Garantizar la seguridad de la información corporativa en cloud
Establecer una estrategia clara, clasificar los documentos que se quieren llevar a la nube y elegir el proveedor de servicios de almacenamiento en la nube más conveniente, son algunas de las reglas básicas que Panda Security aconseja seguir.
Apostar por el cloud es una necesidad para las empresas, pero, teniendo en cuenta que el tipo de información corporativa que guardan en la nube, es importante que sepan el camino que siguen sus datos, dónde van a parar y cómo están protegidos, algo que muchas desconocen.
Normalmente, es una empresa externa la que les proporciona este servicio, manteniendo los servidores que guardan los documentos al colocarlos en esa carpeta compartida. Independientemente de estos servidores no estén en su propiedad, la responsabilidad sobre la gestión de la información sensible recae sobre la compañía contratante. Para evitar que un ataque penetre en los sistemas o que los datos se acaben filtrando por un fallo de seguridad, el primer paso es tomar ciertas medidas de precaución, señalan desde Panda Security.
Según los expertos de seguridad de Panda, un buen punto de partida es la creación de una política corporativa para establecer una estrategia clara. La información alojada en la nube es accesible desde muchas clases de dispositivos, tanto propios como de terceros, por lo que la mejor manera de tener control sobre ella es saber qué estamos compartiendo y con quién. Por eso es importante clasificar los diferentes tipos de documentos según su confidencialidad y el nivel de privacidad que requieren, y determinar cómo van a almacenarse en la nube en base a estos principios. Por ejemplo, el nivel de precaución debe incrementarse cuando en el caso de que se trate de patentes u otro tipo de creaciones con derechos de propiedad intelectual.
Panda Security pone como ejemplo el Estándar de Buenas Prácticas del Fórum de Seguridad de la Información, que ya utilizan muchas corporaciones a nivel global. Dicho documento reúne las principales amenazas y riesgos, su evolución, y alude a la necesidad de las organizaciones de saber responder ante el cibercrimen, actividades de ‘hacktivismo’ o incluso espionaje.
Una vez clasificado el tipo de información, es importante saber elegir el proveedor de servicios de almacenamiento en la nube más conveniente, ya que todos implementan las mismas medidas de seguridad. Además, estas empresas tienen acceso a los archivos que se depositan en sus servidores, por lo que conviene ser selectivos y asegurarse de que serán capaces de proporcionar el nivel de protección necesario.
También se debe tener en cuenta es la actualización y renovación de la infraestructura que proporcionan, así como el software para gestionar los flujos de información, ya que puede afectar a los datos. Conocer con qué frecuencia se producen cambios y asegurarse de que el contrato garantiza la confidencialidad, integridad y accesibilidad de los archivos resulta crucial.
Por último, en caso de se quieran eliminar todos los datos de sus servidores, hay que asegurarse de que se puede destruir la información de verdad, y no solo de las pantallas del ordenador.
