Temas

Comunicación y almacenamiento de datos de forma segura

Almacenamiento Seguro de Datos

Para la mayoría de las organizaciones de la sociedad civil, una de las decisiones más importantes es dónde almacenar sus datos.

¿Es “más seguro” almacenar los datos en las computadoras del personal, en un servidor local, en dispositivos de almacenamiento externo o en la nube? En el 99 % de las situaciones, la opción más fácil y segura es mantener los datos almacenados en servicios de almacenamiento en la nube de confianza. Algunos ejemplos comunes son Microsoft 365, Google Drive o Dropbox. Sin un plan integral de almacenamiento en la nube, es probable que los datos de su organización se almacenen en diversos lugares, como las computadoras del personal, los discos duros externos e incluso un servidor local. Aunque es posible proteger los datos en todos estos dispositivos, es muy difícil hacerlo con éxito sin gastar mucho dinero y contratar un número considerable de personal de TI.

Al seleccionar una herramienta o servicio para almacenar sus datos, asegúrese que confía en la empresa o el grupo que lo respalda. Una búsqueda rápida en Google y una consulta con expertos en seguridad digital pueden ser de gran ayuda para verificar la confiabilidad de un posible proveedor de tecnología. Algunas preguntas a tener en cuenta incluyen: ¿Venden o comparten sus datos privados? ¿Tienen los recursos de seguridad apropiados en el personal? ¿Ofrecen funciones de seguridad (como 2FA) para ayudar a proteger su cuenta?

Almacenamiento de Datos y la Sociedad Civil

Dos grandes bancos de computadoras en una sala de servidores.

La llegada del almacenamiento de datos asequible (a veces gratuito) basado en la nube ha facilitado la vida (y la seguridad) de muchas organizaciones de la sociedad civil con recursos limitados. Desafortunadamente, muchos siguen intentando alojar sus propios servidores con escasos conocimientos o soporte informáticos. En marzo de 2021, la amenaza de esa infraestructura organizacional se hizo real para decenas de miles de organizaciones de todo el mundo cuando un atacante afiliado al gobierno chino, llamado Hafnium, desató una catástrofe de ciberseguridad mundial con un sofisticado ataque a los servidores de Microsoft Exchange autoalojados. El ataque comprometió los servidores locales, lo que les permitió a los hackers obtener acceso a las cuentas de correo electrónico de la organización e instalar malware adicional en los servidores de las víctimas y los sistemas conectados. Aunque Microsoft publicó rápidamente una actualización e instrucciones para identificar y eliminar a los posibles intrusos, muchas organizaciones pequeñas carecían de la capacidad informática para aplicar rápidamente dichas actualizaciones, lo que las dejó expuestas durante largos períodos de tiempo. El alcance y la repercusión de este ataque informático mundial revelan el peligro que corren las organizaciones civiles, especialmente las más pequeñas con personal informático limitado, que optan por autoalojar los servidores de correo electrónico y otros tipos de datos confidenciales.

Beneficios del almacenamiento en la nube

Aunque tome todas las medidas adecuadas para proteger sus computadoras contra el malware y los robos físicos, sigue siendo posible que un adversario decidido piratee su computadora o servidor local. Es mucho más difícil para ellos vencer las defensas de seguridad de, por ejemplo, Google o Microsoft. Las buenas empresas de almacenamiento en la nube cuentan con recursos de seguridad incomparables y tienen un fuerte incentivo comercial para ofrecer la máxima seguridad a sus usuarios. En resumen: una estrategia de almacenamiento en la nube de confianza será mucho más fácil y barata de implementar y mantener segura a lo largo del tiempo. Así, en lugar de preocuparse por intentar proteger su propio servidor, puede concentrar su energía en un puñado de tareas más sencillas.

