Desde hace años, las empresas externalizan sus servicios, servidores, bases de datos, correo electrónico, servicios de Internet en proveedores (Internet Service Providers o ISP) que disponen de Centros de Proceso de Datos (CPD) con unas medidas de seguridad mucho más elevadas que las medidas de seguridad que, por lo general, tienen implantadas las empresas dentro de sus propias instalaciones. La cuestión es que hasta ahora esta externalización se hacía sobre servidores físicos en lugar de hacerlo sobre servidores en Cloud, pero la realidad es que hace más de 10 años que las empresas han optado por el modelo de outsorcing.

Olof Sandstrom

Si el CPD del proveedor se cae, el servicio se cae, pero una vez más esto no tiene absolutamente nada que ver con el Cloud. Los CPD ya se caían antes de la aparición del Cloud. De hecho, se caían antes de que apareciera Microsoft, Linux y la mayoría de los sistemas que utilizamos hoy en día.

Las organizaciones deben confiar en las medidas de seguridad que el proveedor haya puesto en producción, y escoger para ello a un proveedor capaz de ofrecerles las máximas garantías, de seguridad y de disponibilidad. Normalmente, estas medidas – alta disponibilidad, cortafuegos, sistemas de detección y prevención de intrusiones, monitorización 24×7, gestión de capacidad, etc. – se acuerdan previamente a la puesta en producción del servicio. Y el proveedor tendrá que encargarse de ofrecer a su cliente las medidas más eficientes y que mejor se ajusten a sus necesidades específicas.

Cabe decir que, normalmente el nivel de seguridad que proporciona un ISP suele ser bastante más elevado que el que proporciona una empresa en sus propias instalaciones. No es frecuente que una empresa disponga de un CPD con dos centros de transformación eléctrica, dos grupos electrógenos, dos sistemas de alimentación ininterrumpida, dos circuitos de datos, un equipo técnico con presencia 24×7 y cortafuegos en alta disponibilidad, sistemas de detección y prevención de intrusiones en producción, en definitiva, un equipo técnico altamente cualificado monitorizando y supervisando la situación de los distintos servicios.

Minimizar los riesgos y garantizar la seguridad

Además de los equipos de sistemas de detección y prevención de intrusiones, hoy en día cualquier servidor que esté conectado a Internet recibe ataques, por eso es necesario contar con un equipo humano de profesionales de seguridad que modelicen estos ataques y programen firmas específicas que sean capaces de detectarlos y bloquearlos.

Los ISP suelen contar con estos profesionales en plantilla, de forma que sus sistemas de detección y prevención de intrusiones están mejor ajustados que los que están en producción en aquellos entornos en los que no se cuenta con este equipo técnico.

En definitiva, y teniendo en cuenta que, al igual que siguen existiendo las mismas amenazas que existían en el modelo tradicional, cuando la información se almacenaba en servidores físicos, también existen los mecanismos para minimizar riesgos y ofrecer garantías de seguridad. La clave para que la empresa pueda tener la certeza de que su información y sus sistemas están seguros radicará en que ésta haya sabido elegir a su proveedor.