5 riesgos de trabajar en la nube que tienes que considerar para tu negocio

Leíamos recientemente una noticia en la que informaban sobre la decisión de Dropbox de facilitar información a las autoridades y nos ha llevado a plantearnos sobre los potenciales riesgos que podría suponer esta u otras situaciones para tu negocio.

Trabajar en la nube se ha convertido en algo habitual tanto en el entorno familiar como en empresarial. Las personas se están acostumbrando a las bondades y facilidades que suponen disponer de un acceso sincronizado y actualizado de datos en cualquier parte del mundo y a través de cualquier dispositivo. Se aumenta en comodidad, productividad y permite que la colaboración entre equipos reduciendo sensiblemente los costes. Pero, ¿alguna vez te has parado a considerar los riesgos de este cambio de comportamiento?

En ese sentido hemos querido destacar los 5 riesgos más relevantes que tiene trabajar en la nube y que tienes que considerar para tu negocio:

1.) Pérdida de datos por cancelación del servicio: Con el paso del tiempo nos hemos ido acostumbrando a las facilidades que ofrecen servicios como DropBox, Google Drive, Evernote, etc. para utilizar nuestros archivos en diversos dispositivos y compartir contenidos con facilidad con clientes, proveedores, familiares y amigos. Ahora bien, es posible que una PYME tenga suficiente con los planes básicos y gratuitos de estos servicios de cloud. Desconocemos los detalles de los términos y condiciones de cada servicio -tarea que dejamos pendiente para una entrada posterior- pero podemos suponer que el que nada paga a nada tiene derecho. Esto es, que al estar utilizando un servicio gratuito lo más seguro es que no tendríamos posibilidad de reclamar por daños en caso de cancelación de nuestra cuenta. Esta regla tácita es la que ha ido imperando desde el inicio de los servicios gratuitos en internet. Es poco posible que se intente un desarrollo de la normativa sobre protección de consumidores y usuarios en ese sentido y lo más seguro que lo único que podría producirnos un cambio de paradigma fuera una gran presión por parte de los propios usuarios sobre los servicios para exigir un cambio en sus políticas.

2.) Pérdida de datos por concurso de acreedores: Muchas de las empresas que ofrecen estos servicios en la nube y que hemos adoptado cómodamente son empresas relativamente jóvenes cuya continuidad no está asegurada, cuyas valoraciones millonarias están basadas muchas veces en retornos estimados y cuyas cuentas todavía no se han publicado (ej. DropBox o Evernote). En este supuesto también para el usuario que ha contratado una cuenta de pago existiría el riesgo de perder toda su información en caso de que descontinuación del servicio por imposibilidad de hacer frente a los pagos de infraestructura necesarios para seguir ofreciendo el servicio.

3.) Pérdida de datos por fallo de servicio y ausencia de copias de seguridad: Este riesgo de pérdida de datos por ausencia de copias de seguridad puede derivarse tanto por una cancelación del servicio (unilateral o forzada a causa de un concurso de acreedores), un fallo en el servicio que comprometa la integridad de los datos como por un mero error humano del propio usuario. Antes teníamos el problema de contar con varias copias de los mismos archivos en diversos dispositivos, en USBs, discos externos, etc. con lo que incluso una poco disciplinada empresa podría asegurarse ser capaz de restaurar sus datos en caso de que ocurriera algún fallo. La laxitud de medidas de seguridad para los datos que se toman con los servicios de cloud computing son preocupantes puesto que la información está almacenada en un único lugar centralizado lo cual puede ademas de ser una de sus mayores ventajas convertirse en uno de sus mayores problemas. ¿Qué ocurriría si esa copia única centralizada desaparece o acaba corrompida?

4.) Acceso no autorizado por terceros: La disponibilidad del sistema las 24 horas del día y los 7 días de la semana también supone que éste podría ser vulnerable ante la intrusión de terceras personas no autorizadas. Esta intrusión puede realizarse tanto de forma maliciosa e intencionada como darse por un fallo del proveedor del servicio. De hecho, el acceso no autorizado a los datos podría realizarse sin comprometer la seguridad del propio proveedor del servicio obteniendo el acceso a los datos del cliente. Normalmente todos estos servicios acceden a través del correo electrónico. En caso de vulneración de la seguridad del correo electrónico del cliente -un servicio prestado normalmente por otro proveedor- podría producirse un acceso no autorizado.

5.) Revelación de los contenidos de una cuenta a autoridades: Este es precisamente el riesgo que no ha hecho pensar en los posibles problemas que puede acarrearnos trabajar en la nube. Aquellas entidades que manejen una determinada cantidad de información confidencial deberían de considerar seriamente cómo les podría afectar la política de transparencia de los proveedores de servicios. Cuando la autoridad competente solicite el acceso a un determinado tipo de información, nosotros también deberíamos estar preparados para poder facilitar dicha información en cumplimiento con le legislación vigente. Ahora bien, cuando la autoridad competente nos dirija a nosotros mismos ese requerimiento, será nuestra propia voluntad, iniciativa y decisión la de revelar dicha información. En cambio, si un proveedor de servicios en la nube recibe tal requerimiento y revela los contenidos almacenados en nuestra cuenta empresarial lo más seguro es que no sepamos qué información ha sido revelada y cuándo lo ha sido. Este es un punto clave. Los acuerdos de confidencialidad estándar suelen incorporar un cláusula que, en caso de tener conocimiento de la obligación de relevar información considerada confidencial, se notificaría a la parte titular de dicha información para que pudiera procurar detener dicha revelación de información acudiendo a la vía judicial. En este caso, dicha posibilidad no existe puesto que ni tan siquiera sabríamos que nuestra información ha sido revelada. Otro problema es determinar qué consideramos “autoridad competente”. Dependiendo del país en el que nos encontremos la concepción sobre quién debería y quien no debería estar autorizado a solicitar ese tipo de información varía. Mientras en algunos países lo más seguro es que pueda solicitar dicho acceso cualquier agencia federal, habrá países en los que el acceso a esa información sólo se producirá mediando un requerimiento judicial.

Así las cosas, la conclusión resulta bastante sencilla: si la empresa es suficientemente grande y cuenta con información crítica para su funcionamiento debería optar por desplegar su propia infraestructura en vez de utilizar los proveedores mencionados. En cambio, si estamos ante una PYME de cualquier tamaño (incluidos autónomos y start-ups), éstas deberían desarrollar un plan de contingencia y analizar las estrategias que van a adoptar para mitigar los efectos de la aparición de cualesquiera de los riesgos anteriormente mencionados. Y tú, ¿ya eres consciente de los riesgos jurídico-económicos del uso de los proveedores de servicios en la nube?

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *