Ha llegado la hora de los CPD’s: certificarse o morir
Los Centros de Procesos de Datos (CPD) han ido cogiendo protagonismo poco a poco, con la moda de servicios CLOUD. En la actualidad esto se ha acelerado de tal modo que ya conforman uno de los sectores de mayor crecimiento tras la pandemia. Pero muchos de ellos tienen un grave problema: no poseen las certificaciones necesarias. Particularmente no poseen la ISO 27001 ni el Esquema Nacional de Seguridad (ENS), lo que los deja en fuera de juego, con los clientes o posibles clientes que tengan que cumplir en cadena.
Un centro de datos es una instalación que alberga todas las estructuras básicas e infraestructuras de tecnología de la información (TI) de una organización. Hablamos de servidores, equipamiento eléctrico, electrónico e informático. También se encarga de centralizar las operaciones de TI realizadas. Por ejemplo tener acceso a la información de todos los datos de sus clientes y las operaciones que realizan. Por ello es una estructura básica para cualquier empresa, sea pública o privada.
En un principio, las empresas tenían sus propias instalaciones, pero con el tiempo, los problemas de ciberseguridad, legislativos, económicos o de espacio ha ido obligando a las empresas a renunciar a su propia instalación para alojar todas sus operaciones en CPD’s. Y esto es válido para empresas grandes, medianas o pequeñas. De este modo los CPD’s también han crecido y actualmente se pueden encontrar desde centros en pequeños espacios hasta grandes centros que ocupan edificios enteros.
Podéis leer más información (también técnica) sobre los CPD’s en la Wikipedia o en un artículo algo antiguo y básico del Incibe pero muy claro y esquemático AQUÍ.
¿Cuál es el problema?
Desde su origen los CPD’s estaban obligados a seguir una serie de estándares muy variados. Entre ellos podríamos citar los geográficos (no pueden estar en lugares potencialmente inundables, por ejemplo); técnicos (deben tener infraestructuras fácilmente disponibles como energía eléctrica, carreteras, centrales de telecomunicaciones o bomberos); seguridad física (cámaras de seguridad, detectores de movimiento, cerraduras electromagnéticas, etc.); seguridad lógica de la propia instalación (medidas de protección y/o alertas ante caídas de tensión, desastres naturales, incendios, accesos no autorizados…).
Y esto que comentamos no es banal. Lo podemos comprobar en nuestro día a día. Últimamente son varios los clientes que nos llegan por circunstancias de este sector. Ya no es solo porque tengan que cumplir leyes en protección de datos, sino que tienen clientes, y posibles clientes que han de cumplir con la “rueda” o cadena normativa.
Dicho de otra manera: si una empresa quiere o debe certificarse en el Esquema Nacional de Seguridad va a exigir que sus proveedores, al menos los que afectan a la certificación, y por lo tanto, datos, que también estén certificados. Y esto es válido para el ENS, la ISO 27001 y otras del estilo.
El problema es que estos estándares ya no bastan, porque el mercado y la legislación obliga a que estos centros tengan una certificación dentro del área de la seguridad de la información. Particularmente hablamos de la ISO 27001 y del Esquema Nacional de Seguridad (ENS).
Los CPD’s que no dispongan de estas certificaciones quedarán automáticamente fuera de las necesidades del mercado, porque muchos de sus clientes se ven obligados a cumplir la cadena normativa. Así que no exageramos nada cuando decimos que a llegado la hora de los CPD’s: certificarse o morir
Para las empresas es fundamental, porque si a la seguridad que ofrece un CPD se le añade haber seguido el proceso de una certificación (recordamos que no solo es burocracia), está incorporando competitividad, diferenciarse de la competencia y en consecuencia, más negocio.
Os recordamos que la certificación es un paso más en todo este proceso. Si pensáis que con un CPD todo está resuelto para vuestra empresa, dejad que os recordemos este artículo publicado en este blog titulado ¿Quién tiene la responsabilidad de nuestros datos en la nube?
Y es que todo el tema relacionado con los datos es un tema muy serio. Al contrario de lo que suele pensarse, no solo es un proceso burocrático a cumplir, como estamos viendo en muchos casos de protección de datos en nuestros clientes. Pero de eso, ya hablaremos otro día…
¡Podéis obtener estas certificaciones
con la ayuda de TECNOideas!
Solicitad más información AQUÍ.
Imagen principal: evertonpestana en Pixabay
- Publicado en Certificaciones, General, Mantenimiento, Normativa, Noticias, Seguridad
¿Archivos en la nube? Sí, pero de forma segura y cumpliendo la RPGD
Las populares marcas del mundo informático no dejan de proponernos que guardemos nuestros archivos en sus servidores. Y poco a poco frases como “Guárdalo en la nube”, “Súbelo a la nube”, “Migra al iCloud” han pasado a formar parte de nuestro lenguaje habitual, casi en el mismo ámbito de “estar en el limbo”. Y del uso particular al empresarial. Uno de los puntos fuertes de la digitalización de las empresas, en general, sean del sector que sean, es el tener una “nube”. ¿Archivos en la nube? Sí, pero de forma segura y cumpliendo la RPGD.
