Comstor, unidad de negocio de Westcon-Comstor y uno de los principales mayoristas de tecnología Cisco, se ha hecho eco de cuatro puntos clave para crear una estrategia de privacidad en la nube. La privacidad es un tema complejo que trata muchas disciplinas, como filosofía, ciencias políticas, ingeniería y ciencias de la computación. Especialmente con la llegada de la computación en la nube, una de las más grandes preocupaciones de las empresas es almacenar su información en servidores más allá de las paredes de sus oficinas, y justamente, el sigilo y conservación de esos datos.
En ese contexto, la privacidad puede ser vista como una cuestión de control de acceso en la que la información almacenada estará accesible solamente a personas, máquinas y procesos autorizados. Bien sea para el usuario o como para la empresa y el proveedor de servicios en la nube, se necesita tener estrategias de administración en cada categoría, las cuales garantizarán que no habrá pérdida o robo de la información.
Además de eso, existen algunos personajes principales en este escenario:
Usuario: Garantizar que no se almacenen datos no autorizados, que no se accedan a datos no autorizados, que no se expongan datos sigilosos y que no se permita la entrada indeseada de datos.
Organización: Garantizar que la empresa no exponga en la Nube los datos estratégicos a los cuales es arriesgado que se acceda, que no se haga un juzgamiento equivocado a partir de datos parciales o incorrectos y que no se acceda de forma no autorizada a los datos personales de los usuarios.
Proveedores: Garantizar que no se usen los datos no autorizados de terceros involucrados en la recolección de información, que no se utilicen datos no autorizados de otras organizaciones, que no se acceda a informaciones personales no autorizadas y que no cometan errores accidentales o deliberados con los datos personales de los usuarios.
Dentro de las principales estrategias para delinear estas tres esferas de actuación podemos citar, por ejemplo:
1. Estar seguros de que la empresa está lista para hacer la migración de datos a la Nube
No se trata de simplemente de contratar un proveedor, separar los datos y hacer migración. Se necesita una comunicación interna fuerte con los usuarios, explicándoles sobre la nueva propuesta de la empresa, cuales son las nuevas políticas y entrenamientos sobre cómo utilizar el acceso a la Nube. Es importante que se refuercen las cuestiones de seguridad y datos compartidos. La empresa necesita tener un mapa con informaciones sobre qué tipos de usuarios y máquinas podrán acceder a cada archivo, acompañando el camino de su navegación, además, necesita estudiar muy bien quienes son los proveedores, saber sus históricos de actuación en el mercado, si hubo alguna reclamación y principales problemas que enfrenta, antes de firmar un contrato.
2. Planear la migración a la nube es esencial.
Es necesario que se definan qué personas estarán involucradas en esta migración y cuánto tiempo les tomará hacer que todos los datos estén accesibles a los usuarios. Después de eso, crear políticas de recuperación de datos si al caso sucede un desastre y definir la persona o equipo que será el responsable por la seguridad en la Nube.
3. Crear una solución de Nube, teniendo en mente la privacidad de los archivos.
Muchas empresas utilizan Nubes Híbridas, lo que significa que los datos más comunes de la empresa, los más accedidos por el equipo, que no siempre son tan estratégicos, se almacenan en Nubes Públicas, mientras tanto, los datos más robustos, confidencias y a los cuales pocos usuarios acceden se almacenan en Nubes Privadas, lo que garantiza más protección. Esta combinación tiene como principal objetivo la reducción de costos, ya que las Nubes Privadas les cobran a sus clientes por la cantidad de espacio utilizado.
4. Utilizar herramientas específicas para mantener la confidencialidad de los datos.
Generalización de datos, supresión, enredo y perturbación son técnicas que pueden usarse aisladamente o combinándolas para que la información se mantenga protegida, aunque usuarios no autorizados la accedan. La generalización, por ejemplo, sustituye los valores de atributos semi-identificadores por valores menos específicos. La supresión excluye algunos valores de atributos identificadores, como el de una tabla de estadística, logrando que el archivo pierda su significado. Por otro lado, la técnica de perturbación enmascara informaciones relevantes, sustituyendo los valores reales por ficticios.
En resumen, la empresa antes de decidirse por la computación en la nube, debe pensar en sus colaboradores y cómo se deben envolver en el proceso de migración. También debe estar bien atenta al proveedor que contrata, estudiando su histórico, su diferencial y las herramientas que ofrece. Finalmente, tener la conciencia en si misma de que el proceso no es fácil y que demandará la creación de reglas generales para la utilización del servicio.