Es hora de replantearse la informática en la nube

Ciberseguridad jun. 30, 2021

Es hora de replantearse la informática en la nube

El teletrabajo está experimentando un auge extraordinario. Sin embargo, el intercambio de datos puede entrañar riesgos y, al mismo tiempo, está sujeto a estrictas restricciones legales. Una solución como R&S®Trusted Gate atiende a ambos aspectos: ofrece protección de datos y funciones que ayudan a cumplir la normativa.

Parece un dilema irresoluble: desde finales de enero, los empleadores de Alemania están obligados por ley a permitir que sus empleados realicen su trabajo de la oficina desde casa, y recurren cada vez más a los servicios de probada eficacia que ofrecen los principales proveedores. Sin embargo, al mismo tiempo, se ha invalidado la transferencia de datos personales a terceros países por considerarse insegura, lo que restringe en gran medida el uso de dichos servicios. Las compañías y autoridades públicas se encuentran por tanto constreñidas en una posición en la que deben garantizar, por un lado, el funcionamiento seguro de la colaboración entre los empleados y, sobre todo, del intercambio de datos personales, pero por otro lado están expuestas a demandas legales si recurren a la solución más sencilla.

Según publicó el periódico alemán Handelsblatt el 14 de abril de 2021, un grupo especial de la DSK, la autoridad de protección de datos alemana, está llevando a cabo inspecciones aleatorias para garantizar el cumplimiento de la legislación, y las compañías que infringen la nueva normativa se enfrentan a multas de hasta 20 millones de euros. Los inspectores se centran principalmente en compañías que utilizan software de oficina, servicios de videoconferencia y herramientas para realizar encuestas de satisfacción entre los empleados.

La seguridad es nuestra divisa: R&S®Trusted Gate permite trabajar desde casa con seguridad.
La seguridad es nuestra divisa: R&S®Trusted Gate permite trabajar desde casa con seguridad.

La opinión de un experto jurídico: R&S®Trusted Gate puede ser la solución

En opinión del Prof. Dr. Dirk Heckman, un renombrado jurista en materia de protección de datos y seguridad informática, el dilema radica en el hecho de que no es posible regionalizar la internet ni europeizar las leyes de otros países que están obligados, por ejemplo, a entregar sus datos a sus propias autoridades. Sin embargo, Heckmann cree que el dilema puede resolverse. Prefiere no especular con la plataforma GAIA-X que está emergiendo en Europa, y tampoco cree conveniente optar por proveedores que cumplan la ley pero ofrezcan a cambio un servicio peor.

Por el contrario, en su informe publicado en mayo de 2021 sobre el uso de las soluciones en la nube conforme con la normativa de protección de datos, el Prof. Dr. Heckmann concluye que podría ser posible «cortar el nudo gordiano» que anudó el Tribunal de Justicia de la Unión Europea en su sentencia Schrems II relativa a la protección de datos mediante una solución técnica: R&S®Trusted Gate de Rohde & Schwarz Cybersecurity. En la conclusión de su informe, expresa su convicción de que esta solución representa también «un paso decisivo hacia la soberanía digital».

Con este dictamen, el Prof. Dr. Heckmann hace referencia al grupo independiente de analistas KuppingerCole Analyst AG y su informe de marzo de 2019, en el que exponen cómo la solución (pendiente de patente desde hace poco menos de tres años) puede proporcionar una protección al cien por cien de los datos en la nube. Robert Rudolph, director de marketing de producto de R&S®Trusted Gate, espera la concesión de la patente este año, y describe la solución como un «proceso absolutamente novedoso». Este proceso permite utilizar todas las modalidades de servicios de nube pública, independientemente del proveedor, con absoluta seguridad —y satisfacer al mismo tiempo las exigencias en materia de protección de datos y conformidad. La explicación: mientras que los servicios de los proveedores de la nube se pueden seguir utilizando a través de servidores en todo el mundo, los datos personales de los usuarios están completamente desacoplados de dichos servicios y, por lo tanto, los proveedores de la nube pública no pueden acceder a ellos.

Con R&S®Trusted Gate, solo los usuarios autorizados pueden ver el contenido de los archivos cargados. Todos los demás pueden ver solamente caracteres aleatorios.
Con R&S®Trusted Gate, solo los usuarios autorizados pueden ver el contenido de los archivos cargados. Todos los demás pueden ver solamente caracteres aleatorios.