Aunque técnicamente nube o cloud, pueden ser muchas cosas, la gente lo asocia, casi mayoritariamente, a tener sus archivos subidos a un servidor, y puede que compartidos con el equipo o terceros, como gestores, asesores financieros, etc.
Es aquí donde empiezan los problemas de ciberseguridad y protección de datos. Pero hay que saber que no es solamente una cosa nuestra, sino que las plataformas son así, y hay leyes de por medio, que dictan donde y cómo debemos tener nuestros datos empresariales.
El problema aumenta con las diferentes alternativas de nube que hay en el mercado, porque son muchas. Las más conocidas: Google Drive, Microsoft OneDrive, Dropbox, etc. Pero lo que deberíamos preguntarnos antes de sucumbir a la presión de los sistemas informáticos de nuestros ordenadores es: ¿Están encriptadas? ¿Cumplen la RPGD/LOPD? ¿Son fáciles de usar? ¿Tienen medios para poder auditar rápidamente? Y así, muchas más preguntas.
Antes de continuar, os recordamos las siglas: RPGD es el Reglamento Europeo de Protección de Datos y LOPD es la Ley Orgánica de Protección de Datos.
Bien, ya nos hemos formulado esas preguntas y entonces averiguamos que las nubes comunes y de pago no cumplen todo esto. ¡Tenemos que buscar otro tipo de soluciones!
Desde TECNOideas os diremos que hay una muy reconocida, muy recomendada y que además es opensource, o sea de código abierto. El tener código abierto es muy ventajoso, porque significa que cualquier persona puede ver el código del software. Y eso nos lleva a que podemos buscar proveedores de pago o montarnos nuestra propia plataforma. Tomad nota: estamos hablando de Nextcloud. Y si alguno de vosotros, que no nos conoce mucho, puede llegar a pensar que tenemos un interés especial en Nextcloud, os lo sacaremos de la cabeza diciendo que hasta el CCN-Cert lo recomienda. Lo podéis leer en ESTE enlace.
Pero… ¿qué es Nextcloud?
Nextcloud, es una herramienta completa orientada a empresas y particulares, cuya función es actuar como un servidor de almacenamiento en la nube de fotos, datos, archivos… ¡y mucho más! Está desarrollado con el objetivo de ofrecer rentabilidad y productividad a empresas, aunque su uso es completamente útil para particulares. Por ello permite una gran personalización a través de la instalación de Apps o módulos, que permite ampliar funcionalidades más completas, según las necesidades.
Eso es lo que reza en su página web, y realmente es eso y mucho más. Comienza con los archivos en la nube, encriptados, para que nadie pueda verlos, por mucho que entre a la fuerza.
Tiene aplicación de escritorio, “como las mejores”. Esto es algo que nos solicitan muchas empresas. Y también, la comunicación entre el escritorio y el servidor es encriptada. Pero por supuesto, puedes trabajar solo contra navegador.
Y además… muchas otras cosas: calendario, webmail de correo, mensajería instantánea, videoconferencia, y multitud de herramientas más, ya que al ser opensource, o sea, el código abierto a todo el mundo, se pueden realizar añadidos muy interesantes.
Nosotros por ejemplo, siempre usamos, e intentamos convencer (y casi “obligar”) a nuestros clientes, a que usen un gestor de contraseñas, como Keepass o variantes. Pues efectivamente, hay una aplicación para poder integrar este software, y gestionar todas nuestras contraseñas en la suite de Nextcloud, porque ya es eso, una suite.
Los temas de control y auditoría, por ejemplo, son todo facilidades. Un log de actividad, tanto reciente como histórico, ver archivos compartidos y con quien, etc.
Ahora lo de siempre ¿es gratis? Es opensource, eso quiere decir que os lo podéis descargar, y a partir de ahí, depende de lo “manitas informático” que seáis. Si tenéis un mínimo de conocimientos, vosotros mismos podéis instalarlo, configurarlo, mantenerlo y hacerlo funcionar.
Pero si no es vuestro caso, tenéis varias opciones, como contratarlo a un proveedor externo, que hay unos pocos en Europa (tema RPGD) o, mucho más fácil, nos lo podéis pedir a nosotros. TECNOideas os contratará un VPS solo para vuestra empresa, os lo instalaremos y lo pondremos en marcha. ¡Fácil!
Este es un ejemplo más de los servicios añadidos que TECNOideas puede ofreceros. Porque lo mejor en este mundo es adaptarse a las necesidades reales de cada empresa. Y eso significa que podemos recomendaros soluciones concretas para cada necesidad. Por eso cuando os pregunten ¿Archivos en la nube? La respuesta debería ser siempre “Sí, pero de forma segura y cumpliendo la RPGD”.
