PODIO y la Seguridad en la Nube
Seguridad en la nube y PODIO, la plataforma colaborativa comprada por Citrix en 2011 que proporciona seguridad en la nube, provee un entorno seguro y accesible para trabajar con personas y dar soporte a cualquier proceso de negocio, incluyendo la gestión de proyectos.
Por ser un servicio de colaboración en el cloud, sin ninguna instalación local y con la posibilidad de integrarse con otros proveedores online, la seguridad se convierte en un pilar básico. Sobre el cual Citrix ha desarrollado una de las mejores soluciones que hoy en día puedes encontrar en el mercado.
La percepción que tienen las empresas sobre la seguridad en la nube
El informe sobre las tendencias de adopción de soluciones de seguridad en las PYMES por Techaisle, revela que aunque el 41% de las pymes aprecian que la nube es un riesgo para la seguridad de sus datos (gran desconocimiento). Sólo el 62% de los negocios estudiados habían puesto en marcha tácticas para respaldar sus datos (copias de seguridad).
Esto significa que la gran mayoría de las pymes pone toda su fe en la funcionalidad nativa de las soluciones de los grandes proveedores SaaS.
PODIO, ¿es una plataforma de seguridad en la nube que protegerá mis datos?
La respuesta corta es sí, a continuación explicaré en breve cómo PODIO protege los datos de tu empresa.
Autenticación de Usuario:
PODIO pone un gran énfasis en la identificación del usuario. Primero el usuario debe disponer de una dirección de correo validada. Segundo ésta se debe haber asociado a una organización preidentificada en las bases de datos de Citrix.
Ningún invitado o usuario anónimo puede acceder al sistema. Existen numerosas tácticas que se emplean para detectar y prevenir el acceso sin autorización.
Acceso Continuo:
Una vez que el usuario se ha identificado y está autorizado, el acceso continuo al sistema depende de la presencia de una serie de tokens de seguridad. «Dejados» en tu navegador durante el proceso de autenticación.
Conexiones Seguras:
Es imposible acceder a PODIO sólo a través del http://. Si lo intentas, se te redireccionará directamente al https://, asegurando así que la conexión está encriptada. De manera, que aunque alguien fuera capaz de ‘interceptar’ tu usuario y contraseña a la hora de autenticarte, no lo podría leer o entender por estar encriptados.
Es más, accediendo a PODIO mediante cualquier otro proveedor tercero (por ejemplo usando tu cuenta G Suite u Office 365), no solo se protege de la misma forma, además ese proveedor tercero verá aplicada una serie de técnicas de seguridad adicionales. A la hora de interactuar con la API de PODIO. (La API en términos sencillos es un servidor de PODIO que ponen a disposición del público para poder conseguir integraciones con otras herramientas, y pedirle información).
La Red de Información de PODIO:
No te sirve para mucho proteger la puerta principal, si la red y el servidor donde se aloja PODIO, no están seguros también. Para ello, PODIO se protege con tres niveles de seguridad:
Los CPDs físicos
Los CPDs físicos cumplen con la normativa de la ISO-27001, y el acceso físico está restringido a personal autorizado. Los servidores en sí se dedican únicamente al tratamiento de datos relacionados con PODIO. De manera que no haya otras posibles fuentes accediendo a aquellos dispositivos físicos que sirven tus datos. Es más, éstos se someten a auditoría interna y externa constante. Para que tus datos estén a salvo.
La Red
El acceso por red al sistema de hosting de PODIO está controlado estrictamente mediante firewalls y otras muchas técnicas y dispositivos de seguridad. Los cuales están diseñados para detectar y responder a ataques múltiples, de varios tipos. En realidad estos sistemas nunca serán accesibles por entidades externas. La actividad de esta red está monitorizada 24 horas al día, 365 días al año.
Los Datos Encriptados
Tus datos, de camino a los servidores de PODIO, se someten a un proceso de encriptación y fragmentación. Hablando claro, esto significa que los bits de tu información (las partes componentes de [0] y [1]). Están cifrados para que no se puedan leer, y están divididos en varios paquetes y guardados en varios sitios de un mismo CPD, o incluso varios.
Es cierto que el siguiente vídeo se trata de la seguridad en Google, no PODIO. Aunque como partners de ambos fabricantes, disponemos de algunos recursos chulos. Pienso que este vídeo nos da muy buena idea sobre qué hacen las grandes empresas con nuestros datos.
¿Cómo mejorar la seguridad en la nube con PODIO?
Como verás, tus datos están muy seguros en la nube, y en concreto PODIO los protege muy bien.
Esto dicho, siempre hay formas de mejorar la seguridad de tus datos. La realidad para muchas empresas es que el principal agujero de seguridad son sus usuarios. Una vez autenticados en PODIO, muchas veces borran datos sin querer (eso esperamos!), y por supuesto los propios dispositivos de éstos podrían representar maneras fáciles para otros acceder a la información de tu empresa.
Por lo tanto, recomendamos una serie de acciones para mantener la seguridad respecto a cada usuario. Estas buenas prácticas te ayudarán a mejorar notablemente la seguridad de tus datos.
¿Qué tácticas adicionales de seguridad puedo implementar sobre PODIO?
