martes, 14 de junio de 2011

Datos y Nubes..se llevan?


Hace poco me preguntaron si en una empresa era conveniente que los empleados pudieran hacer uso libre de DropBox. Saqué la respuesta que todos odiamos “Pues depende” (pero qué útil es, no?). En fin, me obligaron a elaborar. Les comparto mis divagaciones.

DropBox es un servicio en la nube para almacenar información de todo tipo. Gratuitamente te dan 2 GB y si quieres más tienes que pagar. Puedes instalar DropBox en tus computadoras (y te crea una partición virtual donde copias tus directorios o archivos) y también puedes acceder a la información desde el web o dispositivos móviles como el iPhone. Y claro, así como DropBox, hay muchos otros servicios similares (o más completos como el de Carbonite que respalda automáticamente).

Hasta aquí todo bien, suena un servicio muy atractivo. ¿Pero es conveniente que se les permita a los empleados de una empresa hacer uso de estos servicios de almacenamiento en la nube?

+ No. Esta es una primera opción que les encanta a los de seguridad: “Porque van a estar mandando datos corporativos a la nube”. Pero decir que “no” a todo ya no es lo de hoy. Hay que ser un habilitador, no un obstáculo. Next option.

+ DropBox #Not. Nuestros amigos de la caja dropeadora tuvieron un “detallitorecientemente referente a que sus empleados pueden acceder a la información que almacenan los usuarios. No lo dijeron así desde el inicio y uno pensaba que “ni ellos” podían acceder a los datos. Resulta que por petición gubernamental escupen hasta lo que no. O por ejemplo un empleado de DropBox que quiere husmear en los archivos de Lady Gaga lo podría hacer cualquier día de la semana. Tuvieron que cambiar los términos de uso. En fin, larga historia. Por lo tanto esto nos lleva a pensar en sí usar almacenamiento en la nube pero no bajo este esquema (ver los siguientes dos puntos).

+ DropBox con cifrado. Como la información se almacena en claro dentro de esta nube, es mejor cifrarla primero y luego enviarla. Busquen en Google “securing data dropbox” para ver algunas propuestas.

+ JungleDisk. Qué mejor que la solución por default cifre la información en nuestro equipo y que ya se vayan los datos protegidos. Al menos así dice que funciona JungleDisk. Es decir, mandamos nuestros datos ya cifrados y la nube los recibe así. Esto quiere decir que cegamos a la cloud. Insisto, asumiendo que así trabaja y hasta ahora no me he enterado de que alguien haya desmentido este hecho. Y sí, ya sé que hay varios “Y si…”. ¿Y si la llave que usa JungleDisk pudiera ser débil? ¿Y si llegan a usar el frágil DES? ¿Y si incorporaron un backdoor? Y un largo etcétera.

+ Nube empresarial. He de felicitarme por tener esta idea (ja!). Imaginen a una empresa que crea su propia nube para que la usen algunos o todos los empelados. Con todo y app para iPhone o Android. Con las ventajas de la nube pública pero bajo control de la empresa. Bienvenida la nube privada. Por ahí dicen que seguridad es sinónimo de control y en este caso tenemos el control de los datos de la organización porque se almacenaría todo en nuestra empresa. ¿Qué tal? ¿No te parece una buena idea? Ya sé ya sé, otra vez hay varios “Y si…”. ¿Y si los desarrolladores -para variar- diseñan y/o codifican una solución vulnerable? ¿Y si el gasto es mucho mayor que pagar por una nube pública, entonces vale la pena?

¡Se trata de los datos!

A final de cuentas nos preocupa que los datos de una empresa (o del sector público) estén en manos de la nube con un segundo, tercer o cuarto dueño y que no tengamos control sobre ellos. El primer dueño eres tú, el segundo es la nube, el tercero es un gobierno que podría exigir los datos y hasta existiría un cuarto dueño: un hacker (que lograra extraer información de usuarios de la nube).

Otra posible preocupación es la fuga de información donde los empleados usan la nube para sacar datos. Sin embargo impedir que los empleados hagan uso de la nube para almacenar archivos no va a imposibilitar el siguiente WikiLeaks. Ahí están los USB, los CD, discos duros externos y iPhone, correo electrónico o para el caso, hasta impresoras; ciertamente lo anterior auxiliará a quien desee extraer datos de una organización.

Y por cierto, si la nube es extranjera, claro que estará sujeta a leyes ajenas.

¿Entonces qué hacemos? ¿Impedir la nube? ¿Cifrar antes de usar la nube? ¿Nube de la empresa? Y la respuesta es: “Pues depende”.