4 puntos claves para privacidad en Nube
La privacidad es un tema complejo que trata muchas disciplinas, como filosofía, ciencias políticas, ingeniería y ciencias de la computación. Especialmente con la llegada de la computación en la Nube, una de las más grandes preocupaciones de las empresas es almacenar su información en servidores más allá de las paredes de sus oficinas, y justamente, con el sigilo y conservación que esos datos requieren
En ese contexto, el mayorista Comstor recomienda que la privacidad no sólo debe ser vista como una cuestión de control de acceso en la que la información almacenada estará accesible solamente a personas, máquinas y procesos autorizados. Bien sea para el usuario o como para la empresa y el proveedor de servicios en la Nube, se necesita además tener estrategias de administración en cada categoría, las cuales garantizarán que no habrá pérdida o robo de la información.
En el modelo Cloud, éstos son los personajes principales:
• El usuario: Garantizar que no se almacenen datos no autorizados, que no se accedan a datos no autorizados, que no se expongan datos sigilosos y que no se permita la entrada indeseada de datos.
• La organización: Garantizar que la empresa no exponga en la Nube los datos estratégicos a los cuales es arriesgado que se acceda, que no se haga un juzgamiento equivocado a partir de datos parciales o incorrectos y que no se acceda de forma no autorizada a los datos personales de los usuarios.
• Los proveedores: Garantizar que no se usen los datos no autorizados de terceros involucrados en la recolección de información, que no se utilicen datos no autorizados de otras organizaciones, que no se acceda a informaciones personales no autorizadas y que no cometan errores accidentales o deliberados con los datos personales de los usuarios.
De acuerdo a esta estructura, se deben establecer estrategias específicas, como las siguientes, dicen voceros de Comstor:
• Estar seguros de que la empresa está lista para hacer la migración de datos a la Nube. No se trata de simplemente de contratar un proveedor, separar los datos y hacer migración. Se necesita una comunicación interna fuerte con los usuarios, explicándoles sobre la nueva propuesta de la empresa, cuales son las nuevas políticas y entrenamientos sobre cómo utilizar el acceso a la Nube. Es importante que se refuercen las cuestiones de seguridad y datos compartidos. La empresa necesita tener un mapa con informaciones sobre qué tipos de usuarios y máquinas podrán acceder a cada archivo, acompañando el camino de su navegación, además, necesita estudiar muy bien quienes son los proveedores, saber sus históricos de actuación en el mercado, si hubo alguna reclamación y principales problemas que enfrenta, antes de firmar un contrato.
• Planear la migración a la Nube es esencial. Es necesario que se definan qué personas estarán involucradas en esta migración y cuánto tiempo les tomará hacer que todos los datos estén accesibles a los usuarios. Después de eso, crear políticas de recuperación de datos si al caso sucede un desastre y definir la persona o equipo que será el responsable por la seguridad en la Nube.
• Crear una solución de Nube, teniendo en mente la privacidad de los archivos. Muchas empresas utilizan Nubes Híbridas, lo que significa que los datos más comunes de la empresa, los más accedidos por el equipo, que no siempre son tan estratégicos, se almacenan en Nubes Públicas, mientras tanto, los datos más robustos, confidencias y a los cuales pocos usuarios acceden se almacenan en Nubes Privadas, lo que garantiza más protección. Esta combinación tiene como principal objetivo la reducción de costos, ya que las Nubes Privadas les cobran a sus clientes por la cantidad de espacio utilizado.
• Utilizar herramientas específicas para mantener la confidencialidad de los datos. Generalización de datos, supresión, enredo y perturbación son técnicas que pueden usarse aisladamente o combinándolas para que la información se mantenga protegida, aunque usuarios no autorizados la accedan. La generalización, por ejemplo, sustituye los valores de atributos semi-identificadores por valores menos específicos. La supresión excluye algunos valores de atributos identificadores, como el de una tabla de estadística, logrando que el archivo pierda su significado. Por otro lado, la técnica de perturbación enmascara informaciones relevantes, sustituyendo los valores reales por ficticios.
En resumen, a los ojos de Comstor la empresa antes de decidirse por la computación en la Nube, debe pensar en sus colaboradores y cómo se deben envolver en el proceso de migración. También debe estar bien atenta al proveedor que contrata, estudiando su histórico, su diferencial y las herramientas que ofrece. Finalmente, tener la conciencia en sí misma de que el proceso no es fácil y que demandará la creación de reglas generales para el uso del servicio.