La verificación en dos pasos de los usuarios
La verificación en dos pasos asegurará que aunque alguien conseguiera acceso al dispositivo de tus usuarios o bien a su contraseña, a la hora de meter el usuario y contraseña en PODIO, se le enviaría un mensaje de texto al teléfono del usuario que éste tendría que introducir para completar su login.
No obstante, para conseguir la verificación en dos pasos con PODIO, necesitarás aprovechar la integración con alguna otra plataforma, por ejemplo Sharefile, una de las herramientas de Citrix, o bien mediante una cuenta de G Suite u Office 365.
Control de Accesos a Espacios de Trabajo
Lo cierto en este punto es que desde whitebite estamos muy a favor de la transparencia, la responsabilidad y la colaboración entre nuestros equipos, y por lo tanto en general tendemos a dar acceso y no apostamos por espacios de trabajo cerrados o restringidos.
Esto dicho, hay ciertos datos de empresa que simplemente no queremos que todos puedan acceder, por lo tanto siempre tenemos la posibilidad de establecer espacios de trabajo restringidos a los que sólo permitir acceso a las personas autorizadas, el resto de usuarios ni siquiera sabrán que estos espacios de trabajo existen (invisibles).
Es más, PODIO dispone de cuatro niveles de permisos (para un cierto espacio de trabajo), así para evitar que los usuarios en general no puedan agregar datos de poco valor, o peor, borrar datos sin querer. No te preocupes por lo que te dirán, porque ningún usuario quiere ser la persona que acaba borrando muchos datos importantes sin darse cuenta.
Un buen ejemplo sería que aunque muchos usuarios tuvieran acceso a los datos de un proyecto, si el control de facturas se llevara en otro espacio de trabajo, significaría que aunque estas fueran vinculadas desde el proyecto, al pinchar el usuario en la factura no podría acceder a la misma al estar ésta en un espacio de trabajo al cual dicho usuario no tiene acceso.
Gestor de Documentos – G Suite, Office 365, Sharefile
Otra capa de seguridad para la protección de nuestra documentación corporativa es la combinación de un gestor de documentos en la nube, tal como Drive de G Suite, OneDrive de O365 o Sharefile.
Éstos permiten que aunque la persona tenga acceso a un ítem de PODIO, al pinchar en cualquier archivo “adjunto” a dicho item, si la persona no tiene permiso de acceso al documento, simplemente no podrá accederlo. O sea las políticas de acceso desplegadas sobre el gestor documental se combinan eficientemente con las desplegadas en PODIO.
Un par de ejemplos para que lo puedas entender mejor:
Ejemplo 1:
Un comercial tiene acceso a la aplicación «oportunidades comerciales» en PODIO. A pesar de ver los datos en la ficha del cliente en PODIO, cualquier presupuesto, propuesta de servicio o factura vinculado desde el gestor de documentos integrado (p.e. Drive de G Suite), no le permitiría acceso, y por lo tanto no vería datos importantes del negocio pero podría seguir accediendo a datos de contacto del cliente, de la oportunidad comercial, reuniones,….
Ejemplo 2:
De la misma forma, a lo mejor se quiere invitar a un colaborador externo para que vea ciertos datos relacionados con un proyecto en común. Usando esta táctica nos permitiría vincular desde Drive, OneDrive o Sharefile datos sensibles tales como datos económicos o de pago, porque están guardados en el gestor de documentos y el cliente (incluso accediendo a PODIO) no puede abrir estos documentos.
¿Puedo guardar una copia de seguridad en la nube de mis datos de PODIO?
Una preocupación importante de las empresas es la de disponer de copias de seguridad de nuestros datos importantes. De esta forma, aunque se borrase algún dato, se podrían restablecer a base de dicha copia de seguridad.
De igual forma, nos preocupa que PODIO algún día no esté disponible o que haya una baja temporal, y por lo tanto no tengamos acceso a nuestros datos importantes.
¿Qué hacer?
Tenemos el enorme placer de decir que la estabilidad de Podio (con un 99,99% de tiempo activo el año pasado) lo sitúa como una plataforma de confianza en la que gracias a aplicaciones de terceros, también tenemos la posibilidad de guardar una copia de seguridad de toda la información en la nube.
Estas aplicaciones de terceros muy fiables y disponen de funcionalidades en constante desarrollo.
En particular, a nosotros nos gusta Momentum Tools, donde puedes realizar copias de seguridad de tus datos de Podio y almacenarlos en el propio Podio o bien en otras aplicaciones como Drive, Dropbox, ShareFile o un servidor propio.
¿Qué tácticas de seguridad debo implementar a nivel de dispositivos?
Por último, es importante reconocer que PODIO con todas sus medidas de seguridad, no sirve para mucho si los dispositivos (PC, portátil, tablet,…) que utilizis caen en malas manos. Por este motivo, recomendamos desplegar las siguientes medidas:
Cómo protejo mis datos en el ordenador o portátil?
- Ponle una contraseña de entrada
- La contraseña debe componerse de cifras raritas y números!
- Cambia esta contraseña de entrada al menos cada tres meses
- No se lo digas a nadie (obviamente!)
- Asegura que la pantalla se apaga de manera automática al poco tiempo de inactividad
¿Cómo protejo mis datos en el móvil?
- Ponle un patrón (¡mejor que un PIN!)
- Entra en los ajustes y configura que la pantalla se apague a los 15 segundos.
- Con G Suite o O365, podrás limpiar los datos de cualquier móvil en caso de robo.