¿Qué hace cuando los empleados comienzan a utilizar un servicio en la nube gratuito?

¿Qué hace como CIO cuando la gente de su empresa empieza a utilizar un servicio en la nube gratuito que es mejor que un servicio similar que les implementó con un precio elevado? Por ejemplo, ¿qué pasa si sus empleados dedican tiempo a una plataforma social de Jive porque es más rápida y fácil de usar que la solución que creó con orgullo el año pasado?

Podría prohibir el servicio en la nube o restringir rigurosamente su acceso al mismo. O podría adoptar el enfoque más abierto que se utiliza en IBM, uno de los principales proveedores de servicios en la nube. IBM ofrece a los empleados un amplio margen de acceso a los recursos de la nube para el uso no confidencial de datos y aplicaciones.

Pero ese no es el final de la historia. A través de su iniciativa IBMer digital, la empresa ofrece formación en políticas de TI que guía a los empleados a comprender en detalle los riesgos y las políticas de la nube y, en última instancia, garantiza un alto grado de seguridad. IBM ofrece un paradigma de lo que deberían hacer otras empresas.

Uso de servicios en la nube que las empresas no aprueban oficialmente — TI en la sombra, como lo llaman algunos, está creciendo rápidamente. La empresa media utiliza ahora 923 servicios en la nube distintos, como Amazon Web Services, Azure de Microsoft, Office 365, Salesforce, Box y Yammer. El uso de estos servicios creció un 21,6% en 2014, informa la empresa de seguridad en la nube Skyhigh Networks, que hace un seguimiento de 17 millones de usuarios y 10 000 servicios en la nube en todo el mundo. Alrededor del 90% de la actividad de las empresas en la nube se puede atribuir a empleados individuales y equipos pequeños, más que a los grupos de tecnología empresarial de las empresas.

La seguridad de estos servicios es un problema: la gran mayoría (el 90%) de los servicios en la nube no cifran los datos en reposo (a diferencia de los de transmisión), solo el 15% admite la autenticación multifactorial y aún menos (el 6%) tienen la certificación ISO, afirma el CEO de Skyhigh, Rajiv Gupta. ( ISO 27001 se creó en 2013 para garantizar que los riesgos y amenazas de seguridad para la empresa se evaluaran y gestionaran, que los procesos de seguridad física, como el acceso restringido, se aplicaran de forma coherente y que las auditorías se realizaran con regularidad.)

Como es tan difícil supervisar y regular el uso por parte de los empleados de los sitios de intercambio de archivos y otros servicios en la nube, muchos CIO simplemente ignoran todo el tema. Eso es exactamente lo que hice cuando, como «CIO» de mi casa, hace poco traté de averiguar si limitar el acceso de mis hijos a Internet y cómo hacerlo. Tenía que instalar un nuevo sistema operativo después de que descubrieran virus al acceder a sitios que les daban pistas sobre cómo progresar en sus juegos en línea. Al igual que los empleados de su empresa, mis hijos son oportunistas: si encuentran un servicio en la nube que les dé lo que quieren, lo utilizan sin investigar. Me preguntaba: ¿Debería bloquearlos por completo? ¿Debo restringirlos a fuentes confiables? Si es así, ¿cómo? Una opción habría sido limitar el router a las direcciones que conocía. Pero sus amigos les hablaban de sitios nuevos todos los días y yo no habría podido mantenerme al día.

Al final, adopté un enfoque no intervencionista, con la esperanza de que su sentido común limitara cualquier comportamiento marginal arriesgado en los sitios de juegos y medios del que nunca había oído hablar. Algunos de los sitios a los que acceden están bien. Pero no cabe duda de que los riesgos están ahí.

