Ciberseguridad cuando tu empresa está en la nube: "El entorno 100% seguro no existe"

Tienes una pyme centralizada en una nave en la que guardas tu stock y que hace las veces de oficina. Una mañana, aparentemente igual a todas las mañanas, llegas a primera hora y lo que descubres es que un incendio se lo ha llevado todo por delante. Adiós nave. Ocho horas después, tus empleados y tú teletrabajais desde casa, intentando capear el temporal y tratando de mantener la actividad. 

Esta situación, aparentemente tan imprevisible, es un caso real que vivió un cliente de beServices, empresa proveedora de cloud computing y servicios de consultoría para empresas. Tener su software de facturación en la nube, así como un sistema de backup y de réplicas de información contratados, posibilitó replicar el backup sobre servidores en la nube, ampliar los servicios de cloud para poder acceder a escritorios en remoto, y volcar las copias de seguridad al nuevo entorno en la nube. 

Como resultado de esta “maratón”, tal y como la describe Joan Cuello, director comercial de beServices, la única información perdida fue la del día anterior, previo al incendio y al backup automático. 

“Es uno de esos ejemplos que la gente explica como una posibilidad remota, pero son cosas que ocurren. ¿Qué le puede suponer a una empresa tener la actividad parada tres días? Pues puede ser mucho dinero. Y tres días es muy optimista en según qué casos”, señala Joan Cuello.

Hablamos con el director comercial de beServices para repasar las potenciales ventajas de trabajar en cloud, es decir, administrar, almacenar y acceder a los datos a través de plataformas en la nube, en vez de con equipos físicos, así como de los posibles riesgos asociados a estos espacios de trabajo digitales.  

¿Qué suele motivar que una empresa opte por empezar a trabajar en la nube? 

Hay tres pilares que acaban decantando la balanza para trabajar en la nube en la mayoría de las empresas, desde las pequeñas a las no tan pequeñas. 

La primera es el hecho de optimizar los costes. Muchas veces cuando te planteas cambiar de un entorno físico que ya tienes amortizado a un entorno cloud, la primera duda está en que te están planteando un coste mensual fijo. Pero si analizas realmente todo lo que incluye esa partida mensual te das cuenta de que el coste está más acotado.

Está demostrado que cuando la empresa compra hardware, en la adquisición de la primer factura está cubierto el 27% de lo que van a consumir en informática en los cinco primeros años después de la adquisición del equipo.

En cambio, en la tarifa del cloud la mayoría de los proveedores ya tenemos asumidos otros parámetros que hay que tener en cuenta como es la asistencia, el antivirus, la seguridad, las renovaciones, etc. Así que la parte económica, cuando está bien analizada, es la primera de las razones para ir a la nube.

También está la mejora de la productividad, que quizá es la más evidente. Poder trabajar todos en entornos homogéneos y permitiendo a una empresa el estar en cualquier sitio: plena movilidad, trabajo en remoto, menores tiempos de respuesta de cada uno de los empleados respecto del sistema informático… Esto va muy acorde a cuando una empresa tiene equipos de comerciales o de técnicos: los tiempos que necesitan para actuar respecto al sistema informático en los desplazamientos, desaparecen cuando están en cloud. 

Afortunadamente, las empresas de cloud en el servicio suelen implementar capas de seguridad ‘de multinacional’ y permiten blindar mucho qué uso se hace del entorno de trabajo del empleado.

¿Puedes poner algún ejemplo?

Claro, te pongo un par. Una empresa cuyo comercial tenga en su portátil o tablet su escritorio, la red y todos los recursos de ERP allí donde está, porque está centralizado en la nube, supone que si va a visitar a un cliente potencial y tiene que hacer un pedido o un seguimiento, lo podrá hacer in situ. Ya no tiene que esperar hasta llegar a la oficina.

Además sin tener que hacer una migración, y esto también es un punto importante: una traslación del entorno físico clásico a un entorno de la nube no tiene porque suponer un cambio de los programas de gestión, de CRM o de ERP, porque si es un entorno moderno se puede migrar sin ningún tipo de problema. 

Otro ejemplo puede ser el de los técnicos de asistencia a domicilio. Hay aplicaciones móviles, pero siempre acaba haciendo falta un volcado de información posterior para hacer el siguiente proceso, que es la facturación o trámite de esos expedientes. En cambio ahora pueden trabajar a tiempo real desde donde estén con una mínima conexión a Internet. 

Nos queda el tercer punto.

Por último está el tema de la seguridad: cada vez tiene más peso porque desafortunadamente cada vez estamos sufriendo más ataques tipo ransomware, cryptolocker, etc,. que están muy bien pensados para precisamente lograr lo que buscan, que es hacer cautiva tu información.  

Las empresas que se plantean disponer de un sistema de seguridad lo más eficiente posible tienen que asumir unos costes que a veces multiplican por dos el coste de la infraestructura en sí, porque habitualmente hay un servidor o grupo de servidores en la empresa, hay una conexión a Internet, un sistema de backup…. 

Ante una catástrofe, que puede ser que alguien venga con un dispositivo externo y lo conecte a la red, a través del wifi, o simplemente que reciban un ataque a través de un mail con contenido malicioso, la réplica hacia el entorno de red es casi inmediata y el proceso de recuperación, si no está bien acotado, puede ser muy lento. 

