Cloud Storage: algunos aspectos de seguridad y privacidad

Publicado en Artículos, Tecnología de Información,


Tweet about this on TwitterShare on Google+2Share on Facebook0Share on LinkedIn0

En estos últimos días estuve analizando las distintas alternativas de almacenamiento en la nube, o Cloud Storage, correspondientes a los productos más populares dentro del mercado, basándome principalmente en la opción gratuita. El análisis surgió debido a la posibilidad de mejorar un esquema tradicional de almacenamiento y resguardo, aprovechando las nuevas tecnologías, pero sin disminuir la seguridad.

El artículo no corresponde a una revisión técnica de las soluciones, ni a un ranking, sino únicamente al análisis de las propuestas y las implicancias que en principio las mismas supondrían para la seguridad de la información, además de aportar algo de información para quien esté tratando de decidirse por una solución de Cloud Storage.

Alternativas Analizadas
Producto Espacio gratuito Términos y condiciones Sitio Web
Amazon Cloud Storage 5 GB Enlace Enlace
Box 5 GB Enlace Enlace
DropBox 2 GB Enlace Enlace
SkyDrive 25 GB Enlace Enlace
SugarSync 5 GB Enlace Enlace

Conociendo las distintas características y los términos y condiciones se identificaron algunos puntos en común. Sobre estos puntos es quizás donde me interesaría compartir alguna opinión personal:

  • Generalmente lo que se está ofreciendo es un disco rígido en internet (con la seguridad que ofrece un disco rígido).
  • Generalmente se ofrece disponibilidad (aunque ya vimos el caso Megaupload y durante 2011 lo que le sucedió a Amazon).
  • Generalmente la responsabilidad de la seguridad de la información es del usuario.
  • Generalmente la responsabilidad de no violar derechos de autor es del usuario.
  • Generalmente ante un incidente de seguridad el proveedor del servicio no es responsable (o al menos eso anticipan).
  • Generalmente las mejores características de seguridad corresponden a la opción Enterprise (el usuario parece que no requiere seguridad).
  • Generalmente los términos y condiciones del servicio pueden cambiar sin previo aviso (¿debes fijarte a diario?).

Algo que muchas veces sucede es que tanto los usuarios como las Organizaciones creen que el hecho de almacenar algo en internet, en cierta manera quita responsabilidad en relación al cuidado y protección de la información. Esto no es así, podría sufrir modificaciones de acuerdo al servicio, pero no debemos olvidar que como propietarios de la información (sin importar donde esté), la responsabilidad por el cuidado es nuestra y no se delega.

Los términos y condiciones generalmente son arbitrarios y no admiten muchas modificaciones, o casi ninguna. Desde el plano legal podría discutirse si algunas pautas son legalmente válidas, como por ejemplo lo que indica Amazon en el apartado 5.3 de sus términos y condiciones: “We do not guarantee that Your Files will not be subject to misappropriation, loss or damage and we will not be liable if they are. You’re responsible for maintaining appropriate security, protection and backup of Your Files.

Por eso creo que en general debemos considerar que lo que estamos utilizando es un disco rígido en internet, donde quizás el único beneficio es la facilidad de acceso (para nosotros y todos los demás).

Por otro lado es interesante resaltar la información que ponen a disposición algunos servicios, entre ellos:

Por el lado de Dropbox también se encuentran disponibles las características de seguridad, aunque es importante tener presente algunos puntos:

En relación a las características de seguridad descriptas por las distintas soluciones, no logré identificar lo referido a SkyDrive, por lo tanto lo único que podría sugerir es que mejore la disponibilidad de dicha información.

Criterios para Seleccionar un Proveedor de Cloud Storage

Un punto importante al momento de seleccionar un proveedor es buscar información que permita visualizar el nivel de responsabilidad al prestar los servicios/soluciones. El tratamiento de los incidentes de seguridad (si es que se conocieron) y la opinión de los clientes en foros o redes sociales. Teniendo en cuenta que el cuidado de la información es nuestra responsabilidad, debemos analizar si las características de seguridad ofrecidas por la solución son compatibles con lo requerido por nuestra información.

“No debemos enamorarnos del espacio de almacenamiento ofrecido, sin tener en cuenta los requisitos de seguridad de la información”

Se deberían leer y analizar los términos y condiciones, ofreciendo propuestas sobre aquellos puntos que no haya acuerdo. Si los términos y condiciones no cubren nuestras expectativas, no se deberían aceptar, aunque ello signifique no utilizar el servicio.

Otro punto importante está relacionado con la “salida del servicio” en el cual se debería tener en cuenta el tratamiento que se le dará a la información que hayamos almacenado, nuevamente los requisitos deberían surgir desde nuestra propia información.

Una buena herramienta para ayudar a los usuarios a seleccionar un proveedor de Cloud es el Consensus Assessments Initiative (CAI) de la Cloud Security Alliance (CSA). Consiste en un cuestionario que, a través de las distintas respuestas, permite identificar la gestión de la seguridad por parte del proveedor de Servicios de Cloud.

“Al igual que en otras situaciones, como pude ser al comprar un dispositivo móvil, las características que debemos buscar en el producto o servicio, deberían surgir del tipo y valor de la información que está involucrada”.

En definitiva lo que resulta determinante para la decisión es el valor que se le asigne a la información, siendo un factor importante para identificarlo, el impacto que podría generar un incidente de seguridad que la involucre. Esto último, junto con entender que sin importar donde se encuentre, el propietario de la información seguirá siendo el responsable por su seguridad, quizás recién en ese momento se pueda elegir un producto o servicio sin exponer (sin conocimiento) la información involucrada.

vía INTECO

Califica esta entrada

Etiquetas: ,


Deja un comentario

Cuanto es 15 + 10 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos