Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Pasos a seguir antes de subir en la nube

Fecha de publicación 13/06/2017
Autor
INCIBE (INCIBE)
Pasos a seguir antes de subir en la nube

Toda la información que se recibe, se genera o se conserva en la empresa en el desarrollo de su actividad son activos de negocio, de conocimiento, intelectuales, etc. Parte de esta información se almacena durante un tiempo porque supone una evidencia de que se ha realizado una transacción comercial o profesional, es decir, está sujeta a algún tipo de obligación legal. Por ejemplo los contratos de servicios o de personal, las facturas, presupuestos, etc. Pero, ¿sabemos qué tenemos que tener en cuenta si subimos toda esta información a la nube?

Este tipo de información requiere un tratamiento específico durante todo su ciclo de vida, ya que se deben conservar sus características de autenticidad, fiabilidad y usabilidad y en algunos casos serán confidenciales. Pueden estar en papel, pero también en formatos digitales como: ficheros de documentos, hojas de cálculo o pdf, bases de datos, formularios web, ficheros de imagen, video o multimedia, ficheros CAD, xml, sms, páginas web, ficheros de log, etc. Además están gestionados desde todo tipo de aplicaciones comerciales o ad-hoc, y desde todo tipo de dispositivos: PC, portátiles, tabletas o móviles. A toda esta complejidad se añade la nube, difusa y dispersa. Por eso si, utilizamos servicios cloud ¿cómo hacemos para cerciorarnos de que se conservan las propiedades de nuestra información?

Las pymes en la nube

Aunque el uso de la nube es aún incipiente entre las pymes y autónomos, informes como el de Vodafone o el de Sage o los datos del INE, demuestran que el interés por este tipo de servicios es creciente.

INE Encuesta de uso de TIC y CE en empresas 2015-2016 (primer trimestre) % de empresas que...

Los datos de la Radiografía Sage de la pyme 2015 indican que el 48% percibe como una ventaja el fácil acceso, un 26% que no necesita infraestructura y un 10% que reduce costes, entre otras.

El Análisis de la digitalización de autónomos y pymes, España 2016 de Vodafone concluye:

Asegurando nuestros activos en la nube

Puede que resulte rentable y atractivo, pero antes de subir cualquier servicio o cualquier información de la empresa a la nube, y en particular aquella sujeta a alguna obligación legal, tenemos que evaluar al proveedor y eso lo haremos con estas preguntas. Entre ellas destacamos que es conveniente saber si están auditados y certificados periódicamente por terceros.

En caso de que los datos que vamos a trasladar a la nube estén sujetos a la LOPD y los servidores estén fuera del EEE, tendremos que saber si están alineados con el nuevo Reglamento europeo de protección de datos en lo relativo a la transferencia de datos internacional.

Y es que la nube está formada por servidores esparcidos por todo el planeta y al subir nuestra información a ellos se difumina el perímetro de nuestra red corporativa. Si vamos a ofrecer a nuestros empleados o a nuestros clientes accesos a servicios en la nube tendremos que revisar todo lo referente al control de accesos.

Por último, pero no menos importante, siempre que el servicio o la información sea crítica para nuestra empresa tendremos que considerar tener un plan B por si ocurre lo peor.

En la siguiente infografía tienes una lista con lo que debes solicitar antes de contratar algún servicio en la nube y los derechos que no has de ceder.

CONTRATA EN LA NUBE CON SEGURIDAD. Antes de contratar: Analiza los requisitos de seguridad que necesitas para ese servicio. Verifica que el servicio se ajusta a los requisitos de seguridad de tu negocio. Asegúrate de que el proveedor entiende estos requisitos. Solicita por escrito La ubicación del centro de datos para verificar si cumple con la LOPD en caso de que vayas a transferirles datos personales. Las medidas de seguridad que tiene operativas el proveedor para el servicio: actualizaciones, backups, auditorías, cifrado de las comunicaciones, doble autenticación para el administrador, medidas contra incendios. .. Las garantías de que tus datos estarán separados y no serán accesibles por otros dientes. Las condiciones de disponibilidad del servicio y las medidas de continuidad en caso de incidente o de desastre. La escalabilidad del servicio y su precio por si aumentan o disminuyen tus necesidades. Las condiciones del servicio de atención a clientes que te ofrecen: idioma, horario, teléfono o email,... Las condiciones de portabilidad por si quieres cambiar de proveedor. Ejercita tus derechos. Solicita una certificación de seguridad adecuada al tratamiento de tus datos o comprueba si el proveedor está adherido a algún sello de confianza o a código de conducta. Verifica la seguridad del proveedor respecto al servicio que ofrece mediante una auditoría externa. Y exige que las transacciones y transferencias de datos sean cifradas. Tienes que poder acceder a los registros (logs) sobre quién accede a tus datos y a los servicios que tienes desplegados. Tienes que ser notificado ante cualquier incidente de seguridad del proveedor que afecte a tus datos o a los servicios que tienes desplegados. Y que poder comprobar el historial de caídas de los servidores del proveedor o si ha sufrido algún incidente de fuga de datos. Tienes derecho a que se respeten las condiciones pactadas de escalabilidad (tiempo de respuesta, precio,.. .). Exige los niveles de atención y de servicio del ANS, y en su caso las penalizaciones que se pacten. Exige un certificado de destrucción de tus datos una vez terminado el contrato.

Tanto si contratas en la nube un servidor de correo, un servidor web, un CRM o un servicio de almacenamiento como si decides contratar capacidad de proceso para instalar tus aplicaciones tienes que trasladar la seguridad que exiges a tus instalaciones en local, a la nube. No olvides que tus activos de información siguen siendo igual de confidenciales y tienen que mantenerse íntegros y estar disponibles cuando los necesites.