La plataforma global e independiente para la comunidad SAP.
Portada 15-12, MAG 15-12

Nube - pero segura

Cada vez más empresas recurren a soluciones en la nube. En Alemania sigue habiendo problemas de seguridad. A ello se suma la finalización del Acuerdo de Puerto Seguro entre EE.UU. y la UE. Con los conocimientos adecuados, las empresas pueden proteger bien sus datos.
Revista E-3
4. diciembre 2015
Contenido:
2015
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Las PYME alemanas son reacias a poner sus valiosos datos ERP en la nube. La preocupación por el acceso no autorizado, que podría dar lugar a que los competidores accedieran a datos críticos para la empresa, es demasiado grande. Por eso, muchos proveedores de servicios de software suelen ofrecer soluciones locales además de soluciones basadas en la nube.

"El tema de la nube sigue teniendo una imagen negativa en Alemania en general, aunque muchas empresas dieron el primer paso en la nube hace mucho tiempo externalizando"

lo sabe Nikolaj Schmitz, CIO de G.I.B.

Nube privada, pública e híbrida

Las grandes empresas, en particular, llevan muchos años confiando en los servicios de los centros de datos. Sin embargo, hay que hacer una distinción, porque no todas las nubes son iguales.

En el caso de una nube privada, cada cliente dispone de sistemas ERP dedicados. Solo ellos tienen acceso exclusivo a su sistema casi privado.

"Mientras hablemos de nube privada, no veo grandes diferencias con la externalización clásica, aparte de las opciones adicionales de aprovisionamiento"

afirma el informático Schmitz.

La situación es diferente con la nube pública. Aquí, un gran número de usuarios tiene acceso a aplicaciones estandarizadas que se utilizan, por ejemplo, para la contabilidad de gastos de viaje o la gestión de eventos o talentos, es decir, todos los usuarios comparten un mismo sistema.

La desventaja de la nube pública es que, por lo general, no puede utilizarse para mapear procesos complejos y muy personalizados, como los del sector logístico. Si, por ejemplo, al contabilizar las entradas de mercancías de los pedidos de subcontratación, hay que proporcionar información de retorno sobre el proceso de la orden de fabricación que la causó, las aplicaciones estándar suelen ser incapaces de hacerlo.

Por lo tanto, las aplicaciones en la nube pública a menudo sólo se utilizan como complemento de los sistemas informáticos existentes, de modo que esas aplicaciones adicionales no tengan que realizarse en el sistema local con un gran gasto. En este caso, hablamos de una nube híbrida.

Consecuencias de la sentencia sobre puerto seguro

Ya sea pública, privada o híbrida, la externalización de datos conlleva ciertos riesgos. Para minimizarlos, la UE promulgó en 2000 una directiva de protección de datos.

La UE celebró con EE.UU. el denominado Acuerdo de Puerto Seguro, por el que este país se comprometía a reconocer las disposiciones de la Directiva.

El Tribunal de Justicia de las Comunidades Europeas (TJCE) ha declarado ahora inválido este acuerdo. Prueba de que los datos de los servidores estadounidenses no cumplen las normas de seguridad de la UE.

"Actualmente, los proveedores estadounidenses están obligados a conceder a las autoridades investigadoras acceso a los datos de sus clientes"

explica Schmitz.

Esto es así aunque los servidores de las empresas estadounidenses estén situados en otros países europeos.

Por esta razón, el experto en TI aconseja recurrir a proveedores alemanes a la hora de externalizar datos. Los centros de datos más cercanos en Europa también suelen ofrecer suficiente protección para los datos externalizados.

Sin embargo, esto no exime a las empresas de la necesidad de llevar a cabo una auditoría exhaustiva de las certificaciones de seguridad de un proveedor de nube o centro de datos. Estas certificaciones deben comprobarse en auditorías periódicas realizadas por organismos externos.

Seguridad para la línea de datos

Sin embargo, el riesgo de acceso no autorizado a la información interna de la empresa no sólo reside en el almacenamiento de los datos, sino también en su gestión.

"El cifrado en la transmisión de datos es lo más importante"

afirma Schmitz, Director de Informática.

Este ámbito ha evolucionado considerablemente en los últimos años. Por ejemplo, el protocolo SSL, utilizado desde hace mucho tiempo, está siendo sustituido por TLS. Se trata más o menos de una evolución de SSL, pero colma lagunas de seguridad conocidas.

Otra ventaja de TLS es que el protocolo ofrece la opción de implementar cualquier protocolo superior basado en TLS. Esto garantiza la independencia de aplicaciones y sistemas.

