En una columna especial de Gabriel Paradelo, socio de Foresenics publicada en el diario El Cronista Comercial desarrolla seis claves de seguridadpara tener en cuenta en el mundo Cloud. A continuación mostraremos los tips:
1) Fallas
El 42% de los incidentes de seguridad en servidores, se dan en aquellos que son propios de las empresas y que no están en la nube. Y un servidor particular es cuatro veces más susceptible de una violación.
2) Riesgos
En el mercado de seguros el uso de servicios en la nube crece vertiginosamente. Hoy es imposible imaginar la gestión de los productores sin el correo electrónico, o el uso de una agenda en la web. En cierto modo, los riesgos de almacenar información de terceros, en un lugar distinto de donde se practica el negocio, son «democráticos»: nadie se salva. En la Argentina, muchos abogados de aseguradoras usan Dropbox, cuyo servicio de almacenamiento fue atacado por hackers que habían robado contraseñas de acceso de otros sitios web.
3) Ataques
En alguno de los casos más célebres (Apple) los ataques pudieron ser conducidos por medio de:
- Ingeniería social. Los hackers pudieron dedicarse a adivinar contraseñas de las cuentas de las celebridades. Una vez que el atacante obtiene un ID de acceso, puede intentar ingresar al sitio deseado usando la funcionalidad de «Olvidé mi contraseña».
- Ataque de fuerza bruta: cualquiera que consiguiera el ID de un usuario puede intentar introducir la contraseña cientos o miles de veces, hasta acertarle a la correcta.
- Intercambio de «tarjetas». Las imágenes pudieron recopilarse entre varios hackers.
4) Consecuencias
Seamos claros, la aseguradora (o productor) que sube data a la nube, delega el control de la seguridad de esa información en un tercero, que es el proveedor del servicio. La responsabilidad recae en los miembros del Directorio y gerentes.
5) Contrato
Lo principal es negociar un contrato de provisión, el proveedor debe garantizar al cliente que los terceros que accedan a la data almacenada. Para cumplir con el régimen legal, la Ley 25.326, de Protección de Datos Personales, sobre todo cuando la información subida cruza fronteras, el contrato de servicios debe establecer, cómo se conservará la data, para lograr la transparencia del servicio, identificando a los terceros que tengan acceso a la misma, tal como explica el especialista Paradelo.
Es recomendable estudiar los protocolos de seguridad del proveedor para saber cómo reaccionar en caso de incidentes. También, investigar la arquitectura de los sistemas del proveedor, sus aplicaciones, métricas y certificaciones de seguridad y servicio. Este conocimiento previo le dará la oportunidad de negociar los cambios por anticipado.
6) Negociar
Antes de subir información, el cliente debería ser capaz de negociar esas cuestiones con su proveedor y ver aquellas condiciones que no va a ceder. En última instancia, siempre habrá otro proveedor más flexible.
