Seguridad para la nube

Cada cierto tiempo, el sector de la seguridad informática se reúne con algún motivo interesante. Puede ser un congreso con hackers, un simposio con directores de seguridad o unas sesiones con fabricantes. Sea lo que sea, hay que acudir (y así lo hacemos) para auscultar el mercado, las tendencias y las novedades.

En el caso que nos ocupa, y organizado por la revista SIC, tuvimos la oportunidad de pasar una mañana hablando de la nube y las implicaciones que pueda tener la seguridad en ella. Numerosos fabricantes nos mostraron su modelo de nube, en el que siempre está asegurada la seguridad de los datos.

En todos emplean un sistema antivirus mejor o peor, y sistemas de cifrado de información que permiten no ya cumplir con la legislación en materias de protección de datos de carácter personal, sino que aseguran en buena medida que la información almacenada en la nube esté exclusivamente disponible para los que la crearon y nadie más.

La nube ha evolucionado mucho, según unos, y según otros… menos. Interesante el punto de vista de Rafael Ortega, quien nos recordó la similitud de los sistemas mainframe de los 70 con el paradigma de almacenamiento nuboso de hoy en día.

Y qué decir de aquellos tiempos en los que exactamente los mismos argumentos empleados para vender la nube se empleaban para la instalación de redes de área local. Todavía recuerdo cuando tuve la ocasión de presentar, junto a la Product Manager, el IBM PS/2 95, el servidor definitivo para redes de área local. Y ahora mismo no serviría ni para almacenar las fotos de las vacaciones, el vídeo de la boda y cualquier información que cabe de sobra en un portátil.

En cualquiera de los casos, tanto los mainframes como los maravillosos servidores de los 90 tenían una preocupación común a los proveedores de servicios en la nube: la seguridad. Y esa seguridad estará en dos partes distintas: por un lado, en el sistema que aloja los datos; y por otro, en el canal de comunicación mediante el cual accedemos a los datos.

Sin embargo, nos olvidamos de un punto clave en la comunicación, y es el usuario. Al igual que está comprobado en el tema de la seguridad antimalware, esa pieza entre la pantalla y la silla es la clave en lo referente a la seguridad.

Me da igual que los datos en la nube estén bien protegidos, y que utilice protocolos de comunicación seguros. ¿Quién es el que está accediendo? Seamos consecuentes, la mayor parte de las contraseñas que emplean los usuarios son débiles: “123456”, “asdfg”, el nombre del perro, fechas de cumpleaños… Y aquí tenemos a la empresa haciendo una inversión importante en sus sistemas de almacenamiento en la nube para que luego un usuario cualquiera deje su contraseña en un post it.

Cuántas veces habremos dicho que la seguridad es un concepto global. Un sistema es tan seguro como lo sea su punto más débil, y generalmente lo somos nosotros, los usuarios. Una empresa que opte por el sistemas en la nube (almacenamiento, o proceso, o lo que sea) debe cuidar cómo acceden los usuarios.

Sí, es muy bonito emitir boletines empresariales internos en los que se avisa que deben cambiarse las contraseñas. Tienen tanto efecto como los recordatorios de reponer el papel en la impresora cuando se acabe. Es necesario que los usuarios se involucren de verdad en la seguridad, y si no, hay que implementar soluciones que sirvan para que los accesos a los sistemas no sean una mera pantomima de usuario y contraseña.

¿Qué tal un sistema en el que obliguemos a introducir un dato más? Una contraseña adicional, pero no la misma siempre. Una contraseña nueva, distinta para cada vez, y que no podamos reutilizarla. Es el sistema que se llama “de doble factor”, y ese segundo factor, una nueva contraseña, es única e irrepetible.

Ya puede ser el usuario más reacio a cambiar su contraseña “123456”, que si ponemos esa gota de seguridad, tendremos un océano de tranquilidad.

Fernando de la Cuadra