¿Es seguro tener mi información en la nube?

Yunius es un sistema que guarda la información crediticia de las instituciones de financiamiento “en la nube” desde el año 2000, cuando el sistema aún era conocido con el nombre de eSIACOM. En ese año, sacamos una propuesta al mercado que liberaba a las instituciones de tener que invertir en infraestructura computacional para hospedar un sistema y en cambio se proporcionaba como un servicio: éramos proveedores de una aplicación como servicio (ASP).

seguridad en la nube

Hoy, en esta era tecnológica, el concepto “nube” es mucho más conocido; este concepto, viene del inglés Cloud computing, el nombre que se le dio al procesamiento y almacenamiento masivo de datos en servidores que alojen la información del usuario; en términos más simples, es guardar tu información en Internet.  Todo esto con el fin de tener el acceso instantáneo y en todo momento a tus datos desde donde estés, a través de cualquier dispositivo móvil (teléfonos inteligentes, tabletas, etc.), computadoras de escritorio o notebooks.

¿Pero qué tan seguro es guardar tus cosas en la nube?

Hasta hace unos años la información, los documentos y los datos los usábamos de otra manera, pero con la tecnología actual, cada vez estamos más acostumbrados a hacer un uso de servicios en lugar de poseer objetos; por ejemplo, se compra un iPod y se baja música en lugar de comprar un CD, se paga por Netflix y se ve lo que se quiera en lugar de comprar un VHS, DVD, Blue Ray o rentar una película.

La seguridad de lo que respalda un servicio de almacenamiento en la nube, pasa por la rentabilidad del servicio, si la empresa oferente del servicio no tiene el suficiente cuidado existen mayores riesgos de seguridad que teniendo la información en servidores propios en nuestras oficinas (a esta otra modalidad se le llama “on premises”, porque además se encuentran susceptibles a peligros reales como perderse, dañarse o ser robados). Esto no debe ser una alarma, sino una precaución, si la empresa oferente del servicio es cuidadosa la información estará más segura que en nuestras oficinas, pero hay que estar seguros de que así sea.

Precauciones a tomar con un sistema en la nube

Por la vulnerabilidad que existe en torno a los servidores de información, tanto para el caso “on premises” como para el caso “en la nube”  existen medidas básicas a tomar en cuenta para mitigar los riesgos de la información que tengamos en la nube.

Los siguientes cinco puntos a considerar para asegurarnos de usar seguramente los servicios en la nube se aplican de manera genérica a aplicaciones como Dropbox, Drive, … Lo hemos tomado como base para hablar de las características de Yunius y el conjunto de implementaciones que usamos para garantizar la seguridad y disponibilidad de la información de nuestros clientes:

1.- Contraseñas.

Las contraseñas representan la primera línea de protección en materia de seguridad, es necesario usar contraseñas largas y complejas que incluyan todo tipo de caracteres (mayúsculas, minúsculas, números y símbolos). Yunius implementa un control de acceso a la información de sus clientes con un conjunto de cuatro datos: nombre y contraseña de la empresa y del usuario, que pueden ser tan complejas como el usuario o la empresas decidan, el primer conjunto de nombre de empresa-contraseña puede administrarse centralmente y es muy útil para facilitar una política de renovación constante de contraseñas, aún cuando el usuario no actualice su contraseña la empresa lo puede hacer. 

contrasen%cc%83as

El usuario con los permisos correspondientes puede especificar la complejidad de la contraseña que se implementará en la empresa, por medio de los parámetros del sistema.

contrasen%cc%83as02

2.- Limitar y clasificar la información.

Aunque en términos globales este punto se refiere a: Detectar los archivos que consideremos más sensibles y no almacenarlos en la nube. Para el caso de un sistema como Yunius lo que hacemos es establecer un sistema de obtención de permisos de acceso a subconjuntos de la información y de las funciones del sistema definibles por el usuario administrador: un usuario puede tener permisos de acceso solamente a ciertas pantallas del sistema, la información que ve ahí puede ser de solo lectura o de edición, pero además puede ver solamente una división de la financiera o solo la información de los oficiales de crédito a su cargo, o solamente su información, por ejemplo. Adicionalmente en varios puntos del sistema se implementan controles de “autorización escalonada” lo que implica que un usuario con mayores privilegios debe de aprobar la solicitud o petición de otro usuario.

informacion01

informcion02

informacion03

informacion04

3.- Encriptar.