Las empresas también utilizan túneles VPN para garantizar la transferencia segura de sus datos sensibles entre su propia infraestructura informática y los proveedores de servicios externos.

Sin embargo, la opción que ofrecen algunos proveedores de que los datos no salgan de la parte alemana de Internet va demasiado lejos para Schmitz.

"En mi opinión, esto contradice en parte la idea básica de Internet"

afirma el experto en TI. En cualquier caso, es poco probable que este pensamiento territorial sea una solución para las empresas que se expanden internacionalmente en un mundo empresarial cada vez más globalizado.

Riesgos de las aplicaciones web

Las empresas que expanden su negocio a otros países dependen especialmente de la conexión en red de sus centros de operaciones en el extranjero y de proporcionar a sus empleados un acceso rápido y sin complicaciones a la información importante.

Para ello, se basan en aplicaciones web que pueden ser utilizadas por un gran número de usuarios ubicados en todo el mundo en diferentes dispositivos finales.

"Muchas empresas ya no pueden prescindir de las aplicaciones web"

Schmitz lo sabe.

A menudo se utilizan, por ejemplo, para prestar servicio y asistencia a los clientes o para conectar a los proveedores con los sistemas ERP. Aquí también se aplican medidas de seguridad, desde la encriptación y el uso de cortafuegos hasta la supervisión de los accesos, que minimizan el riesgo de piratería informática.

Además, varios auditores externos ofrecen sus servicios para probar a fondo la seguridad de dichos sistemas, a veces utilizando métodos de hacking.

Sin embargo, la gran variedad de dispositivos finales utilizados para las aplicaciones web es especialmente delicada.

"Pero incluso en este entorno, hay soluciones que permiten una gestión centralizada y transparente"

explica Schmitz.

Por ejemplo, la configuración de seguridad estandarizada puede desplegarse desde una ubicación central para todos los dispositivos finales en uso.

Además, las empresas también recurren a túneles VPN o cifran el acceso de los dispositivos finales a la aplicación web interna. El inicio de sesión en los sistemas internos también suele protegerse con un proceso de autenticación multinivel.

Ahorrar en el extremo equivocado

G.I.B también utiliza las soluciones de externalización de un socio con experiencia demostrada en cuestiones de seguridad informática para sus soluciones de software Dispo-Cockpit Forecast y Dispo-Cockpit Vendor Managed Inventory.

El acceso a las aplicaciones web de la G.I.B se realiza exclusivamente a través de conexiones cifradas.

"Además, el acceso a las aplicaciones se reduce al mínimo necesario mediante cortafuegos adecuados"

explica Schmitz.

También se supervisan todos los accesos para identificar rápidamente los ataques e iniciar contramedidas.

Por supuesto, no existe la protección al 100% y un alto nivel de protección como el que proporciona la G.I.B lleva asociado cierto esfuerzo y los costes asociados.

Sin embargo, no es aconsejable escatimar en medidas de seguridad, ya que es probable que la pérdida o el uso indebido de datos resulte significativamente más caro, por no hablar de la confianza que los socios comerciales pierden rápidamente en una empresa que no ofrece una seguridad de datos adecuada.

avatar
Revista E-3

Trabajo informativo y educativo por y para la comunidad SAP.


Todos los artículos del autor

Escriba un comentario

El Grupo Hackett ha premiado a Esker en el área de C2C Receivables

Rackspace Technology lanza UK Sovereign Services

Instituto August-Wilhelm Scheer y BAD Gesundheitsvorsorge und Sicherheitstechnik: el futuro de la asistencia sanitaria

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana. Toda la información sobre el evento puede encontrarse aquí:

Cumbre de Centro de Competencia SAP 2024

Lugar de celebración

Sala de actos, FourSide Hotel Salzburg,
En el recinto ferial 2,
A-5020 Salzburgo

Fecha del acontecimiento

5 y 6 de junio de 2024

Entrada normal:

€ 590 sin IVA

Lugar de celebración

Sala de actos, Hotel Hilton Heidelberg,
Kurfürstenanlage 1,
69115 Heidelberg

Fecha del acontecimiento

28 y 29 de febrero de 2024

Entradas

Billete normal
590 EUR sin IVA
El organizador es la revista E3 de la editorial B4Bmedia.net AG. Las conferencias irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las conferencias de la Cumbre Steampunk y BTP 2024, la visita a la zona de exposición, la participación en el evento nocturno y el catering durante el programa oficial. El programa de conferencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.