Precisamente la ciberseguridad es una de las principales preocupaciones

No, no es mayor. De hecho, hay un dato muy interesante y es que casi el 90% de las infecciones de malware y cryptolocker que se han producido en los últimos dos años han sido a raíz de una acción humana. El gran reto es evitar que el usuario caiga en la trampa que estos sistemas buscan para que se produzca ese fallo de seguridad. 

Ante esto, el problema existe igual en local que en un sistema de cloud y la seguridad 100% no va a existir en ninguno de los casos. Por lo tanto, lo único que puede haber en contraposición a esto es disponer de sistemas lo más eficientes posible para minimizar al máximo el efecto cuando ocurre. El quid aquí va a ser el tiempo de respuesta y la capacidad de recuperación de los datos. 

Ante un ciberataqe, el quid va a ser el tiempo de respuesta y la capacidad de recuperación de los datos". 

En este sentido, en cloud lo que tienes por ejemplo son sistemas redundados, por lo que el cliente tiene su servidor redundado en otro nodo y en otro sistema para no caer nunca, y también un sistema de copias de seguridad instantáneas y con histórico de días, que permite una recuperación mucho más ágil de la información.

Entonces, ¿es posible tener un espacio de trabajo digital seguro?

Como he comentado, el entorno 100% seguro no existe, lo que hay son formas de minimizar los daños. 

Si la empresa que contrata el servicio de cloud tiene en cuenta que la seguridad es un tema importante, solicitará un sistema de cloud que exigirá que el terminal o el escritorio remoto disponga de la seguridad pertinente, además de todo lo hablado anteriormente. Es decir, que todo lo que pueda hacer el usuario con el entorno de trabajo de la nube va a estar blindado.   

El entorno 100% seguro no existe, lo que hay son formas de minimizar los daños". 

¿Esta es una de las soluciones específicas de Citrix? 

Sí. De hecho nosotros apostamos por Citrix Workspace por el rango de seguridad que nos permitía ofrecer al cliente final. Piensa que tenemos clientes que son incluso un autónomo, que es el único usuario, que se lo hemos pasado a la nube. 

¿El entorno cloud es compatible con cualquier CRM o ERP o sistema de business intelligence?

El 90% de las aplicaciones en el mercado corren sobre sistemas Microsoft, lo que haremos será instalar un sistema con Windows Server con lo que necesite ese CRM o ERP para funcionar. 

El entorno físico donde vamos a instalar esto será un entorno ‘normal’, lo que va a necesitar ese software para funcionar en una plataforma potente como puede ser Google Cloud Platform, o si es un cliente menor, sobre un entorno de CPD privado homologado. Pero el acceso, el vehículo para llegar a ese entorno, preferimos hacerlo mediante soluciones de Citrix porque optimizamos mucho más la comunicación y nos permite tener un control mayor sobre el entorno de trabajo.

Hemos hablado de las ventajas, pero en el reto de la migración a cloud, ¿qué tipo de obstáculos se puede encontrar una empresa?

Evidentemente, el entorno 100% cloud no es viable en todas las empresas. Entendemos que pueda haber una empresa que tenga procesos de fabricación o equipos con una función específica, como reprografía, que tienen que estar físicamente conectados a una máquina. Trasladar esa funcionalidad a la nube a veces o es complicado o directamente inviable por la propia infraestructura. 

Entonces, el principal problema que se encuentra la empresa es el querer beneficiarse de las ventajas de tener la nube pero el imperativo de tener que seguir con los sistemas e infraestructura de la propia empresa. Por eso los proveedores de cloud pensamos que las soluciones híbridas son las que se van a imponer durante, seguramente, la siguiente década. De esta forma se puede mantener el funcionamiento local con las ventajas de otros sistemas que sí estén en la nube.

Otro gran impedimento es la cuestión de dónde está mi información exactamente, que es una de las grandes dudas que generan bastante freno ante la decisión de trasladarse. Y para muchas pymes, el gran freno es el coste mensual. Se preguntan, ¿cómo sé que ese coste no va a ser luego un lastre o que voy a ser cautivo de él?

Para muchas pymes, el gran freno es el coste mensual". 

Porque, para una empresa pequeña, ¿es cierto que todavía es más económico tener estos servicios en físico que en la nube?

De forma inicial, haciendo un ratio de recursos - tiempo que lo voy a utilizar - personas que lo van a utilizar, es decir, fijándonos solo en el valor adquirido y la repercusión sobre cada usuario, seguramente saldría más económico. 

Pero es un dato falso porque en ese cálculo, en el que solo puedes medir la infraestructura y la instalación inicial, no puedes medir cosas que pueden suceder. Por ejemplo, no se contemplan las renovaciones de un antivirus, el mantenimiento y sobre todo las posibles caídas que pueda tener el sistema (ya sea por ataque o por avería). 

Así que si juntamos todos los imponderables que puede haber en una infraestructura física a cinco años, la gráfica se tuerce a favor del cloud, porque en el pago mensual están contemplados todos estos imprevistos, y todo lo que pueda necesitar.