Seguridad de datos en la nube: hazle caso a mi abuela

¿Existe seguridad de datos en la nube que no controlas?

Photo courtesy of Abode of Chaos(CC Attribution)

Mi abuela era una señora a la que le gustaba mucho hablar de los demás, conversar con las vecinas de la calle, enterarse de todas las novedades del pueblo, y ponerse al día con los últimos rumores.

Entre todas esas frases que nos quedan grabadas cuando niños, hay algunas de mi abuela que pueden aplicarse a la seguridad de datos en la nube , como por ejemplo:

Si no quieres que algo se sepa pues es muy fácil, no lo cuentes a nadie.

La equivalencia a esta frase tan sencilla y cargada de sentido común en el mundo de los datos empresariales sería:

Si no quieres sufrir fugas de información, pues no la dejes salir sin control.

No se trata de vivir incómodos, de no ser ágiles y productivos, de tener muy difícil compartir los datos con gente con la que trabajamos, ya sea de nuestra organización o de otras. Se trata de no tirar por el camino fácil de utilizar sistemas inseguros cuando debemos trabajar con datos valiosos de nuestras compañías.

¿A quién le sorprende leer en la prensa que un grupo de hackers ha logrado entrar a los sistemas supuestamente infalibles de algún servicio online?

¿Qué características tiene una nube privada creada con un Cloud para permitirnos compartir los datos con fuentes externas y sincronizar con todos nuestros dispositivos, pero manteniendo la seguridad a la vez?

Compartir archivos en la nube: Checklist de Seguridad

Frequently Asked Questions Compartir Archivos en la nube

Photo courtesy of photosteve101(CC Attribution)

¿Cómo saber si los datos sensibles están seguros en la nube?

Introducción

Cada vez más, los usuarios se están volcando a servicios para compartir datos de nivel particular como Dropbox, y almacenar allí datos corporativos sensibles. Si bien los usuarios confían en estos servicios para llevar a cabo su trabajo, las compañías no pueden arriesgarse con estas soluciones.

Con el coste de las intrusiones de datos llegando a los millones, es esencial saber: ¿son estos servicios en la nube seguros para gestionar datos sensibles de las organizaciones?

Las regulaciones de seguridad de datos son cada vez más importantes de comprender y navegar. ¿Cumple su proveedor de servicios en la nube con las leyes de privacidad de datos requeridas en su área?

La UE tiene una larga historia de leyes relacionadas con la privacidad de datos, tanto a nivel de países individuales como a un nivel global de la unión.

Con los recientes cambios legislativos en la unión europea dando de baja el EU-US Safe Harbor Act por orden del Tribunal de Justicia de la UE, la importancia de la privacidad de datos y el control sobre ellos, asimismo como también las regulaciones locales a las que sus datos están sujetos, debe ser una preocupación central en la mente de todo administrador de sistemas. **¿Está su proveedor de servicios en la nube actualizado con respecto a los requerimientos legales específicos? ¿Cumplen con todo lo necesario y obligatorio?**

Éstas son las preguntas que este documento le ayudará a resolver. Las listas de comprobación en las páginas siguientes le guiarán a través de los problemas a los que se enfrenta, determinar su propio nivel de exposición y riesgo, y le ayudarán a asegurarse de que mantienes los requeridos niveles de seguridad, cumplimiento y gobernanza.

Primero, ¿por qué es esto tan importante?

¿Cómo evitar fugas de información con las características de seguridad de ownCloud?

¿Por qué ownCloud es más seguro que Google Drive, MS Office 365 y otras soluciones?

ownCloud es un servidor para compartir y sincronizar ficheros de nivel empresarial basado en software libre. Estas son las características que lo hacen más seguro que otras opciones de la competencia existente, para evitar sufrir fugas de información.

Código abierto y auditable

El código de ownCloud es open source, esto significa que cualquiera puede verlo y analizarlo. Una empresa que desee asegurarse de que el código hace lo que dice (y solamente lo que dice) es libre de estudiarlo por su cuenta, o someterlo al control de empresas especializadas como Veracode. Esto permite garantizar que no existen backdoors ni código malicioso o dañino en la solución escogida para almacenar y compartir nuestros datos sensibles.

