poner en peligro su privacidad.
¿Qué está en riesgo?
Un ejemplo es la información de tarjetas de crédito. La mayoría de nosotros no piensa dos veces antes de guardar información de nuestras tarjetas de crédito y códigos de seguridad en nuestros perfiles de compra. La Industria de Pagos con Tarjeta (PCI por sus siglas en inglés), es un estándar global de seguridad de información establecido por un consorcio que incluye a Visa Card, MasterCard, American Express y Discover, que establece requisitos específicos en la infraestructura que maneja información de alto riesgo como el de las tarjetas de crédito.
Si una infraestructura no cumple con todas y cada una de las regulaciones de la PCI, entonces no funciona en conformidad con los estándares. Como la infraestructura nube es tan distinta a los motivos por los que se redactó la PCI, la mayoría de los proveedores de servicios nube no acatan sus estándares.
La forma en la que un proveedor de servicios codifica la información del cliente también es clave para la seguridad. Según el analista nube de Forrester, Chenxi Wang, la codificación de la información nube puede ser amplia e imprecisa. Algunos servicios codifican su información y otros no. Para los que la codifican, vale la pena saber si la codificación es lo suficientemente fuerte, si el servidor físico que almacena tu información está completamente codificado (si la información del cliente está codificada de la misma forma) o si el proveedor de servicios ofrece aplicaciones que codifiquen tu información de forma separada y con códigos distintos a otra información ya almacenada.
La última preocupación surge de una práctica nube popular: algunos proveedores nube almacenan información de varios clientes en el mismo servidor físico. Entonces, el cliente A puede estar manejando una "máquina virtual" y el cliente B puede estar manejando otra "máquina virtual", pero los dos podrían estar funcionando físicamente en el mismo servidor. Si un hacker experimentado logra tener acceso al Cliente A por un hueco de seguridad, no es tan irreal que el hacker también pueda tener acceso a la información del cliente B. Y si lo que intenta hacer el hacker es una maldad , el cliente A podría ser el culpable.
"El riesgo de esto, dependiendo del proveedor nube, podría ser mínimo o sustancial", dice Wang. "Desde un punto de vista de seguridad total, hay un riesgo de que la otra compañía, que depende de la misma infraestructura, pueda lograr utilizar alguna terminal encubierta, o algún tipo de interfase que esté disponible para hackear tu parte de la infraestructura".
Otra preocupación es el uso de compañías externas para varios componentes de un servicio nube. Mientras que los servicios nube de Amazon son completamente internos , otros servicios nube dependen cada vez más de terceras partes.
Wang mencionó un ejemplo donde el uso de un externo se vuelve algo completamente torcido. Con la intención de tener un respaldo, la información de los clientes suele escribirse en cintas o discos, pero después de cierto tiempo, la mayoría de los respaldos necesitan ser destruidos.
Recientemente, un proveedor nube sin identificar envió sus cintas de respaldo a una compañía de eliminación de información. Wang dice que la compañía de eliminación de información perdió las cintas, y con ellas, la información nube de los clientes.
"El proveedor nube quedó en una situación muy perjudicial porque no tiene ninguna certeza de que la información haya sido destruida", dice Wang.
Minimizar los riesgos de la nube
Para reducir las posibilidades de que un escenario de pesadilla como ese ocurra, los clientes potenciales que quieren comprar un proveedor de servicios nube necesitan investigar antes de hacerlo.
La única forma para que los clientes puedan comprender y controlar por completo su información es aprendiendo lo más posible y siendo muy firmes con las negociaciones de los contratos. En ausencia de estándares como los de la PCI, no es suficiente confiar en los proveedores para proteger tu información o creer en su palabra. Las compañías necesitan detalles de cómo se almacenará físicamente su información, cómo se codificará en servidores físicos que comparten espacio de almacenamiento con información de otros usuarios, si el proveedor emplea a externos, y cuáles son los procedimientos operativos de esas compañías. Los clientes necesitan entender completamente bien cómo se manejará su información y quién, dentro y fuera de la compañía, tendrá acceso a ella.
En caso de que se pierda la información de respaldo, lo lógico sería que el proveedor notifique a los clientes afectados sobre el riesgo que corre su seguridad, pero en realidad, la compañía no está obligada a hacerlo a menos que el contrato estipule lo contrario. Es imperativo que el contrato mencione el requisito de la notificación al cliente, ya sea en una situación positiva o negativa.
¿Qué otra cosa hay que mencionar en la negociación de un contrato? "El primer derecho de denegación" al contratar a partes externas, servidores físicos separados y archiveros, y/o servicios separados de codificación de información. Los clientes no recibirán necesariamente la garantía de estas exigencias, pero eso depende de su historia con el proveedor y de cuánto valora el negocio; el precio de no pedirlo y sufrir un golpe en su seguridad puede ser demasiado alto. Claro que algunas de las peores pérdidas de información privada en los últimos años fueron provocadas por el síndrome de "la computadora robada", donde la información que nunca debió haber estado en computadoras personales terminó en manos de ladroncitos (o algo peor).
Claro que todo esto es vital para las compañías que están cimentando negocios basados en la nube y quieren hacer lo correcto con sus usuarios. Los usuarios promedio no suelen tener forma de saber cómo se maneja su información, fuera del lenguaje estereotipado de las políticas de privacidad que las compañías publican en sus sitios web. Lejos de estar creando un bloqueo total de la información, ya estamos viviendo en la nube.