¡Contactadnos y solicitadnos un presupuesto!
Imagen principal: 200 Degrees en Pixabay
- Publicado en Consultoría, General, Noticias, Productos, Seguridad, Software libre
¿Qué es la nube exactamente?
Hemos visto que han llegado a nuestro blog varias visitas con esas preguntas realizadas al Sr.Google, así que vamos a explicar resumida y rápidamente, que es eso que tiene como definición en el ámbito tecnológico como Nube.
Nos referimos a "nube", cuando tenemos cualquier tipo de solución en Internet, como copias de seguridad, sincronizador de ficheros, soluciones empresariales (ERP) o de contactos (CRM) vía web, soluciones de seguridad (antivirus, firewalls, filtros de dns…), y así mil etcéteras.
Resumiendo aplicaciones, plataformas e infraestructuras externas y accesibles desde cualquier lugar a través de Internet, aglutinan nuestro pequeño espacio en la Nube.
- Publicado en General
Nube nube nube…
No hay nada peor que cuando algo se pone de moda, se consume y nadie se pregunta si le gusta o le va bien (sea o no cierto, ojo), como los Gin tonics o la marca Apple en su totalidad.
Lo mismo o peor pasa con los servicios en la nube, desde los SaaS ya sean ERPs, CRMs o todas las variantes que pueda haber, sistemas operativos in the Cloud como EyeOs, backups online o Cloud Computing.
Todo lo anterior es genial, ayuda a los empleados y a la empresa en sus tareas, se gana en productividad, pero ¿como quieren que tengamos todos estos servicios colgados en Internet cuando seguimos teniendo unas velocidades de acceso primitivas? A esto se le añaden los servicios normales, correo (ya nadie pone peros en enviar adjuntos de 8mb), navegar por Internet (las páginas cada día son más pesadas porque cada día tenemos mejores equipos y conexiones de banda ancha¿?), y como no, streaming de audio y video (spotify y variatnes, junto a youtube).
Casi todos los clientes medianos que tenemos están en una "gran" ciudad como Barcelona, y ninguno tiene cobertura adsl mayor de 10 mb, o instalación o posibilidad de fibra óptica. Esta última tecnología no triunfo, o no la dejaron triunfar, ya que tenía un gran coste de implementación, y cuando veíamos con buenos ojos redes 3G de alta velocidad con dispositivos HSPDA que nublan las conexiones de toda la vida, siguen sin haber alternativas empresariales asequibles, ya que hoy en día nadie puede, ni quiere pagar millonadas por "nuevas" tecnologías.
- Publicado en Consultoría
Sentirnos seguros en la nube.
No he titulado este post "Seguridad en la nube" como tenía inicialmente planeado, porque no deja de ser un sistema con muchas puertas abiertas a cualquiera que tenga Internet y unos pocos conocimientos, y viendo lo que ha pasado últimamente con Playstation Netword, Xbox Live!, Citybank,etc… ya vemos que cualquier gran sistema por robusto que parezca, tiene vulnerabilidades.
No es un artículo alarmista, sino de contrapartidas, ¿porque usamos servicios en la nube?, porque son baratos, sencillos, fáciles de implantar, con una seguridad a fallos físicos a prueba de duda, escalables, y así podría seguir un rato.
Pero, ¿es fácil de hackear una cuenta en la nube?, no más fácil que mil cosas más, sólo que como decía al principio, todo el mundo tiene acceso, y a nivel porcentual es fácil comparar sistemas cerrados con sistemas en el ciberespacio.
¿Nadie podrá ver mis datos?, es volver al punto anterior.
¿Y si un gobierno reclama judicialmente a la compañía donde tengo datos alojados?, se los tendrán que facilitar siempre y cuando esta compañía tenga el alojamiento físico de esos datos en el mismo país donde se cursa la petición judicialmente. Recordemos que todo "esto" de Internet es nuevo, y las leyes evolucionan (y de momento no demasiado bien) sobre la marcha, y aún no hay demasiados acuerdos bilaterales al respecto de este tema.
¿Y si un dispositivo móvil está sincronizado automáticamente con "mi nube"?, pues como no tengamos sistemas de seguridad opcionales, que los hay y ha buen precio (a parte de antivirus y antiintrusos, borrado remoto de dispositivos), físicamente no es difícil de acceder (aunque como he comentado antes y para no ser fatídico, hay que tener conocimientos o ser bastante "espabilado", que es casí más importante).
No voy a entrar en valoraciones personales en cuanto a derechos, paranoias y conspiraciones, simplemente quería contraponer los beneficios con las posibles desventajas, y dejar el dato de que es mucho más alto el porcentaje de robo físico (de nuestro portátil, dispositivo móvil, hurto en nuestro hogar o en la calle) que en un sistema online.
- Publicado en Seguridad, Teorías conspiratorias