Al mismo, tiempo vemos como las brechas de seguridad y robos de información son cada vez más comunes y hay quién se pregunta hasta qué punto estos dos hechos pueden están relacionados. ¿La adopción de soluciones en la nube aumenta realmente el riesgo de convertirnos en víctima de un ataque? Es una pregunta válida y directa, igual que la respuesta: No.
Hay que recordar que correlación no implica causalidad, un error muy común que suele suceder en todos los ámbitos. Para ilustrarlo, un ejemplo es el que muestro a continuación, donde claramente se ve que según van disminuyendo el número de piratas y bucaneros en el mundo, la temperatura media del mundo aumenta. La solución es lógica: debemos comenzar cuanto antes a construir buques piratas y formar una gran cantidad de piratas para que las temperaturas bajen.
A pesar de que es cierto que al mismo tiempo que disminuyen los piratas aumenta la temperatura media, una cosa no es consecuencia de la otra. Podría construir una gráfica con la evolución de empresas adoptando la nube versus incidentes de seguridad y obtendríamos un resultado aparentemente coherente; pero la verdad es que en el caso de la seguridad de nuestra información, la utilización de soluciones en la nube per se ni aumenta ni disminuye los riegos de sufrir un ciberataque.
Sí es cierto que el uso de los servicios que la nube nos ofrece implica cambios en la estrategia de la seguridad en la empresa, con sus pros y contras. La cantidad de recursos con los que cuentan los equipos de seguridad de grandes multinacionales como Google, Amazon o Microsoft están a años luz de lo que la mayoría de empresas puede tener en casa, lo que claramente incrementa el nivel de seguridad de la información manejada.
Pero no debemos confiarnos. Un punto crítico a tener en cuenta es que estamos tan protegidos como el eslabón más débil de la cadena. Por ejemplo, todas las medidas de seguridad que ofrezca nuestro proveedor en la nube serán inútiles si desde nuestro lado para acceder a la información basta con utilizar un usuario y contraseña sin ninguna otra comprobación. Es por ello que debemos disponer de políticas que marquen claramente unos mínimos, donde pasos como el uso del doble factor de autenticación o el control de los dispositivos desde los que se puede acceder, sean obligatorios.
Hay documentados numerosos casos en los que la exposición de información confidencial no ha venido por un ataque externo, sino por la ineptitud de quienes la manejaban y debían custodiarla. Un claro ejemplo es el que ha tenido lugar este año –uno de los mayores casos sucedidos hasta el momento- donde un investigador encontró información detallada de más de 198 millones de votantes estadounidenses expuesta sin ningún tipo de protección. Los 25 terabytes de datos habían sido subidos a la nube de Amazon y ni siquiera hacía falta contraseña para acceder a los mismos.
Otro punto de vista en la problemática Cloud vs. Seguridad es la parte en la que las soluciones de seguridad hacen uso intensivo de la nube para ofrecer servicios de seguridad avanzados que protejan los activos de las empresas. Aquí hemos visto desde el principio una clara línea divisoria entre PYMEs y grandes empresas.
Mientras las primeras abrazaron rápidamente el modelo, ya que les permitía abaratar costes a la vez que aumentar la capacidad de protección, grandes empresas y –especialmente- administraciones públicas contaban incluso con políticas definidas que impedían la implementación y uso de cualquier solución que hiciera uso de la nube.
Afortunadamente, la situación ha evolucionado notablemente en los últimos años, sobre todo cuando los equipos internos de seguridad de las empresas y administraciones han podido comprobar cómo mejoraban sus capacidades defensivas y de reacción a incidentes con este tipo de soluciones.
Con la puesta en marcha del GDPR en unos meses muchas empresas deberán revisar todos sus procesos para asegurar su adaptación al nuevo marco normativo europeo, lo que seguramente incidirá, entre otras muchas cosas, en una mayor adopción de soluciones basadas en la nube. La prevención por parte de las organizaciones que tratan datos pasa a ser el aspecto base del Reglamento. Esto es la denominada responsabilidad proactiva de las empresas, que juega aquí un papel diferencial. Actuar sólo cuando ya se ha producido una infracción es insuficiente como estrategia, ya que esa falta puede causar daños irreversibles a los interesados que pueden ser muy difíciles de compensar. Hablamos de una protección de datos desde el diseño del plan.
