La contabilidad ha estado a la vanguardia de la automatización de los negocios desde la creación de la escritura en tablillas de arcilla. Con la llegada de los negocios conectados a Internet, algo importante ha cambiado: el robo de datos de clientes es ahora fácilmente posible.
Un truismo de la seguridad de la red es que la única red segura es una red aislada, una red con huecos en el aire. Como pocas empresas, incluyendo la suya, están dispuestas a renunciar a los beneficios de estar conectados a Internet, todos tenemos que implementar una buena higiene de seguridad en cada sistema. Este es un trabajo tedioso que es fácilmente subvertido accidentalmente por los empleados.
Hoy quiero hablar de la seguridad de los datos de su nube/servidor. Como más de sus registros se almacenan en los servidores, ¿los datos son seguros por defecto?
Si su proveedor se ve comprometido por los hackers, ¿puede ser robado sin su cooperación? ¿Sólo está protegida por una contraseña pero almacenada en el servidor? (Sólo un recordatorio, decenas de millones de números de tarjetas de crédito han sido robados. ¿Cómo?
Fueron almacenados en formas fácilmente subvertidas por los hackers.) La buena seguridad se realiza en profundidad, es decir, hay múltiples cerraduras que deben ser abiertas. Aunque cada sistema de servidor es diferente, hay algunas preguntas que deben hacerse a los administradores de sistemas locales y a los proveedores de la nube.
– ¿Todos mis servidores utilizan una encriptación completa del disco? Esto asegura que sus datos no se vean comprometidos cuando un servidor se sale de servicio.
– ¿Quién tiene acceso a las claves/contraseñas de la cuenta raíz? Esto habla de la disciplina de la organización.
– ¿Sus datos están cifrados con una clave/contraseña diferente a la de la cuenta raíz y están controlados por su organización? Esto protege sus datos contra las violaciones en el proveedor de la nube.
– ¿Cómo se hace una copia de seguridad de sus datos? Los sistemas se caen. Los huracanes, tornados y terremotos ocurren.
– ¿Cuáles son las políticas y prácticas de seguridad establecidas para controlar el acceso a las copias de seguridad? Los datos más antiguos siguen siendo muy valiosos. ¿Se controla el acceso a las copias de seguridad? ¿Tiene control de las claves utilizadas para encriptar las copias de seguridad?
Cada uno de los puntos anteriores es sólo el comienzo de una política de seguridad. Hay toda una serie de prácticas de consultoría de TI dedicadas a abordar las diferentes fases del problema de seguridad de los datos en la nube. Ser capaz de hacer las preguntas anteriores es un gran lugar para empezar a proteger los datos de los clientes en sus sistemas y los suyos.