En la inminente necesidad de realizar un proceso de transformación digital, cada vez son más las organizaciones que trasladan sus datos a la nube. Al respecto, la ciberseguridad es uno de los temas que más preocupan a las entidades que quieren dar el salto, y las cifras permiten dar cuenta de ello.
Un estudio de Forrester arrojó que 28% de las empresas afirman estar en proceso de implementación de DBaaS (Database as a Service o Base de Datos como Servicio) y que este número probablemente se duplicará en los próximos cuatro años.
Para las organizaciones, contar con un servicio de base de datos en la nube -como los que ofrece Google Cloud o Amazon Web Services (AWS)- brinda múltiples ventajas: desde la reducción de gastos de infraestructura, pago de personal, servicio eléctrico y reducción de espacio físico, hasta aspectos como la escalabilidad, disponibilidad, automatización y aumento en la productividad.
Lo anterior se explica, entre otras cosas, porque el modelo de base de datos en la nube se adapta a las necesidades de cada empresa. Así, mientras el proveedor ofrece la infraestructura física y almacenamiento de los datos, el cliente se encarga de su administración y operación.
Sin embargo, al momento de migrar y almacenar información en un servicio cloud, es común que surjan algunas inquietudes sobre la protección de datos. A continuación, responderemos los cuestionamientos más comunes al respecto.
¿Qué garantía de protección de datos existe en la nube?
Las empresas que ofrece servicios de DBaaS deben implementar estrictas medidas de seguridad para no comprometer la información de sus clientes. Por ejemplo, en el caso de Google Cloud, la compañía cuenta con más de 750 expertos encargados de mantener los sistemas de defensa, crear la infraestructura y políticas de seguridad.
Es importante destacar que la seguridad del almacenamiento de datos en la nube depende de dos factores: cliente y proveedor.
Mientras que al proveedor le compete la seguridad de la nube, es responsabilidad del cliente la seguridad en la nube. ¿A qué se refiere esto? a que es un modelo de responsabilidad compartida: Mientras que el primero protege los componentes del sistema operativo, alojamiento y las instalaciones físicas; el cliente debe vigilar sus plataformas, sistemas, aplicaciones, configuración y redes, además de prestar especial atención a los permisos y la privacidad con la que los usuarios acceden a sus plataformas en la nube.
Siendo así, es el cliente quien controla la arquitectura de seguridad, la fuerza de sus contraseñas, permisos de acceso, etcétera.
¿Dónde se almacenan los datos en la nube?
Para tranquilidad de los usuarios, los datos son almacenados y resguardados con estrictos controles de seguridad en los servidores de los centros de datos del proveedor, con una protección mayor a la que tendrían dentro del área de IT de una empresa. Estos centros están ubicados en diversas localizaciones y cada cliente determina la región y el servidor donde desea alojar sus datos.
Por ejemplo, AWS cuenta con diversas capas de protección de sus data centers, para asegurar al máximo la integridad de los datos aquí alojados.
¿Quién puede acceder al contenido?
Solo los clientes pueden manejar el formato, estructura y claves de cifrado de los datos, y son ellos los únicos que deciden a quiénes facultan para acceder a determinada información.
¿Qué regulaciones y normas internacionales se aplican al contenido en la nube?
Surgen dudas frecuentes sobre soberanía de datos y las leyes aplicables en otros países en donde se hospeda el contenido o si agencias gubernamentales están autorizadas a acceder a él. Es importante revisar cuáles son estas leyes locales de la región donde se hospeden los datos y si son aplicables a los huéspedes extranjeros.
En cuanto a solicitud de información por parte de los gobiernos, ésta no se realiza a menos que se tenga una orden judicial, algo que puede ocurrir en caso de investigaciones relacionadas con seguridad nacional y similares.
En cuanto a las regulaciones que se aplican para garantizar la integridad de la información, generalmente incluyen:
- ISO/IEC 27001. Esta normativa especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información.
- ISO/IEC 27018:2014. Esta normativa fue creada para brindar protección a la privacidad de los datos personales en la nube.
- Ley Sarbanes Oxley (SOX). Regula funciones financieras, contables y de auditoría para prevenir fraudes.
Los principales proveedores de DBaaS -como Google Cloud Service y AWS- ofrecen ciberseguridad, privacidad, transparencia y cumplimiento de las normas internacionales, garantizado a través de auditorías y certificaciones. Por ello, mantener una base de datos en la nube suele ser más seguro que administrarla en un servidor y redes privadas.