Si se usan sistemas Cloud, asumir que el contenido que se envía dejará de ser totalmente privado, por lo que es recomendable encriptarlo antes de enviarlo, incluyendo copias de seguridad. En este caso el sistema Yunius emplea un conjunto de técnicas que derivan en el aseguramiento de la transmisión de datos entre el servidor y la aplicación cliente. En primer lugar la información solamente puede ser accedida por medio de la aplicación cliente y por lo tanto con los permisos de acceso definidos y solamente por quien posee las “credenciales para hacerlo”. En segundo lugar la información viaja desagregada en paquetitos y sin metadatos, viaja, por ejemplo un conjunto de números, como: 54.23, 2,660 y 12.13 pero sin su metadato, no se sabe si ese dato corresponde a una fecha, al saldo, al pago, a una tasa de interés o de recargo o a un código, … Estos paquetes salen por partes (un número aleatorio de partes, en cada caso de consulta) del servidor y la aplicación cliente los conjunta, los datos además viajan comprimidos y encriptados.

4.- Revisar las configuraciones por defecto.

Es importante, poner atención cuando aceptamos las condiciones y no «aceptar y olvidar» como sucede en la mayoría de las ocasiones. Este punto es equivalente a decir que si no se usan las diferentes herramientas que se han implementado en Yunius para aumentar la seguridad en el acceso y transmisión de la información almacenada en la nube se tendrán vulnerabilidades, sino se usan adecuadamente los permisos de usuario cualquiera puede ver toda la información o incluso cambiar los permisos de acceso, una contraseña pobre o que nunca cambia puede ser el punto de acceso para alguien con malas intenciones.

5.-Un sistema de seguridad.

Utilizar un software específico acorde a nuestras necesidades y mantenerlo actualizado en todos nuestros dispositivos es un requisito básico de seguridad. Para el caso de Yunius nosotros recomendamos, no solamente un sistema, sino también un conjunto de políticas. Un sistema antivirus con controles para impedir la suplantación de la identidad es una gran ayuda complementaria, también sistemas para administración de contraseñas y mecanismos para encriptación de documentos sensibles. Pero también ayudará tener políticas claras y auditadas periódicamente sobre los  puntos 1, 2, 4 y 5 de este artículo. ¿Qué pasaría si en un documento se guardan las contraseñas de la empresa y los usuarios y los permisos de acceso y cayera en las manos equivocada? Esa información en necesario guardarla con contraseña, con controles por permiso de acceso.

Como se puede ver la labor de asegurar un entorno en la nube es una labor conjunta entre el oferente del servicio y el usuario del sistema. En este caso Yunius utiliza avanzadas opciones al servicio de nuestros usuarios para los tres primeros puntos y nuestros clientes deben hacer su parte usando esos mecanismos y asegurando sus entornos y equipos.



¿QUIERES SABER MÁS?
Suscríbete a nuestro boletín para recibir más información útil sobre el sector financiero.
Mantenemos tus datos en privado. Aquí puedes conocer nuestro AVISO DE PRIVACIDAD

Ideas tomadas de:

http://www.conexionbrando.com/1389864-que-es-la-nube-para-que-sirve-y-cuales-son-los-servicios-que-tenes-que-conocer

https://hipertextual.com/archivo/2014/04/confianza-nube-guardar-archivos/

http://cincodias.com/cincodias/2014/11/21/finanzas_personales/1416558310_843638.html

http://www.abc.es/tecnologia/consultorio/20140919/abci-claves-seguridad-nube-cloud-201409191628.html

Imagen de flickr.com (Licencia Creative Commons, Algunos derechos reservados: CC by SA 2.0) http://www.bluecoat.com/