Mantener la mayor parte de la información en la nube también ayuda a evitar otros riesgos comunes. ¿Alguien ha olvidado su computadora o teléfono móvil en el autobús? ¿Su hijo ha volcado un vaso de jugo sobre su teclado, y dejó a su dispositivo inutilizable? ¿Un empleado tiene malware en su computadora y necesita eliminarlo y empezar de cero? Si la mayoría de los documentos y datos están en la nube, es fácil volver a sincronizarlos y empezar de cero en una computadora limpia o completamente nueva. Además, si un malware entra en una computadora o si un ladrón escanea un disco duro, no hay nada que robar si se accede a la mayoría de los documentos a través del navegador web.

¿Qué proveedor de almacenamiento en la nube debemos elegir?

Las dos opciones más populares de almacenamiento en la nube son Google Workspace (antes conocido como GSuite) y Microsoft 365. Si usted y su personal ya utilizan Gmail, tiene mucho sentido registrar su organización en Google Workspace y almacenar los datos en Google Drive con sus aplicaciones integradas Google Docs, Sheets y Slides para el procesamiento de textos, hojas de cálculo y presentaciones. Del mismo modo, si se trata de una organización que depende de Excel y Word, la opción más fácil es registrarse en Microsoft 365, que brinda a su organización acceso a Outlook para el correo electrónico y versiones con licencia de Microsoft Word, Excel, PowerPoint y Teams.
 

Mejora de la seguridad de las cuentas en la nube de la organización

Si su organización opta por configurar un dominio en Google Workspace o Microsoft 365, tenga en cuenta que ambas empresas ofrecen mayores niveles de seguridad (de forma gratuita en muchos casos) a las organizaciones de la sociedad civil. El Programa de Protección Avanzada de Google y AccountGuard de Microsoft proporcionan capas adicionales de seguridad sólida a todas las cuentas en la nube de su organización, y lo ayudan a reducir en gran medida la probabilidad de que se produzca una suplantación de identidad efectiva y de que la cuenta se vea comprometida. Si cree que su organización cumple los requisitos y está interesado en inscribirla en cualquiera de los dos planes, visite los sitios web con los enlaces mencionados anteriormente o comuníquese con [email protected] para obtener más ayuda.

Independientemente del proveedor que elija, almacenar los datos de forma segura en la nube requiere aplicar una buena configuración de uso compartido y capacitar al personal para que entienda cómo y cuándo compartir (y no compartir) carpetas y documentos. En general, debe configurar carpetas dentro de su unidad de almacenamiento en la nube que limiten el acceso solo al personal que lo necesite para determinados archivos. Realice una auditoría rutinaria de su sistema para asegurarse de que no “comparte en exceso” ningún archivo (por ejemplo, activando el uso compartido de enlaces universales para archivos que deberían estar limitados a unas pocas personas).

¿Qué pasa si no confiamos en Google o Microsoft u otros proveedores de almacenamiento en la nube?

Si uno de sus adversarios (por ejemplo, un gobierno extranjero o local) puede obligar legalmente a Google o a Microsoft (o a otro proveedor de almacenamiento en la nube) a entregar datos, entonces podría no tener sentido elegirlos como opciones de almacenamiento de datos. Este riesgo puede ser mayor si su adversario es el gobierno de los Estados Unidos, por ejemplo, pero mucho menor si su adversario es un régimen autoritario. Tenga en cuenta que tanto Google como Microsoft tienen políticas sobre la entrega de datos solo cuando están legalmente obligados a hacerlo, y reconozca que su organización podría ser vulnerable al mismo tipo de demandas legales de su propio gobierno si aloja los datos localmente. 

En situaciones en las que el almacenamiento en la nube de Google o Microsoft no tiene sentido para su organización, una opción alternativa a considerar es Keybase. La función “teams” (equipos) de Keybase permite a su organización compartir archivos y mensajes mediante un cifrado de extremo a extremo en un entorno seguro en la nube sin tener que depender de un proveedor externo. Por ello, esta puede ser una buena opción para almacenar de forma segura documentos y archivos en toda la organización. Sin embargo, Keybase es menos familiar para la mayoría de los usuarios, por lo que hay que tener en cuenta que la adopción de esta herramienta probablemente requiera más capacitación y esfuerzo que las otras soluciones mencionadas.