Cómo funciona la seguridad centrada en los datos

Estamos asistiendo a un cambio de paradigma: nos alejamos de la protección de la propia infraestructura de TI para adoptar una seguridad centrada en los datos. Para emprender este paso fundamental, el inventor de la solución, el Dr. Bruno Quint, y su equipo de Rohde & Schwarz Cybersecurity han desarrollado una solución que combina virtualización, encriptación y fragmentación de archivos. Y así funciona: cuando se carga un documento en la nube, se crea una versión virtualizada del documento original. Este documento virtual contiene solamente los metadatos del original, como p. ej. palabras clave, pero en realidad carece de contenido propio. Un lector no autorizado ve que se está transmitiendo un documento en blanco, pero no puede ver el contenido real del original. El documento propiamente dicho permanece dentro del flujo de trabajo, pero no tiene valor alguno para los ciberdelincuentes o los servicios de inteligencia.

El documento original está cifrado y fragmentado; por describirlo de forma figurada, queda transformado en polvo digital. Estas partículas de polvo se almacenan en sistemas de almacenamiento diferentes y de libre elección. Esto significa que el documento original no se puede ver en ningún caso en toda su extensión. Ni siquiera los ordenadores cuánticos con su enorme potencia de cálculo son capaces de recomponerlos. Los pedazos distribuidos no se pueden interceptar, puesto que son solo fragmentos de los datos cifrados. El documento desmenuzado solamente vuelve a estar visible cuando se vuelven a reensamblar todos los pedazos y se descifra.

El Dr. Bruno Quint explica: «Las autoridades de protección de datos, en definitiva, no han prohibido a los usuarios utilizar la nube, ni tampoco la cooperación con los principales proveedores. De lo que se trata es de recuperar la soberanía sobre los datos. Y en un entorno de nube, los datos son todo lo que tenemos». En determinados casos, los proveedores de nube de fuera de Europa están obligados por la ley a entregar datos a sus respectivos organismos gubernamentales. «Para ellos, R&S®Trusted Gate es una herramienta de cliente eficaz para prevenirlo», expone Daniel Heck, vicepresidente del área de marketing de Rohde & Schwarz Cybersecurity, «y por lo tanto están interesados en mantener una buena relación de cooperación con nosotros».

La solución de software, que es absolutamente novedosa, es muy fácil de usar. Las autoridades públicas y las compañías pueden instalar R&S®Trusted Gate y ponerlo en funcionamiento en 24 horas. Un ejemplo concreto: una organización alemana sin ánimo de lucro deseaba utilizar una herramienta de colaboración estándar para sus comunicaciones internas, y al mismo tiempo garantizar que los datos personales y sanitarios se mantuvieran protegidos en la nube pública. R&S®Trusted Gate se desplegó en la plataforma deseada, y la instalación se configuró íntegramente en un solo día contando con asistencia profesional remota. Los empleados pudieron seguir colaborando de la forma habitual al día siguiente, sin necesidad de una formación específica. La configuración incluye también el cifrado de chat. Entre otros casos típicos en los que R&S®Trusted Gate se ha revelado como una rápida solución cabe citar una compañía de biotecnología que utiliza R&S®Trusted Gate como medida de autoprotección contra el espionaje industrial, así como una compañía de aviación que procesa ahora sus datos de satélite de forma cifrada, y por lo tanto, segura.

Realmente hemos empezado a superar los límites.

«Realmente hemos empezado a superar los límites».

Dr. Bruno Quint, Rohde & Schwarz Cybersecurity

Protección de la red, y también de los dispositivos

El método centrado en los datos no implica que las medidas de seguridad tradicionales queden obsoletas, más bien las complementa. Los organismos gubernamentales y las autoridades públicas en particular no solo apuestan por el uso compartido de documentos confidenciales e información clasificada en una nube, sino también dentro de su red. En este sentido, la irrupción repentina del teletrabajo representa también un desafío, puesto que la transferencia de datos a través de túneles de VPN (red privada virtual) estándar hace que los datos sean vulnerables a ataques. La Oficina Federal para la Seguridad en las Tecnologías de la Información (BSI) de Alemania recomendaba soluciones independientes del sistema operativo. Sin embargo, hasta hace poco, esto significaba adquirir hardware y poner a disposición de cada empleado en régimen de teletrabajo un módulo VPN además de sus equipos terminales. También en este caso, lo más sencillo es utilizar una solución de software que incorpore una posibilidad de conexión VPN independiente y aislada del sistema operativo, sin necesidad de conectar hardware adicional al equipo terminal: el R&S®Trusted VPN Client ha sido homologado por la BSI para información clasificada hasta el nivel de distribución reservada/RESTRICTED (VS-NfD).

