Microsoft: Cómo subirse a la Nube y no arriesgar la empresa en el intento

(Por Rubén Borlenghi) Una conferencia de seguridad donde no se habló de parches sino de transacciones (seguras, claro). La semana pasada Microsoft Latinoamérica convocó a periodistas de su zona de influencia, para mostrar qué opina la empresa sobre un tema de moda que no debe tomar desprevenidos a los empresarios: “Seguridad y privacidad en la nube”. No te pierdas estos datos, que son de buena fuente.

La convocatoria sonaba interesante por dos razones: la famosa Nube, que está en boca de todos desde que se les gastó lo de Web 2.0, sigue pareciéndome un nubarrón proceloso donde más de una vez no sabés qué hay (o quién está) del otro lado, y quien daba la presentación, Christian Linacre, me impresionó como un profesional muy serio, cuando tuve el gusto de conocerlo en el pasado Blue Hat Buenos Aires. Así que instalé LiveMeeting en una máquina con XP (paciencia…) y me conecté.
El anfitrión, Linacre, gerente de seguridad y privacidad para Microsoft Latinoamérica, arrancó su presentación recordando que el tema de “Computación en la Nube” no es realmente nada nuevo, y hace tiempo que se ofrecen servicios desde servidores remotos. Dio como ejemplo clásico a los webmail (al estilo de Hotmail, desde hace 15 años); después definió la sonada Cloud Computing como el almacenamiento de datos basados en Internet y a los servicios que se ofrecen, para manipular esos datos, y marcó la aparición de Microsoft Online Services seis años atrás y Office Live hace dos años. Pero después de este marco histórico, no crean que les voy a contar toda la pepeté; para los curiosos, ahí van unos datos.

• Definición más completa de los componentes de un “entorno de nube” ya conocido: email – mensajería instantánea – software de negocios – administración de contenido web.
• Esquema “clásico”: el proveedor de los modelos de “software como servicio” controla todo, desde el hardware empleado hasta las autenticaciones de usuarios.
• Esquema de la “nueva nube” (Modelo de servicio según el NIST): software como servicio (las aplicaciones están siempre “en la nube”), plataforma como servicio (el usuario ejecuta aplicaciones compatibles con la infraestructura del proveedor), infraestructura como servicio (el usuario implementa su estructura, como si estuviera virtualizando).

Y aquí la cosa se puso interesante, dado que estos modelos plantean problemas de seguridad, en el acceso a los datos y en la integridad de los datos. De lo mostrado, te acerco mi adaptación de un muy útil resumen, que deberían tomar en cuenta los directivos de una empresa que desee emplear los servicios ofrecidos “en la Nube”:

• clasificar los datos, para poder evaluar los riesgos y tomar decisiones;
• establecer ciclos de vida de los datos que limiten el acceso sólo a personas autorizadas;
• formar un equipo interno que administre los requisitos de seguridad y el cumplimiento de normas;
• para evaluar un proveedor, observar si éste demuestra transparencia, control de cumplimiento de normas y capacidad de auditoría.

Terminada la presentación hubo una ronda de preguntas, la mayoría de las cuales giró por el lado de las capacidades instaladas, la protección de los datos y la continuidad. A mí me preocupa, entre otros aspectos de La Riesgosa Nube, cómo puede una empresa chica controlar el acceso indebido al repositorio de datos. La respuesta del amable (y paciente) Christian fue muy clara y tuvo dos partes:

• las computadoras de los usuarios deben estar actualizadas, con todos los parches de seguridad de las aplicaciones y del sistema al día;
• se debe emplear sistemas de gestión de la identidad mejorados, como la tecnología de protección de la información RMS (lógicamente, de su empresa…). Si te hace falta conocer algo más sobre esto, date una vuelta por la Wikipedia.

Terminó la conexión, saludé a Christian, me enteré que habíamos participado cinco periodistas de Ecuador, dos de Guatemala, uno de Venezuela, uno de Colombia y un servidor desde las pampas australes, y me quedé reflexionando… Así que la cosa está, para las pymes, en ser exigentes a la hora de revisar las credenciales de cumplimiento de normas del proveedor… y que en casa no haya fugas. Complicado…