Dicho esto, si prefiere no adoptar estas recomendaciones y no utilizar el almacenamiento en la nube, es crucial que invierta tiempo y recursos en reforzar las defensas digitales de los dispositivos de su organización, y que se asegure de que los servidores locales estén correctamente configurados, cifrados y se mantengan físicamente seguros. Probablemente ahorre las cuotas mensuales de suscripción, pero le costará a su organización tiempo y recursos del personal, y serán mucho más vulnerables a los ataques.

Copia de seguridad de los datos

Tanto si su organización almacena los datos en dispositivos físicos como en la nube, es importante tener una copia de seguridad. Especialmente si depende del almacenamiento en dispositivos físicos, es bastante fácil perder el acceso a sus datos. Podría derramar café sobre su computadora y destruir el disco duro. Se podrían hackear las computadoras del personal y bloquear todos los archivos locales con un ransomware. Alguien podría perder un dispositivo en el tren o sufrir el robo del dispositivo junto con su bolso. Como se mencionó anteriormente, esta es otra razón por la que el uso del almacenamiento en la nube puede ser un beneficio, ya que no está atado a un dispositivo específico que puede ser infectado, robado o perderse. Las computadoras Mac vienen con un software de copia de seguridad integrado llamado Time Machine, que se utiliza junto con un dispositivo de almacenamiento externo; para los dispositivos de Windows, el Historial de Archivos ofrece una funcionalidad similar. Los teléfonos iPhone y Android pueden crear una copia de seguridad automática de sus contenidos más importantes en la nube si se activa en la configuración del teléfono.

Si su organización utiliza el almacenamiento en la nube (como Google Drive), el riesgo de que Google se caiga o sus datos se destruyan durante un desastre es bastante bajo, pero el error humano (como la eliminación accidental de archivos importantes) sigue siendo una posibilidad. Así que explorar una solución de copia de seguridad en la nube como Backupify o SpinOne Backup puede valer la pena.

Si los datos se almacenan en un servidor local o en dispositivos locales, una copia de seguridad segura es aún más importante. Puede crear una copia de seguridad de los datos de su organización en un disco duro externo, pero asegúrese de cifrar ese disco duro con una contraseña segura. Time Machine puede cifrar los discos duros, o usted mismo puede utilizar herramientas de cifrado de confianza para todo el disco duro, como VeraCrypt o BitLocker. Asegúrese de mantener los dispositivos de copia de seguridad en un lugar separado de sus otros dispositivos y archivos. Recuerde que un incendio que destruya tanto sus computadoras como las copias de seguridad significa que no tiene ninguna copia de seguridad. Considere la posibilidad de guardar una copia en un lugar muy seguro, como una caja de seguridad.

Tenga en cuenta: si usa un proveedor de nube en un país con leyes específicas de localización de datos, consulte con expertos legales para comprender mejor cómo una solución de almacenamiento en la nube puede cumplir con los requisitos locales. Muchos proveedores de almacenamiento en la nube, incluidos Google y Microsoft, ahora ofrecen opciones que permiten a algunos clientes elegir la ubicación geográfica de sus datos en la nube, por ejemplo.

Almacenamiento Seguro de Datos

  • Almacene los datos sensibles exclusivamente en un servicio de confianza de almacenamiento en la nube.
    • Asegúrese de que cualquier cuenta conectada que se utilice para acceder a dicho servicio tenga contraseñas seguras y 2FA.
  • Establezca y aplique una política para limitar la configuración de uso compartido dentro de la nube.
    • Capacite a todo el personal sobre cómo compartir correctamente (y no en exceso) los documentos.
  • Si su organización opta por almacenar los datos localmente, invierta en personal informático calificado.
  • Mantenga las copias de seguridad de sus datos de forma segura: cifre los discos duros de las copias de seguridad u otros dispositivos de copia de seguridad.