Un proveedor de Cloud Computing (computación en nube) tiene equipos dedicados a la seguridad de los sistemas, lo que es una rareza fuera de las empresas de TI.
¿Cuantas empresas que no tienen TI como su core business tienen un servicio de monitoreo 24 horas? ¿O las que tienen TI como actividad principal, cuantas hacen ese monitoreo?
Técnicos dedicados al proyecto y al mantenimiento de la infraestructura, generadores, redundancia de equipamientos, backup de los datos, y de aplicaciones? Esa es la seguridad necesaria para tener los datos y los servicios de TI siempre disponibles.
Además de la garantía de disponibilidad de infraestructura, no podemos olvidar la seguridad en la gestión de acceso a la aplicación. Así como en cualquier aplicación que resida dentro de una empresa, un CRM o una boleta de pago, por ejemplo, existe el control de acceso que normalmente es realizado por medio de un usuario y contraseña.
Vamos a abordar algunos puntos:
• Usuario y contraseña: de la misma forma que los datos son sensibles para aplicaciones que están dentro de la empresa, también lo serán para aplicaciones en la nube.
Es necesario usar contraseñas fuertes, utilizar mayúsculas, minúsculas, caracteres especiales y números. Como esa aplicación no está dentro de su empresa, seguramente el registro de usuarios no esté vínculado al registro de logins de su empresa. Por ese motivo es importante tener especial atención al proceso de desvinculación de empleados para garantizar que en esa acción esté previsto deshabilitar el acceso de ese empleado.
Otro punto importante a tener en cuenta es que al estar la aplicación en internet pueda llevar a que otras personas que no sean funcionarios puedan intentar acceder a esta. Una nueva razón para volver más complejas las contraseñas y no descuidar la política de desvinculación de funcionarios.
• Compartir la infraestructura: normalmente la infraestructura (servidores, bases de datos, almacenamiento, etc.) es compartida por más de un cliente. Es eso que permite precio tan accesibles al ser comparados con el costo de instalar o mantener la aplicación dentro de la empresa. Aquí la preocupación debe ser la calidad del desarrollo. Esta debe ser desarrollada pensando en que debe estar aislada por completo de los datos de otros clientes.
Imagine que su empresa es cliente de un servicio de email de un proveedor y un día al abrir su casilla postal, usted ve mensajes que deberían ser de otra casilla postal. El criterio a tener en cuenta es buscar referencias sobre ese proveedor que usted esté buscando contratar. Busque hablar con clientes y ex clientes para conocer su satisfacción con el servicio prestado.
• Tráfico de informaciones sensibles: otra preocupación muy común es si es posible ver los datos que son transferidos por internet cuando sus funcionarios accedan a la aplicación.
Si la aplicación no estuviera usando SSL/TSL, común en sitios de internet banking, tiendas virtuales y e-brookers, los datos que serán transferidos por internet podrían ser vistos por personas malintencionadas con el conocimiento necesario para hacer eso. Pese a la preocupación que esto genera, es fundamental siempre pensar sobre cual es la importancia de que esos datos no puedan ser vistos por nadie. Si esos datos no fueran importantes, no habría necesidad de preocuparse por eso.
Mientras que si existe la real necesidad y la preocupación en que esos datos sean transferidos de manera sigilosa, se recomienda buscar un proveedor de software como servicio (SaaS) que proveea acceso a la aplicación vía SSL/TSL.
¿Que le preocupa en relación a la seguridad del Cloud Computing?
Joaquim Torres, Director de Productos de Locaweb.
El download de ese Press Release puede ser hecho