Durante el encuentro organizado por Alhambra-Eidos tuvo lugar un debate en torno a ‘La ciberseguridad del dato y el Cloud’ , que contó con expertos del entorno de la nube, como Jorge Dávila, director del Laboratorio de Criptología de la Facultad Informática de la UPM; Javier Turégano, manager IT para Macmillan Iberia; Juan Miguel Velasco, VP de la Comisión de Ciberseguridad Eurocloud; Robert Assink, director general de Interxion; y Jaime Guevara, director general de Alhambra-Eidos.
Las principales preocupaciones de las organizaciones al migrar sus sistemas a la nube son la seguridad y las normativas legales al respecto. A partir de 2018 será obligatorio el cumplimiento del nuevo Reglamento General de Protección de Datos de la UE (GDPR).
Partiendo de la preocupación sobre la seguridad en la nube, Javier Turégano explica que, “como compañía, ya no puedes plantearte si migrar o no al cloud, la pregunta es cuándo y cómo hacerlo de forma segura. Tienes que analizar el servicio que vas a externalizar y en función del mismo y de las expectativas de crecimiento que tengas, valorar el CPD que mejor te conviene”. Para Juan Miguel Velasco, “el cloud es un facilitador increíble para los servicios de ciberseguridad que forma parte ya de la realidad de nuestro día a día”. Jorge Dávila estima por su parte que “el cloud es muy positivo para las pymes, ya que su presupuesto no les permite contar con un apartado IT, pero al alienarse con un partner pueden disponer de un equipo especialista en seguridad encargado de sus datos. Sin embargo, algo que hay que tener claro es que cuanto menos pintes en la cuenta del proveedor, menos caso te van a hacer”. Juan Miguel Velasco apunta a su vez que “se debe abordar la seguridad desde la fase de desarrollo, y debemos actuar como médicos, previniendo y aconsejando sobre el uso de los sistemas, y no como informáticos, solucionando los problemas una vez han ocurrido ya”.
En cuanto al tema de la legalidad, hay consenso en que la educación y el conocimiento del usuario final sobre seguridad y la legislación vigente son mínimos, lo que afecta en gran medida al cumplimiento de la normativa, y genera grandes brechas en la seguridad de las compañías. Ante la nueva normativa europea, Jorge Dávila advierte de que “si se produce una ruptura de seguridad en el proveedor de la nube, el responsable final es el titular de los datos, y no la empresa que proporciona el servicio cloud”. Jaime Guevara piensa que “por un lado debemos educar al usuario y al cliente, y por el otro, debemos realizar un esfuerzo por nuestra parte para entender al cliente a la hora de diseñar arquitecturas que cubran las necesidades de cada compañía, ya sean públicas, privadas o híbridas”.
Otra manera de ofrecer tranquilidad y seguridad al cliente es “ofrecerle visibilidad sobre sus datos, que pueda controlar el manejo y el movimiento de sus actividades, y que tenga un contacto directo con los técnicos encargados de la protección de sus datos”, concluye Guevara.
Sin duda, como apunta Robert Assink,“el ascenso del mundo cloud está muy latente”, y no podremos afrontarlo si no atacamos directamente a su punto débil, que es la seguridad. La educación y la concienciación tanto del usuario final, como de las compañías, debe ser tan solo el primer paso, pero no debemos dudar al darlo.