Todas las transacciones y la lógica se realizan dentro del propio centro de datos del cliente

ownCloud no depende en absoluto de metadatos o transacciones exteriores. El servidor se instala dentro del centro de datos del cliente y tiene un único plano de control y administración. La gestión de cuentas de usuarios puede ser interna o integrada con sistemas de directorios LDAP o SAML, por lo que no es necesario el acceso o almacenamiento de ningún tipo de transacción en sistemas ajenos al del propio entorno ownCloud.

Bug Bounty Program

ownCloud mantiene un atractivo programa de recompensa a hackers, desarrolladores o clientes que detecten fallos de seguridad. Por medio de este programa, quien reporte un problema será recompensado con dinero, haciendo atractiva la búsqueda y eliminación de fallos de programación.

Cortafuegos a nivel de ficheros

El “Files Firewall” de ownCloud permite definir reglas para evitar la descarga (o la subida) de datos con condiciones inaceptables o arriesgadas. Podemos crear condiciones que verifiquen que no se produzca ningún acceso a los datos si las solicitudes no cumplen con ciertas garantías, por ejemplo: 

  • limitar que se pueda acceder solamente desde un cierto rango de direcciones IP, 
  • prohibir el acceso a los ficheros a determinados horarios, 
  • evitar el acceso con dispositivos móviles no corporativos, 
  • no permitir el acceso a ficheros que estén etiquetados con determinadas etiquetas (prohibirlo para todos los usuarios o ciertos grupos), 
  • prohibir el acceso a los datos a menos que los usuarios pertenezcan a grupos específicos, etc.

Compartir datos con contraseña y fecha de caducidad y opciones muy potentes

En ownCloud es muy sencillo fijar una fecha de caducidad para los enlaces de compartición públicos e internos (los primeros son usados para el acceso de usuarios anónimos o externos y los segundos para los usuarios miembros de nuestra instancia de ownCloud). El administrador puede determinar que estas opciones sean mandatorias endureciendo las condiciones de seguridad.

Además, el administrador de ownCloud puede fijar ciertas condiciones generales relativas a las opciones a la hora de compartir ficheros, estas son:

Cambiar Dropbox por ownCloud: 39 atributos diferenciales

A la hora de cambiar Dropbox por ownCloud, cuáles son los factores y ventajas que podemos esperar de un producto abierto como este? El siguiente es un listado de atributos únicos ordenados por criterios técnicos y de uso.

Clientes

1.     ownCloud tiene Clientes móviles para iOS y Android personalizables con la imagen corporativa deseada, y Clientes de escritorio para Macintosh, Windows y Linux.

2.     Cliente HTML5: El sistema es accesible con un navegador web para realizar la mayoría de las operaciones disponibles en el cliente nativo.

3.     Experiencia de usuario consistente en los clientes de Linux, Macintosh y Windows con funcionalidades equivalentes.

4.     Los parámetros de configuración del agente de sincronización de ownCloud permiten a los usuarios finales definir qué carpetas sincronizar, personalizar los límites de tamaño a sincronizar y trabajar off line con los datos.

Integración con otros repositorios

Si pensamos en cambiar Dropbox por ownCloud, es interesante tener en cuenta la facilidad de acceso a otros sistemas de almacenamiento de datos (incluido hasta el propio Dropbox, Google Drive, FTP, WebDAV, etc)

5.     Integración con MS SharePoint y otros gestores de contenidos. ownCloud es capaz de vincularse con SharePoint y manipular los ficheros desde su interface.

6.     Integración del contenido de carpetas compartidas Windows. Se puede integrar con shares Windows y manipular los ficheros desde la interface del EFSS.

Instalación en modos on premise, cloud o híbrido

7.     Posibilidad de despliegue 100% on premise: Flexibilidad para instalarse de forma completa o parcial (por ejemplo en el caso de una oficina o departamento) de forma 100% on premise dentro del centro de datos del cliente.

8.     Posibilidad de despliegue 100% en la nube: ownCloud es capaz de instalarse en una solución 100% en la nube.

9.     Despliegue Híbrido, ownCloud también es capaz de instalarse en modo híbrido, con una parte de los datos on premise y otra en la nube.

