La eclosión del modelo Cloud y las plataformas de movilidad están generando un nuevo escenario dentro de la Sociedad de la Información. Las cosas han cambiado demasiado con respecto al modelo que conocíamos hasta el momento.
Con la proliferación de los dispositivos móviles esta situación de control ha cambiado drásticamente, pues cada vez es más frecuente que determinados perfiles profesionales utilicen equipos de su propiedad para acceder a algunos sistemas corporativos.
Esta situación no se daba en el modelo IT anterior. Antes, casi todos los responsables de tecnologías de la información partíamos de la premisa de que no se podían utilizar para fines personales los equipos informáticos con conexión a la red corporativa.
Ante este nuevo escenario tenemos que plantearnos muchísimas nuevas preguntas: ¿qué se va a hacer cuando los directivos empiecen a pedir también acceso al CRM, balances, informes, etc. desde sus móviles?, ¿cómo se va a gestionar la seguridad corporativa en estos dispositivos particulares?, ¿qué consideraciones legales hay que tener en cuenta? Este nuevo escenario introduce muchísimos interrogantes y la respuesta no es fácil ni única.
El enfoque con el que tenemos que aproximarnos a este nuevo escenario requiere un modelo de seguridad nuevo. Es absurdo seguir basándonos en el concepto de que existe un perímetro de seguridad y que somos capaces de controlar todo lo que ocurre, todo lo que entra y sale a través de ese perímetro. Para empezar ya no existe un perímetro. Por hacer un símil, en la Edad Media se vivía en ciudades amuralladas con una o dos puertas donde era suficiente con situar allí alguien que sea capaz de controlar quién entra y quién sale. En nuestras ciudades actuales, la seguridad se controla a través de leyes, normas de convivencia, concienciación ciudadana, cuerpos y fuerzas de seguridad del Estado, etc.
Tenemos que entender que, dentro del nuevo escenario de la seguridad de los sistemas de información, debemos ser tremendamente creativos para encontrar la manera de aplicar a nuestro mundo virtual un modelo similar al que utilizamos en nuestras ciudades físicas.
En general, los usuarios no solo llevan en sus dispositivos móviles información personal o contactos de trabajo, sino que aproximadamente una de cada tres personas lleva habitualmente en sus dispositivos móviles información confidencial relacionada con su trabajo. En realidad, se trata de la forma en la que la gente ha decidido utilizar este nuevo escenario. Lo que sí sería peligroso es que estos usuarios desconozcan realmente cuáles son las amenazas de seguridad que están asumiendo.
Desde un punto de vista puramente tecnológico, la seguridad del Cloud no se diferencia demasiado de la seguridad de los entornos tradicionales que conocíamos hasta el momento. En realidad, los servicios Cloud corren sobre máquinas virtuales, que están alojadas en servidores físicos, que almacenan la información en cabinas de discos, conectados a través de switches, cortafuegos y routers a la Red. Nada nuevo bajo el sol en este enfoque puramente IT. Son las mismas necesidades de seguridad de toda la vida, con algún enfoque ligeramente distinto. Los tantas veces comentados problemas de seguridad en Cloud, en realidad son más de tipo administrativo o legal que tecnológico.