Por eso las empresas no pueden darse el lujo de ser tan impasivas como yo. Los servicios en la nube se han convertido en importantes herramientas de productividad, lo que ha permitido ahorrar costes y aumentar la flexibilidad, pero su uso sin restricciones no solo abre la puerta a los infiltrados a los datos de la empresa, sino que también puede proporcionar un canal para extraer esa información. En una empresa, tras la partida de un empleado, una auditoría mostró que la persona había subido 4,5 gigabytes de archivos a Kanbox, una solución de almacenamiento personal en la nube adquirida recientemente por Alibaba y alojada en China. En otra empresa, un empleado subió 48,7 gigabytes en un solo día a RyuShare, desde donde los datos se enviaron a una zona de entrega en otro país. En otra empresa, un empleado subió programación confidencial a SourceForge, un repositorio de código fuente abierto al que cualquiera puede acceder.

El enfoque de IBM consiste en apoyar el uso de los servicios en la nube por parte de los empleados, guiarlos en el aprovisionamiento de productos y, al mismo tiempo, prestar asistencia legal para que los empleados entiendan los posibles problemas de los términos y condiciones de un servicio en la nube, me dijo Robert Beasley, miembro del equipo de políticas de seguridad de IBM.

Sin embargo, respaldar las opciones de servicios en la nube de los usuarios no es sencillo. Requiere confianza, que proviene de un sentido de responsabilidad compartida. Si bien los líderes de la unidad de tecnología empresarial son los principales responsables de la integridad de los sistemas, la responsabilidad debe repartirse entre el grupo de tecnología empresarial, la unidad propietaria del proceso empresarial en particular y los usuarios. Eso significa que cada una de estas partes debe entender el riesgo de cada servicio en la nube en varios aspectos, como el cifrado de los datos y el cumplimiento de las normas de seguridad. Las empresas pueden obtener información sobre el nivel de riesgo de los servicios a través del Registro de confianza en la nube o realizando sus propias evaluaciones utilizando las métricas de organizaciones como Cloud Security Alliance. Las empresas también pueden analizar cuestiones como si un proveedor de servicios en la nube cumple el acuerdo de nivel de privacidad descrito por la Comisión Europea.

Al mismo tiempo, todos los que utilizan los servicios en la nube deben entender los problemas de seguridad y tomar las medidas correspondientes. Por ejemplo, para cumplir con las normas de privacidad, los hospitales deben cifrar la información de salud protegida en la fuente antes de enviarla a un proveedor de servicios en la nube; los datos de las tarjetas de pago también deben cifrarse en la fuente.

Además, hay nuevas tecnologías destinadas a proteger los datos:

Hash de datos es una tecnología que crea un hash, o código específico, para identificar un conjunto de datos determinado. Esto permite comprobar la integridad de los datos cada vez que una persona acreditada de la empresa los utilice o acceda a ellos. El hash impediría que un tercero no autorizado cambiara los datos.

Marcas de agua digitales permitir el seguimiento de los datos. Si bien este enfoque no protege los datos, sí permite vincularlos con la persona que los colocó en una nube o en un lugar no autorizado, lo que hace que esa persona sea potencialmente responsable de cualquier consecuencia de la apropiación indebida de los datos.

Las herramientas de marcado de datos como estas pueden estar vinculadas a una tecnología de autenticación de personas de confianza que permite a las empresas restringir el acceso y los movimientos de los datos; por ejemplo, permite mover los datos de una máquina de trabajo a un teléfono inteligente solo si el dispositivo destinatario tiene la autenticación adecuada.

No es sorprendente que algunos de los enfoques más prometedores del problema del uso de la nube por parte de los empleados no provengan de la regulación o las políticas corporativas, sino de las emergentes tecnologías de identificación como servicio basadas en la nube. Los investigadores están intentando crear una forma sencilla pero eficaz de facilitar la autenticación de inicio de sesión único entre nubes, en la que un proveedor de servicios cloud «extranjero» deba obtener el estatus de tercero de confianza desde la nube «local» antes de poder comunicarse con el usuario y las aplicaciones del usuario.

Hasta que no se logre este marco de seguridad en la nube federado, es muy posible que tenga que confiar en el comportamiento de sus empleados en lo que respecta a la nube. Pero a medida que se acerquen las nuevas soluciones tecnológicas entre nubes, las empresas podrán comprobar cada vez más que los empleados hacen lo que tienen que hacer con los activos de datos corporativos críticos.