Y también es importante mantener el control del navegador web, que es la principal pasarela de entrada de software malintencionado. Abrir un archivo adjunto a un correo electrónico, utilizar una aplicación, descargar un documento: todas estas acciones pueden abrir la puerta a códigos malintencionados que infectan no solo el ordenador en cuestión, sino toda la red. Rohde & Schwarz Cybersecurity ha desarrollado R&S®Browser in the Box, la respuesta en forma de software a este problema. Los usuarios no advierten nada que indique que están trabajando en un entorno seguro cuando se conectan; el sistema operativo se ejecuta en un entorno virtual, y el sistema de archivos y las interfaces no están accesibles a través del navegador. Los documentos descargados entran en un entorno aislado («docs in the box»), e incluso interfaces esenciales como el micrófono y la cámara del ordenador están integrados en el entorno virtual quedando así protegidos.

R&S®Browser in the Box y R&S®Trusted VPN Client brindan seguridad en las comunicaciones en las redes empresariales.
R&S®Browser in the Box y R&S®Trusted VPN Client brindan seguridad en las comunicaciones en las redes empresariales.

De esta forma, un problema aparentemente irresoluble después de otro se van resolviendo de forma positiva —siempre que se disponga del know how específico. En el caso del dilema supuestamente irresoluble de la computación en la nube, el Prof. Dr. Heckmann se sintió inspirado por la elegante solución que presentaba R&S®Trusted Gate para incluir dos subtítulos irónicos en la estructura de su informe. El primero se refería a la parte relacionada con las inspecciones legales: «No tengo la solución, pero admiro el problema». El segundo aludía a la solución técnica presentada con R&S®Trusted Gate: «Me parece una solución admirable. ¿Cuál era por cierto el problema?»

Temas relacionados

Browser in the Box

Más información

Soluciones de Rohde & Schwarz Cybersecurity

Más información

Intercambio seguro de datos

Más información

Colaboración segura

Más información

Otros historias de Rohde & Schwarz

Navegación en organismos públicos en modo totalmente encapsulado

Descubra cómo los organismos públicos y ayuntamientos emplean R&S®Browser in the Box para protegerse contra piratas informáticos profesionales.

Más información

Superar los desafíos de la digitalización en las escuelas

Las soluciones del especialista alemán en redes LANCOM Systems convierten las aulas virtuales en un espacio seguro.

Más información

Movilidad del futuro: red de teleféricos de La Paz

En La Paz, Bolivia, se llega al trabajo por el aire. Los componentes Wi-Fi de LANCOM Systems garantizan la máxima seguridad en la red de teleféricos más larga del mundo.

Más información

Solicitar información

¿Tiene preguntas o necesita información adicional? Simplemente complete este formulario y nos pondremos en contacto con usted.

Deseo recibir información de Rohde & Schwarz por

Permiso de marketing

¿Qué significa esto exactamente?

Estoy de acuerdo con que ROHDE & SCHWARZ GmbH & Co. KG y la entidad o subsidiaria ROHDE & SCHWARZ que figure en la Declaración de confidencialidad del sitio web se ponga en contacto conmigo a través del canal elegido (correo electrónico o correo postal) para fines de marketing y publicitarios (p. ej., información sobre ofertas especiales y promociones de descuentos) en relación con, pero sin limitarse a, productos y soluciones para test y medida, seguridad en las comunicaciones, monitorización y medidas de redes, broadcast y multimedia así como ciberseguridad.

Sus derechos

Esta declaración de consentimiento se puede retirar en cualquier momento enviando un correo electrónico a news@rohde-schwarz.com con el asunto «Cancelar mi suscripción». Además, en cada correo electrónico enviado se incluye un enlace para cancelar por correo electrónico la suscripción a futuros anuncios. En la Declaración de privacidad encontrará información adicional sobre el uso de los datos personales y el procedimiento de retirada.

Se ha enviado su solicitud. Nos pondremos en contacto con usted lo antes posible.
An error is occurred, please try it again later.