Tratamiento de datos en los entornos de nube: gestión de la seguridad y el cumplimiento

Además de los problemas actuales relativos a la soberanía de los datos, las regulaciones imponen otras exigencias de seguridad a las empresas, que añaden una mayor complejidad para cualquiera que quiera tratar datos en la nube. Un aspecto clave es que los datos almacenados en la nube deben ser procesables para que las compañías puedan mantener la eficiencia de sus procesos internos, satisfacer las necesidades de los clientes y adaptar su enfoque para aprovechar las nuevas oportunidades y demandas.

Junto con los requisitos de cumplimiento, este enfoque también puede exponer al usuario a vulnerabilidades de seguridad. En consecuencia, muchas empresas se enfrentan al reto que supone almacenar y tratar datos en la nube mientras mantienen los niveles apropiados de seguridad y cumplimiento normativo.

El principal problema es que la protección de los datos mediante el uso de agentes y cortafuegos no es una fórmula adecuada para los datos almacenados en la nube, si se accede a esa información confidencial desde fuera del perímetro de la empresa.

Los agentes solo son efectivos cuando se implementan en todos los dispositivos que acceden a los datos corporativos. Una solución basada en agentes es beneficiosa cuando se usa en activos corporativos porque proporciona una visibilidad y control exhaustivos sobre los dispositivos en los que están instalados los agentes. Sin embargo, los usuarios a menudo son reticentes a instalar agentes en sus dispositivos personales para evitar exponer su privacidad (tanto sus datos como la navegación por Internet). Esto no encaja con la filosofía de la mayoría de las empresas que permiten, e incluso alientan, el uso de dispositivos personales. Como tal, no es un enfoque apropiado para los entornos actuales que priorizan la nube.

Asimismo, las empresas no pueden instalar un cortafuegos alrededor de las aplicaciones en la nube como Office 365 o Salesforce, o usarlo para proteger la variedad de dispositivos gestionados y personales que acceden a los datos desde fuera de la infraestructura corporativa. Los cortafuegos son herramientas locales y, por lo tanto, no resultan útiles para proteger los datos que están en la nube.

Además, existe la necesidad de un cifrado completo, que juega un papel importante para la protección de los datos almacenados en las aplicaciones en la nube. Resulta particularmente necesario cuando las aplicaciones almacenan físicamente datos en países extranjeros que se consideran inseguros de acuerdo con los requisitos de soberanía de datos establecidos por los reguladores. El uso del cifrado nativo incluido en aplicaciones como Salesforce puede que no ofrezca la seguridad requerida, porque los datos cifrados y las claves de cifrado se guardan juntas; eso es todo lo que un atacante necesita para poder acceder a los datos descifrados. Además, este enfoque tampoco cumple el Reglamento General de Protección de Datos (RGPD) porque el cifrado nativo de las aplicaciones no protege los datos que se almacenan físicamente en ubicaciones “inseguras”.

Los agentes solo son efectivos cuando se implementan en todos los dispositivos que acceden a los datos corporativos.

Otro enfoque más drástico es bloquear cualquier acceso desde ubicaciones remotas o dispositivos personales y obligar a todos los usuarios a trabajar mediante una red privada virtual (VPN). El problema es que eso impide cumplir los objetivos de las estrategias de uso de dispositivos personales en el trabajo (BYOD), que persiguen mejorar la eficiencia de los usuarios.

Sin embargo, las compañías pueden utilizar y tratar de forma segura los datos que han almacenado en la nube mediante la adopción de una serie de funcionalidades como las siguientes:

• El control de acceso contextual permite regular el acceso a los datos en función de la ubicación geográfica, el rol laboral, el tipo de dispositivo y otras variables del usuario, lo que ofrece a las compañías flexibilidad suficiente para la adopción del BYOD sin sacrificar la seguridad.
• Las capacidades de visibilidad y supervisión de toda la presencia en la nube son importantes para garantizar la seguridad y el cumplimiento. Esto resulta vital, porque los usuarios que están autorizados a acceder a los datos pueden suponer una amenaza potencial para la seguridad de la información, y los que acceden a los datos desde fuera de una región determinada pueden infringir las leyes de soberanía de los datos. La manera de abordar este requisito es aplicar el análisis del comportamiento de los usuarios y entidades (UEBA), que permite detectar comportamientos sospechosos de los usuarios en tiempo real y habilitar respuestas automáticas como alertar al departamento de TI u obligar a realizar una autenticación de múltiples factores.
• Las integraciones de API en las aplicaciones empresariales en la nube permiten a las empresas detectar, gestionar y eliminar patrones de datos confidenciales almacenados en la nube.
• El cifrado en la nube puede proteger la información corporativa y cumplir los requisitos de soberanía de los datos que establecen normativas como el RGPD. Las soluciones de otros proveedores que proporcionan cifrado en la nube de alta seguridad protegen los datos estructurados y no estructurados almacenados, además de permitir a las empresas mantener el control sobre sus propias claves de cifrado. Esto resulta particularmente importante, ya que es la única forma de garantizar el tratamiento seguro de los datos en la nube a la vez que se cumplen las exigencias respecto a la soberanía de los datos.

Es comprensible que las empresas que necesitan realizar el tratamiento de datos en la nube puedan percibir los marcos regulatorios como un obstáculo. Sin embargo, el cumplimiento normativo es una base importante sobre la cual construir una estrategia de seguridad en la nube. Las compañías que tienen más éxito actualmente en el tratamiento de datos en la nube consiguen conciliar la seguridad con el respeto de los derechos de las personas cuya información tratan, lo que beneficia a todas las partes.