
El reciente incidente de CrowdStrike muestra una vez más la fragilidad de la seguridad de los datos en la nube. Independientemente de si se trata de un error técnico o humano, este tipo de incidentes no son una rareza y probablemente seguirán aumentando en el futuro.
¿Cuándo aprenderemos de estas experiencias?
Es hora de comprender que los datos sensibles, personales y críticos para el negocio no pertenecen a la nube. Y mucho menos en sistemas Windows.
Mi experiencia personal lo ilustra claramente: en el año 2000, tras el impacto del virus Loveletter en los sistemas Windows, tomé una decisión para la joven empresa ProjectWizards que ha demostrado su valor hasta hoy: migré a OS X, un sistema operativo basado en UNIX. Durante los 20 años siguientes no se produjeron incidentes de seguridad significativos en nuestros sistemas Mac OS X y macOS.
Si Linux hubiera ofrecido entonces capacidades más maduras, quizás también habría sido una opción para mí. Sin embargo, la decisión resultó ser la correcta, pues aportó un sistema estable y fiable.
La nube no es garantía de seguridad.
El caso CrowdStrike demuestra que ni siquiera los proveedores de nube más reconocidos están a salvo de vulnerabilidades de seguridad. Las empresas deben reflexionar con detenimiento sobre qué datos trasladan a la nube y qué medidas de seguridad son necesarias para protegerlos.
O dicho de forma más contundente: todos los datos relevantes para la seguridad, los datos personales y los datos organizativos no pertenecen a la nube. Y desde luego no en un sistema Windows.
Enfoques alternativos para la seguridad de los datos:
-
Almacenamiento local de datos: Guardar los datos sensibles en servidores locales ofrece mayor control y supervisión sobre el acceso.
-
Arquitectura de confianza cero: Implementar una arquitectura de confianza cero puede reducir considerablemente el riesgo de acceso no autorizado a los datos.
-
Cifrado: El cifrado de los datos sensibles, tanto en reposo como en tránsito, es un pilar fundamental de la seguridad de la información.
-
Auditorías de seguridad periódicas: Las auditorías de seguridad periódicas permiten detectar vulnerabilidades en la infraestructura de TI y abordarlas de forma proactiva.
Conclusión:
El caso CrowdStrike debería servir, una vez más, como llamada de atención. Las empresas deben tomar en serio la seguridad de los datos y proteger su información sensible de la mejor manera posible. La nube puede ser parte de la solución, pero no debe considerarse una panacea. El almacenamiento local de datos, una arquitectura de confianza cero, el cifrado y las auditorías de seguridad periódicas son otros factores importantes para garantizar la seguridad de los datos.
Aviso legal:
Esta entrada de blog pretende ser un estímulo para la reflexión y no constituye asesoramiento jurídico. Las empresas deben consultar a un experto si tienen dudas sobre la seguridad de sus datos.
Si tiene alguna pregunta sobre este artículo del blog o desea debatirlo, esperamos su contribución en nuestro foro.