Acceso Universal a los datos

10. ownCloud facilita el acceso universal a toda la información no estructurada sin importar dónde resida: Microsoft SharePoint, file servers, object stores, entornos en la nube, ordenadores locales, etc.

11. ownCloud brinda un único punto de acceso sencillo a dispares almacenamientos de datos (WIND,Amazon S3,FTP, SharePoint,etc) dando consistencia a la experiencia del usuario que no cambia, a pesar de movimientos en los datos.

Seguridad y Administración

Aplicaciones de ownCloud: mucho más que enviar archivos grandes

Ventajas generales de ownCloud

  • Montar una nube privada con ownCloud nos permite mantener el control y saber qué información es accesible, quién la utiliza, con quién la comparte, cuándo y desde dónde.
  • Es compatible con cualquier modelo de cifrado actual y las claves las administra el propio cliente. Los metadatos quedan en casa.
  • Se puede montar almacenamiento externo en nubes públicas dentro de ownCloud (incluso cifrándolo) para seguir permitiendo acceso a lo que los usuarios puedan tener, añadiendo seguridad.
  • En vez de prohibir (y tentar al diablo) incorporamos lo existente para que los usuarios puedan acceder de forma universal a sus datos, pero manteniendo el control por nuestra parte.

Relacionado con esto, una de las ventajas principales es que puedes instalar aplicaciones dentro del propio ownCloud

Si bien una de las principales necesidades que se cubren con una solución de “Enterprise File Sync and Share” como ownCloud es la de compartir y hacer accesible de forma universal toda la información no estructurada en poder de los usuarios (dentro de cuyas utilidades tenemos la posibilidad de enviar archivos grandes), una faceta diferencial de este producto es la facultad que tenemos los usuarios de instalar aplicaciones que aporten más funciones. Las aplicaciones de ownCloud son desarrolladas en algunos casos por los programadores de la empresa, y en otros por terceros, generalmente miembros de la comunidad open source que está detrás del software de ownCloud.

La dirección para descarga de aplicaciones es http://apps.owncloud.com. Allí podemos dirigirnos para buscar aplicaciones, descargarlas e instalarlas de inmediato en ownCloud.

ownCloud es mucho más que enviar archivos grandes

En esta dirección podremos buscar aplicaciones ordenadas por categorías y, sobre todo, filtrar las que cumplan con la condición de estar rankeados por encima de un determinado umbral por parte de los propios usuarios.

Las apliaciones más descargadas son las siguientes:

6 ventajas de reemplazar Dropbox por ownCloud

Reemplazar Dropbox por ownCloud tiene sentido

Photo courtesy of perspec_photo88(CC ShareALike)

1. Seguridad 

Dropbox puede ser una solución muy cómoda para no tener que gestionar a los usuarios: permite que cualquier persona con una conexión pueda darse de alta y comenzar a subir datos corporativos sensibles a una nube con copias de los mismos en centros de datos desconocidos y repartidos por todo el mundo sometidos a la jurisprudencia del gobierno de Trump.

Donald Trump

Photo courtesy of Gage Skidmore(CC ShareALike)

Reitero: cualquier persona con una conexión puede darse de alta y comenzar a subir datos corporativos sensibles a una nube con copias de los mismos en datacenters desconocidos y repartidos por todo el mundo sometidos a la jurisprudencia del gobierno de Trump.

Si Ud. tiene una idea de “seguridad de información” un poco alejada de lo que le acabo de decir, podrá comprender el valor de tener una herramienta como ownCloud que brinda comodidades y características que le permitirán reemplazar Dropbox manteniendo la experiencia de usuario pero donde su empresa fija las reglas.

El problema más grave al que se enfrenta si no ofrece alternativas a Dropbox o WeTransfer es que los usuarios buscarán el resquicio por si mismos y se saltarán las reglas del manejo seguro de la información.

ownCloud y la ley de protección de datos

¿El acceso a la información corporativa está fuera de control?

