Por Xavier Pérez, Director de Calidad en Claranet
El libre acceso a la información desde cualquier lugar y a cualquier hora, y a través de diferentes dispositivos, es una situación idónea para cualquier usuario. Es evidente en este ámbito tecnológico basado en la inmediatez y en la búsqueda constante de la máxima eficiencia.
Por otro lado, qué pasa cuando ese usuario particular que quiere compartir sus listas de música preferida con sus amigos a través de una aplicación en un Cloud Público, es también un empleado de una organización que decide usar el mismo espacio para compartir información de la compañía para la cual trabaja, sin disponer de un nivel de seguridad apropiado y sin contar con la aprobación de su empresa. La brecha que se abre a nivel de seguridad de la información es importante, no sólo por el alto riesgo que entraña usar espacios sin gestión, no controlados ni integrados en la propia estructura corporativa, sino porque además están fuera del alcance competencial de la organización. Esta situación, denominada también de ‘rogue cloud’, suele escapar del conocimiento del área encargada de la seguridad, con lo que la exposición al riesgo que conlleva, puede sostenerse por tiempo indefinido.
Según un reciente estudio de Symantec, gran parte de las empresas tuvieron a lo largo del año pasado problemas con el uso de aplicaciones de nubes no autorizadas por parte de sus empleados. Espacios que son compartidos en la nube, y que no están directamente controlados por la compañía y a cuya información pueden estar accediendo terceras personas, con el riesgo añadido de una posible suplantación de identidad.
Son en definitiva sistemas de información que no están integrados en la infraestructura de la compañía y por tanto, el uso que se hace de los mismos y de los datos que allí se comparten, carecen del debido control y de la debida autorización.
Ello nos lleva de nuevo a considerar la gestión de la seguridad de la información como algo que afecta a toda la organización. No es suficiente tener buenas políticas si no se asegura su correcta aplicación, o medidas restrictivas si los usuarios en su ámbito personal, beneficiándose de una mal pretendida disponibilidad, acaban haciendo un uso indebido de la información que manejan, incluso si es de forma involuntaria, pero que acaba poniendo en riesgo su integridad y/o confidencialidad.
Por eso la inversión de las organizaciones en formación y concienciación de sus empleados por un lado, y en la adopción de sistemas y recursos adecuados y a medida de sus requerimientos por otro, alejados de soluciones públicas demasiado expuestas, son la mejor forma de promoción de su seguridad y también de fomento de una buena reputación empresarial en esta área.