Una proveedora de servicios en la nube también debe enfrentar problemas de seguridad física para resguardar los datos sensibles, tanto suyos como de sus clientes.
Al tener que garantizar el acceso a la información en todo momento y desde todo lugar, necesita tener bajo control tanto el "mundo virtual" como el "mundo real" Debe preservar la infraestructura ante amenazas que día a día enfrentan las corporaciones y las personas en general. Es decir, tomar recaudos contra riesgos, intencionales o no, que puedan dañar tanto sus propiedades físicas como intelectuales.
Cabe recordar que una de las razones por las cuales tecnologías como G Suite y Google Cloud Platform existen es por el requerimiento internacional de preservar y acceder a información sensible de manera segura, eficiente y confiable. Lo que implica que Google, no considera "ofrecer seguridad" como una característica más sino, que es un tema que ocupa un lugar central en el desarrollo estratégico de todos sus servicios. Y como bien mencionamos en otro blog, se trata de un camino con diferentes niveles.
Son imprescindible medidas en todos los ámbitos y, a su vez, fomentar una "cultura de la seguridad": generar conciencia acerca de las mejores prácticas entre empleados, clientes, usuarios e instalar un nuevo paradigma en el cual el concepto se vuelva un valor de aplicación práctica.
-
Redundancia y consistencia
Google, todas sus subsidiarias y centros de datos, cualquiera sea su tamaño, tienen como prioridad preservar su seguridad física. Implementan mecanismos redundantes y similares a otras instalaciones de máxima seguridad a nivel internacional.
Esto incluye, por ejemplo, el uso de tarjetas de acceso electrónico personalizadas para el personal, vigilancia 24 x 7, alarmas, registro de ingresos/egresos, cámaras internas y externas, vallados perimetrales, detectores de metales, control e inspección de vehículos y también dispositivos de última generación como sistemas biométricos y detectores de intrusos.
Además de todas estas medidas, los guardias de seguridad pasan por un proceso de selección que incluye la investigación de antecedentes de todo tipo y un riguroso entrenamiento especializado.
Aun así, menos del 1% del personal accede efectivamente al corazón del centro en el cual se almacenan y administran datos. Por otro lado, los informes de actividad reflejan todo lo que sucede en cada sede e incluso sus inmediaciones.
En relación a los datos de G-Suite, permanecen fragmentados y dispersos a través de varios servidores y discos duros. El objetivo es que nadie que no sea su propietario pueda acceder a ellos y leerlos o utilizarlos de cualquier manera.
Además, se almacenan duplicados también dispersos en otros centros de datos, ya que la redundancia y la consistencia reducen el riesgo de vulnerabilidad.
La siguiente capa tecnológica involucra a la arquitectura homogénea de los servidores, diseñada específicamente para permitir cambios de configuración y actualizaciones rápidas a través de toda la red, siempre que fuera necesario.
¿Pero qué ocurre cuando por tareas de mantenimiento o renovación del hardware es necesario desechar o reutilizar algún componente?
-
Chau datos
A veces es necesario retirar componentes como, por ejemplo, discos duros en los cuales se ha almacenado información de clientes. Por supuesto, los datos se preservan en otro soporte de reemplazo, pero para garantizar la confidencialidad y sin excepción, los anteriores se destruyen antes de que el hardware abandone las instalaciones de Google.
No se trata de un simple "borrado’" sino de un proceso rigurosamente protocolizado.
-
Comienza cuando personal autorizado realiza la eliminación lógica del contenido de los discos, según el método que haya indicado el equipo de seguridad de Google.
-
En un segundo paso, otro empleado autorizado inspecciona el disco en cuestión por segunda vez, a fin de confirmar que los datos se han eliminado con éxito.
-
Se redacta después un informe en el cual se registra el número de serie del disco. El objetivo es seguir minuciosamente su destino.
-
Finalmente, la unidad borrada se envía a un proceso destinado a reutilizarla, si es posible o necesario, no sin antes consignarlo debidamente en un inventario.
-
Pero si por alguna razón el disco no puede borrarse ─por ejemplo, a causa de un fallo de hardware─ se almacenará en un depósito seguro hasta que se destruya físicamente.
Cada semana, todas las instalaciones de Google se auditan para garantizar puntillosamente el cumplimiento de esta política para el borrado de datos en discos duros.
¿Qué sucede con otras empresas? Sobre todo las grandes corporaciones encuentran dificultades mucho mayores a la hora de combatir fugas de información a través de hardware, ya sea desechado o utilizado por sus empleados. Y una vez más, la experiencia de Google acude en su ayuda.
-
Los que vienen y van
Diversos estudios y encuestas han demostrado que hasta hace muy poco la mitad de los datos corporativos confidenciales se alojaban en los escritorios, discos duros externos, dispositivos móviles y unidades USB extraíbles de los usuarios. Siendo éstos últimos directivos o empleados de cualquier nivel.
No necesariamente estamos hablando de información confidencial, pero sí de información importante, tal vez irreemplazable, o producto de meses y años de trabajo.
Por lo tanto, si se pierde, destruye o cae en manos equivocadas, puede dañar a la organización, afectar la imagen de marca, la privacidad de su personal, etc.
Este tipo de riesgos de seguridad disminuye notablemente cuando se utiliza G-Suite. Gracias a este portfolio de aplicaciones, los usuarios habilitados por la empresa acceden a la información que necesitan y sólo a aquella a la que están autorizados, eliminando la necesidad de almacenamiento en algún soporte propio y externo a la propia empresa.
Esto quiere decir que la información se mantiene segura, protegida y disponible todo el tiempo, es accesible desde cualquier lugar, a través de cualquier dispositivo conectado a internet.
De hecho, los controles, los procesos y las políticas correspondientes a la protección de datos, han superado satisfactoriamente una auditoría SAS 70 tipo II.
-
Un compromiso con la comunidad
De esta manera, tanto G-Suite como Google Cloud se convierten también en eficaces herramientas para fomentar la cultura de la seguridad, la cual Google considera una de sus contribuciones a la comunidad.
Cada profesional y empleado de Google sabe, desde su primer día en la compañía, que la seguridad será tal vez su principal prioridad y que hacia ella debe dirigir sus esfuerzos.
Muchos de ellos están abocados a este aspecto a tiempo completo. Y en este grupo se cuenta con algunos de los expertos más destacados del mundo en seguridad informática, de aplicaciones y redes.
Por ejemplo, un equipo de expertos en seguridad analiza las propuestas de arquitectura de sistemas y revisa el código en busca de vulnerabilidades. Constantemente se trata de entender qué posibles ataques pueden sufrir los nuevos productos o funciones.
Si se llega a producir un ataque, hay un equipo de gestión de incidentes especialmente dedicado a G Suite, que cuenta con un proceso rápido de respuesta, análisis y solución de problemas.
Esta manera de trabajo implica toda una metodología de investigación y también de divulgación, destinada a proteger no sólo a las organizaciones que han optado por las soluciones de Google, sino a la mayor cantidad posible de usuarios de internet.
Una de las formas concretas que adopta es, por ejemplo, el Proyecto Zero (Project Zero), un equipo dedicado exclusivamente a detectar vulnerabilidades de alto impacto en todo tipo de aplicaciones, soluciones y plataformas más utilizados, ya sean propias de Google como de otros proveedores.
Google actúa con transparencia y se compromete a notificar directamente a los proveedores de software, sin requerir la intervención de terceros.
Si te interesa la seguridad informática, descargando este e-book encontrarás mucha más información:
¿Que te pareció?