Muchos empleados utilizan hoy en día servicios en la nube para compartir datos sensibles entre sí, con proveedores, con clientes, y con socios. Sincronizan los datos con sus dispositivos personales y ordenadores en el hogar, dentro de un esfuerzo para ser más productivos en su trabajo (sin la supervisión del Departamento de Informática). La necesidad de acceso universal (desde cualquier sitio y dispositivo) y en cualquier momento es palpable, y si no damos respuesta a esta legítima aspiración, debemos estar preparados para combatir vulnerabilidades nuevas con frecuencia.

Los riesgos

Riesgos de incumplir la ley de protección de datos

Riesgos de incumplir la ley de protección de datos.

Los servicios para usuarios de consumo en la nube almacenan datos sensibles en servidores fuera de control de nuestros informáticos, violando políticas corporativas y requerimientos regulatorios (incluso muchas veces fuera del propio país) y sin ningún tipo de gestión. Los riesgos de fuga de información, vulnerabilidades a la seguridad, violaciones a la normativa y daños al negocio son enormes.

Incluso sin sufrir ningún tipo de ataque o caída, estos servicios pueden incumplir la ley de protección de datos  y como se trata de un tema sensible y en permanente revisión, permitir de forma corporativa que los usuarios accedan y utilicen esas plataformas públicas (ya sea porque lo fomentamos o porque no lo evitamos) nos añade un grupo de tareas más para intentar tapar los agujeros legales actuales o futuros.

¿Cómo puede ayudarnos ownCloud?

Cómo mejorar la auditoría de datos con alternativas a dropbox

Si ya eres usuario de Dropbox Pro o Dropbox para Empresas y estás buscando alternativas a dropbox es probable que una de las cosas que te preocupe sea mantener el control de la actividad relacionada con los datos.

ownCloud informa a los usuarios sobre los eventos relacionados con las carpetas y ficheros de dos maneras habituales y simples (la aplicación de “Actividad” y avisos por email) y en la versión Enterprise produce unos logs detallados que informan al Administrador con gran nivel de profundidad. Veamos con un ejemplo concreto:

Cuando “los malos” saben cómo se llamaba tu primer mascota (y cómo ownCloud puede ayudarte)

ownCloud ayuda a evitar estas noticias

con ownCloud esto se evita.

Hace unas semanas las noticias decían que habían robado datos de acceso de millones de usuarios de Dropbox. Esta semana, las malas nuevas provienen de Yahoo. Lo que me ha sorprendido en este caso es que Yahoo (que se nota que es una empresa vulnerable pero transparente, o lo intenta) avisa que el robo de nuestros datos de acceso, preguntas de seguridad y otras cosas sensibles, ha ocurrido a fines de 2014.

¿Cuáles son las diferentes versiones de ownCloud?

Versiones y Suscripciones con soporte de ownCloud

ownCloud tiene, a grandes rasgos, dos versiones: la versión gratuita soportada por la comunidad de Software Libre en www.owncloud.org y luego una de pago mantenida y soportada por www.owncloud.com. En este caso, ownCloud ofrece soporte en modo de suscripción anual en dos versiones: Estándar y Enterprise.

Estándar

Esta suscripción nos brinda soporte directo del fabricante (en castellano por medio de Leantricity en España) y tiene las mismas características funcionales, exactas, que la versión gratuita. Es decir, que esta suscripción añade una capa de apoyo y ayuda de expertos en el producto para cuando queremos ponerlo en producción con garantías.

Enterprise

Las versiones de ownCloud Estándar y Enterprise incluyen soporte del fabricante, pero esta añade además funciones adicionales que se instalan sobre el servidor Estándar y lo convierten en Enterprise. Estas funciones son importantes y útiles en caso de entornos empresariales, no se dispone de ellas en la versión Estándar y el siguiente es un cuadro resumen de las mismas:

Cuadro resumen versiones de ownCloud

Cuadro resumen versiones de ownCloud.

¿Cómo saber cuál de las versiones de ownCloud necesito?

Depende de la respuesta a las siguientes preguntas.

¿Quieres hacer una prueba rápida para ver cómo funciona y si cumple con tus necesidades y expectativas? Puedes comenzar por la versión Estándar, decargándola del siguiente enlace.

¿Necesitas auditar las actividades de creación, borrado, compartido, descarga y subida de ficheros? Necesitarás las capacidades de logging de la versión Enterprise.