Antes de que se contrate un proveedor es necesario primeramente que se conozcan cuáles son sus garantías.
Muchas personas creen que los cibercriminales tienen como objetivo las grandes empresas, pero pocas saben que, durante 2015, el 43% de los ataques por phishing fueron dirigidos a pequeñas y medianas empresas, de acuerdo con el informe de Internet Security Threat, de Symantec.
El robo de información de los usuarios y de las empresas es una preocupación para el 58% de las pymes entrevistadas en un estudio reciente, publicado por el proveedor de protección de identidad CSID. Sin embargo, el 51% de esas empresas no invierten en protección para evitar ese tipo de riesgos.
Las inversiones no suceden no solamente por la falta de interés, sino también porque muchas de las empresas de pequeño porte no tienen capital para tal fin. En esos casos, lo que algunos especialistas indican es que se contrate un servicio de seguridad SaaS a partir de un proveedor de servicios de Nube (CSP).
La Nube es un campo conocido por las pequeñas empresas y muchas ya se unieron a esta tendencia. De acuerdo con Microsoft el 74% utilizan de algunas aplicaciones basadas en la Nube, tales como el email, banca online y redes sociales, entre los más comunes. De acuerdo con CDW el 76% de las pequeñas empresas redujeron sus costos al mover sus aplicaciones a la Nube y han economizado un 24% al año.
Una de las dudas más comunes en relación al unirse o no a la Nube es la cuestión de la seguridad. El hecho de que la información esté disponible para el acceso online genera inquietudes en relación a su vulnerabilidad. Para solucionar eso, las empresas proveedoras de la Nube tienen que prepararse para invertir en plataformas, lenguajes y herramientas específicas, también dejar a disposición un equipo especializado que cuide de los datos almacenados, que luche contra los ataques y fallas de seguridad para que el sistema no se caiga.
Al contratar un proveedor, la empresa debe informarse sobre los principales puntos de seguridad y no se debe olvidar de hacer las principales preguntas sobre el tema:
1- ¿Qué servicios de criptografía de datos están disponibles?
Los datos estratégicos de toda organización deben guardarse con toda la seguridad posible, en un ambiente específico y mejor protegido a fin de evitar invasiones y, si esto sucede, que no accedan a los datos. La mayoría de las empresas tendrá que hacerle criptografía a los datos en reposo en el almacenamiento del servicio de la Nube y también a los datos en movimiento. El servidor más seguro debe ofrecerle ambas opciones.
2- ¿Quiénes son los responsables de la seguridad en las diferentes capas de servicio de la Nube?
En la mayoría de los arreglos de seguridad en la Nube, el proveedor administra la seguridad de la red y de los servidores hasta la capa hypervisor, que se encuentra entre el hardware físico y las máquinas virtuales, siendo el responsable por proveer los recursos de las máquinas físicas a las virtuales. En las otras capas, el usuario es el responsable por sus datos.
Para una protección extra, además de la capa de virtualización, existen otras posibilidades que pueden complementar el deseo que la empresa tiene de protección y dependiendo el grado de confidencialidad de los datos, es posible que se contraten otros servicios y que se cree una estrategia de seguridad colaborativa, aprovechando lo que hay de mejor en cada proveedor para llenar los vacíos de seguridad.
3- ¿Cuál es la práctica que el servidor tiene para el control de acceso a los datos?
Las empresas deben preguntarle a un CSP si emplea algún modelo menos privilegiado para limitar a quienes acceden a la infraestructura subyacente. El objetivo es que se minimicen los riesgos de secuestro de credenciales. Debe preguntarse también sobre la forma en la que el proveedor usa la autenticación multi factor para el acceso a sistemas críticos, tales como JumpBox (un computador en una red normalmente es usado para administrar dispositivos en una zona de seguridad separada) y servidores de automatización si poseen una relación de confianza.
4- ¿Con qué frecuencia se hacen los exámenes de penetración?
Es súper importante saber la frecuencia, el alcance de la limpieza y vulnerabilidad de los exámenes de penetración que se realizan en su red virtual. También es primordial saber sobre las etapas de corrección y cuáles fueron las actitudes que se tomaron para corregir determinadas fallas de seguridad. El servidor debe ofrecerle una copia de su política y procedimientos de seguridad para que el cliente evalúe y vea si está de acuerdo con sus necesidades.
5- ¿Cuáles son los certificados de seguridad?
Los certificados comprueban que el proveedor sigue estándares específicos de seguridad. Los principales son el PCI DSS para las transacciones de tarjeta de crédito y el estándar SOC 2 para datos contables.
6- ¿El contrato le permite flexibilidad de pago de acuerdo con su consumo de espacio en la Nube?
Una de las ventajas para las pequeñas empresas es que el servicio de la Nube puede adaptarse en medida que la empresa necesita aumentar o disminuir su infraestructura de tecnología. Como hay flexibilidad en relación al pago de los recursos de acuerdo con lo que se usa, es posible requerir más espacio o nuevas aplicaciones, de acuerdo con las nuevas demandas, siempre que lo necesite, lo que es una buena alternativa para startups en pleno crecimiento o para negocios que trabajan con temporadas, por ejemplo. Hable sobre este contrato con su proveedor y piense en las posibilidades.
Optar por los servicios de la Nube le abre la posibilidad de hacer que la empresa se vuelva más competitiva, ya que será más fácil reducir costos para invertir en nuevos productos o servicios y optimizar el trabajo del equipo. Sin embargo, la cuestión de la seguridad es fundamental y todos los puntos deben discutirse al momento de contratar un proveedor.
Fuentes:
http://www.darkreading.com/cloud/5-questions-smbs-should-ask-about-cloud-security-/d/d-id/1325418?
http://blog.rivendel.com.br/2014/07/07/empresa-na-nuvem-tire-suas-duvidas/
www.cio.com/article/2475415/data-center-cloud/small-businesses-seek-to-take-off-with-the-cloud.html
