Las empresas están tomando cada vez más espacio cara al exterior de los firewall corporativos. Los empleados están usando, cada vez más, sus propios dispositivos móviles o informáticos -lo que se conoce como BYOD (Bring Your Own Device) - por lo que el fenómeno Cloud en la empresa se está enfocando hacia el usado en el mundo del consumidor. Esto permite a los empleados colaborar unos con otros o con sus partners, consultores o clientes.

Incluso aunque servicios como Dropbox o SkyDrive están sancionados por el Dpto de IT de las empresas, estas tienen casi "nula" seguridad en los que respecta a la confidencialidad de lo que sus empleados guardan en la nube. No es solo que existan pocos métodos de control documentados por parte de los proveedores de estos servicios, es que no es posible para una empresa realizar auditorías constantes sobre la infraestructura de los mismos ni sobre sus procesos para, de esta forma, estar tranquilos sobre su privacidad.

Un Ejemplo reciente de esta inseguridad fué publicado por WNC Infosec, que descubrió accidentalmente por medio de uno de sus investigadores que el servicio Dropbox abre ciertos archivos una vez han sido cargados en la nube.

Aunque podemos pensar que para individuos corrientes no existe problema en confiar su material diario a estos servicios cloud, las empresas deben adherirse a un mayor estándar de seguridad si quieren mantener el control sobre sus datos sensibles y cumplir con las leyes de protección de datos personales (tan de noda ahora mismo) ¿Qué se puede hacer?

Requerimientos de Seguridad Cloud

Con el objetivo de asegurar que se cumplen las políticas de seguridad sobre cloud, el departamento de IT necesita saber:

1. Quién accede y comparte.
2. Qué documentos.
3. En qué servicio de almacenamiento Cloud.
4. Que el proveedor cloud no pueda sobrepasat las políticas de seguridad establecidas por la empresa o acceder a los datos.

Cuatro pasos para establecer una política de seguridad Cloud

1. Una aproximación basada en el riesgo : no es realista el "securizarlo todo". Debemos fijarnos en los procesos de negocio y cuantificar el riesgo asociado a cada uno de ellos, para después relacionarlo con un apropiado nivel de seguridad y control.
2. Normativa y sanciones : documentar claramente la política de la empresa al respecto y comunicarla de forma transparente y efectiva al empleado.
3. Implantar una solución de seguridad fácil de usar : si los empleados la encuentran un obstáculo acabarán bordeándola para realizar su trabajo. Los días en que el departamento de IT dictaban al resto como comportarse han acabado.
4. Anticiparse al desastre : implementar un sistema de seguridad a nivel de contenido que elimine el riesgo posible de que el proveedor falle al implementar sus protocolos de seguridad y controles.

Estableciendo seguridad en el objeto

Para eliminar el riesgo asociado a un limitado o defectuoso sistema de seguridad del lado del proveedor Cloud, las empresas están estudiando medidas propias, en particular incrustando la seguridad en el propio objeto o dato. Esta aproximación convierte a la seguridad en transportable y ayuda a reducir o incluso eliminar las preocupaciones sobre la integridad de la infraestructura cuando el documento está siendo almacenado. También proporciona más flexibilidad, permitiendo a las empresas y sus empleados usar el servicio de almacenamiento cloud que mejor satisfaga sus necesidades.

Como elemento fundamental de esta visión señalaremos el Cifrado de contenido. Sin el cifrado es practicamente imposible proteger los datos de las diversas técnicas de espionaje existentes. Sin embargo, para que sea efectivo, el cifrado debe satisfacer cuatro requerimientos básicos:

- El cifrado debe ser aplicado al contenido , no al contenedor. Ejemplos de cifrado de contenedor podrían ser los basados en disco (esto es, cifrar algo escrito en una unidad de disco cualquiera), o las VPN IPsec (cifrar algo introduciéndolo en un túnel virtual). Aplicar difrado al contenido requiere aplicar criptografía directmente al archivo, objeto/dato primario.

- El cifrado debe ser end-to-end (dispositivo a dispositivo). Esto quiere decir que debe ser aplicado al contenido cuando este es creado para su transmisión a la nube. Si uno de estos elementos se descuida, las brechas en la seguridad o vulnerabilidades podrían aparecer.

- El cifrado debe estar correctamente implementado . Incluso tras las revelaciones que hemos publicado referentes a la actividad de la NSA, no se ha hallado evidencia que sugiera que las técnicas de cifrado fuertes sean vulnerables. Lo que sí está claro es que, si la protección no está correctamente configurada o se usan opciones débiles, la protección deja de ser tal.

- La Administración de claves debe ser tanto segura como operacionalmente viable. Es bien sabido que la administración de claves es el aspecto más complicado de implementar en las técnicas de cifrado. Conviene investigar cuidadosamente las formas de trabajo de la tecnología escogida. Siempre se puede consultar a otras compañías del sector que hayan implementaod dicho sistema.

Más allá del cifrado, la seguridad basada en contenido puede incluir. Podemos establecer un "fin de vida" o una franja de uso para los archivos, periodos tras los cuales la información ya no será accesible. También podemos, mediante registros, seguir en tiempo real las modificaciones que ha sufrido el archivo en cuestión.

Además, la adjudicación de una clave de cifrado puede ser de utilidad para desbloquear el contenido en condiciones de emergencia, sin el consentimiento del dueño del documento. Esto puede ser crítico durante una investigación de seguridad o tras la marcha de un empleado de la empresa.

La fuerza con la que se ha asentado la tecnología cloud y el BYOD está forzando a las empresas a repensar y rediseñar sus sistemas de seguridad para volver a tomar el control de la situación. Mediante la seguridad orientada al contenido, es posible asegurar y auditar los datos en la nube sin importar el soporte o empresa que facilita el servicio cloud.