Recomendaciones para almacenar información en la nube de manera segura
- Cloud
La nube se ha convertido en una de las herramientas más utilizadas por organizaciones de cualquier tamaño y sector, principalmente como medio de almacenamiento de información. Para garantizar que esto se hace de manera segura es preciso clasificar adecuadamente la información y establecer mecanismos de cifrado y borrado seguro.
Ya se utilice como sistema de almacenamiento de copias de seguridad o como sistema de almacenamiento de información, las ventajas de utilizar servicios de almacenamiento cloud son diversas, como la descentralización, el acceso desde cualquier ubicación con acceso a Internet o el ahorro de recursos. La mayor preocupación que surge del uso de estos servicios es que la información deja de estar almacenada internamente y se guarda en el servicio contratado. Para garantizar su seguridad, el Instituto Nacional de Ciberseguridad (INCIBE) aporta una serie de recomendaciones relacionadas con la forma de gestionar la información en este tipo de servicios, tanto a la hora de almacenarla, como de usarla y posteriormente de borrarla.
El primer paso a la hora de gestionar los datos de nuestra empresa en la nube será identificar qué tipo de información es susceptible de ser almacenada y cuál no, implementando un procedimiento que clasifique la información. Existen múltiples criterios que se pueden utilizar para clasificar la información, y que deberán contemplar en qué estado quedaría la organización en caso de pérdida, robo o un acceso no autorizado.
A la hora de clasificar la información hemos de comenzar por realizar un inventariado donde se establezcan cuáles son los criterios de clasificación de la información, como, por ejemplo, por su nivel de confidencialidad. Así habrá información accesible públicamente, otra accesible únicamente por el personal interno de la empresa, y otra accesible solo por la dirección o personal concreto, considerada esta como información confidencial.
Una vez identificados y clasificados adecuadamente todos los activos de la información, se ha de establecer cuáles podrán ser almacenados en la nube y cuáles no, junto con los mecanismos de seguridad a seguir en caso de decidir subirlos a la misma. En base a la clasificación previa, como norma general, se recomienda que los datos clasificados como información confidencial no sean nunca almacenados en la nube, sino en los servidores internos de la organización.
Si la información es para uso interno, hemos de garantizar que no se pueda acceder a la misma sin la autorización correspondiente. Para evitar accesos no autorizados implementaremos el uso de herramientas de cifrado, gracias a las cuales la información únicamente será accesible para aquellos usuarios que conozcan la clave de descifrado.
La información almacenada en la nube, como cualquier otra información, tiene un ciclo de vida. Cuando deja de ser útil para la empresa, esta se borrará de forma segura para evitar que con posterioridad pueda ser recuperada. El servicio de almacenamiento contratado debe ofrecer garantías suficientes para que el borrado sea seguro y completo.
Por otra parte, teniendo en cuenta que el principal riesgo de cualquier servicio de almacenamiento en la nube es que se produzca un acceso no autorizado, para reducir este riesgo al máximo posible INCIBE recomienda asimismo, establecer credenciales de acceso al servicio lo más robustas posible, y si es posible con doble factor de autenticación (2FA); mantener todo el software actualizado a su última versión; tener activo el cortafuegos, de la red o del equipo y el antivirus; y utilizar una conexión VPN o la red de datos móviles.