Está claro que la forma en la que, como usuarios, hemos decidido utilizar los servicios en Cloud es tan radicalmente nueva y diferente, que los conceptos tradicionales de seguridad IT se han visto desbordados. Confidencialidad, integridad y disponibilidad (la triada de la Seguridad IT) son realidades que se entremezclan y a las que se incorporan inevitablemente nuevos problemas, como la privacidad de los datos personales.
Hace muy poco tiempo, nos escandalizábamos si una empresa hacía un uso poco adecuado de nuestros datos personales. Nos parecía un problema tan grave que nos planteábamos incluso denunciarlo ante la Agencia de Protección de Datos. Ahora, no tenemos reparos en colgar nuestro currículum con todos nuestros datos personales y ponerlo a disposición de todo aquel que quiera consultarlo.
En el mundo empresarial la evolución ha sido similar. Ahora, los empleados de una empresa utilizan ordenadores portátiles, tablets o smartphones con información clasificada como de alto nivel alto sin estar cifrados. No hace tanto tiempo, nos parecía una locura acceder desde un cibercafé a alguna aplicación que manejara datos sensibles. Ahora, nos conectamos al WiFi de cualquier cafetería y empezamos a trabajar.
Entonces, ¿qué hacemos? ¿Renunciamos a la seguridad? ¿Damos la batalla por perdida? Evidentemente no. Simplemente es necesario cambiar el enfoque. La seguridad IT, y especialmente la de los Centros de Datos, ya no pueden seguir gestionándose como hace cinco años. Tenemos que asumir que la sociedad usa Internet y la tecnología como mejor le parece, y que contra esto no se puede pelear. Tenemos que entender que dentro del nuevo escenario de la seguridad de los sistemas de información hay que ser creativos, y encontrar la manera de aplicar a nuestro mundo virtual modelos de seguridad adecuados a los nuevos tiempos.
Por ello, hoy más que nunca la gestión de la seguridad de cualquier proyecto IT requiere de profesionales altamente cualificados y especializados. Todas las complejidades actuales en materia de seguridad deben ser asumidas por proveedores de servicios IT, que gracias a la economía de escala pueden ofrecer a sus clientes medidas de seguridad que, bajo un modelo internalizado, difícilmente se podrían amortizar. Hablamos de la redundancia de elementos críticos (climatización, hardware, conectividad, electricidad…) y el mantenimiento 24×7 de los sistemas por parte de personal especializado, por citar sólo algunos elementos. Esas medidas, y otras muchas más que resultarían interminables de enumerar, son incorporadas por defecto a los servicios que los proveedores comercializan.
Y a pesar de todo ello, raro es el usuario que no ve spam en su buzón de vez en cuando, y no hay mes en el que no veamos una noticia de un ataque de denegación de servicio que ha tumbado una página web. ¿El motivo? Que ahora mismo, el volumen de ataques que recibe cualquier servidor conectado a Internet es muy alto y totalmente indiscriminado. En la mayoría de las ocasiones los “malos” no atacan un servidor porque es de una u otra empresa. Lo hacen porque está disponible y es vulnerable.
En este nuevo escenario, soluciones como detección y prevención de intrusiones, análisis y gestión de vulnerabilidades y parches, auditorías de seguridad del código de las aplicaciones, o cortafuegos de aplicaciones web, se convierten en una necesidad irrenunciable. Son herramientas de seguridad que tienen que estar, y no parece demasiado sensato plantearnos poner una aplicación en Internet sin contar con estas medidas de seguridad preventivas.
La realidad nos sitúa ante un horizonte complejo pero también alentador. Las formas en la que proteger la información en el mundo digital deben ser completamente diferentes a las que planteábamos hace apenas unos pocos años. Como siempre, renovarse o morir. Pero sobre todo, hacerlo desde una perspectiva y con un asesoramiento profesional. De lo contrario cualquier inversión que hagamos resultará tan ineficaz como lo sería una muralla medieval para defender una ciudad del siglo XXI.
arsys
Director de Operaciones
