¿Cómo protege Google mi información e impide el acceso no autorizado a mis datos?

Seguridad y confianza de G Suite

Visitas: 328

G Suite está diseñado para hacer frente a las amenazas específicas de los sistemas basados en la nube. Los estándares de Google en cuanto a rendimiento y fiabilidad se aplican a empresas, centros de enseñanza y organismos estatales de todo el mundo.

Google utiliza una infraestructura tecnológica de incomparable alcance y agilidad, que proporciona a los clientes unas ventajas extraordinarias en el ámbito de la seguridad. La amplia red de centros de datos está provista de servidores con un diseño personalizado y que utilizan el propio sistema operativo de Google, para lograr una seguridad y un rendimiento óptimos. Como Google controla todo el hardware, puede responder rápidamente ante cualquier amenaza.

Google cuenta con un equipo de más de 700 profesionales en el campo de la seguridad dedicados a proteger tus datos, entre los que se cuentan algunos de los mayores expertos en seguridad informática del mundo.  A este equipo se le conoce con el nombre de Project Zero

A fin de garantizar la protección de Google, agrega seguridad a todo su proceso de programación de software. Por ejemplo, los profesionales de seguridad analizan las arquitecturas propuestas y revisan los códigos a fin de detectar vulnerabilidades de seguridad y comprender mejor los diferentes modelos de ataque que puede sufrir un producto o función nuevos. Cuando surge algún problema, el equipo de Administración de Incidentes exclusivo de G Suite tiene el compromiso de ofrecer respuestas rápidas, análisis y correcciones que garanticen que los incidentes se aborden con interrupciones mínimas para los clientes.

En enero de 2018 Google anunció la creación de su primera empresa de ciberseguridad en el mundo, Chronicle, al mando de la cual está el Malagueño Bernardo Quintero, 43 años, al que Google compró su empresa VirusTotal en 2012. Así que el producto de seguridad posiblemente más rentable de Google se "fabrica" desde entonces en un chalet con futbolín, jardín, barbacoa e impresionantes vistas sobre la bahía de Málaga.

Bernardo Quintero, en uno de los salones del chalé
desde donde trabajan para Google

Para los que no les suene, VirusTotal es un servicio al que el usuario puede mandar un documento, correo, página web o PDF sospechoso de que haya en ellos un virus. Un montón de antivirus lo analizarán y le ofrecerán gratuitamente el resultado. A cambio, VirusTotal almacena los virus encontrados, que pasan a formar parte de su base de datos de inteligencia. Preciosa inteligencia que procesa diariamente unos 500.000 nuevos potenciales virus no analizados antes por nadie y que comparte con las casas de antivirus y otras empresas de seguridad informática, las cuales pueden así protegerse, en un ciclo casi perfecto que permite diferentes formas de monetización de todos estos datos.

Este equipo, al igual que todos los de Google, innova constantemente para ofrecer sistemas más seguros, no solo a los 1000 millones de usuarios de Google, sino también a las empresas.

A la hora de proteger los datos de los usuarios, su expediente es excepcional. No solo protege la información contra el acceso de intrusos externos sino también contra las amenazas internas. Además, restringe y supervisa rigurosamente cualquier acceso interno a los datos de los usuarios. El reducido grupo de empleados autorizados se somete a estrictas medidas de autenticación, registro detallado y supervisión de la actividad para detectar, a través del análisis del registro, cualquier acceso inadecuado a la información.

Gracias a esta combinación extraordinaria de personas, tecnología y agilidad, la seguridad de tu información está garantizada en Google.

¿Cumple G Suite con mis requisitos de cumplimiento?

Google diseñó G Suite cumpliendo unos estándares muy estrictos de privacidad y seguridad, según las prácticas recomendadas del sector. De esta forma, ayuda a los clientes a cumplir las normativas que se les requieren. Google ofrece unos compromisos contractuales muy estrictos sobre la propiedad de los datos, el uso de la información, la seguridad, la transparencia y la responsabilidad.

Google se somete a diversas auditorías externas de forma periódica. Estos auditores independientes examinan los controles de nuestros centros de datos, nuestra infraestructura y nuestras operaciones. Entre estas auditorías y estándares se incluyen: SOC1™, (SSAE-16/ISAE-3402), SOC2™, SOC3™, ISO27001, ISO 27018:2014 y FedRAMP.

La confianza es esencial en la relación de Google con sus clientes.

La transparencia forma parte del ADN de Google y es clave en sus esfuerzos por lograr y mantener la confianza de los clientes. Los datos son propiedad del cliente, no de Google. Por eso Google no vende la información a otros proveedores, no incluye publicidad en G Suite ni recopila ni utiliza los datos de los servicios de G Suite con fines publicitarios.
 
G Suite para Centros Educativos se puede utilizar conforme a las leyes y normativas relevantes aplicables a los centros educativos.

¿Cómo responde Google a las peticiones de información por parte de los gobiernos?

La postura de Google a la hora de facilitar información cuando reciben una solicitud legal de datos se basa en el respeto a la privacidad y la seguridad de los datos que se almacenan en Google.

Cuando reciben una solicitud legal, el equipo la revisa para asegurarse de que se ajusta a los requisitos legales y las políticas de Google. En general, para que entregue cualquier información, la solicitud debe hacerse por escrito, debe estar firmada por un agente autorizado del organismo que realiza la solicitud y formulada conforme a la legislación correspondiente. Si consideran que una solicitud de información es demasiado amplia, intentarán dar solo la que consideren necesaria. 

Los organismos gubernamentales necesitan un proceso legal, como una citación, una orden judicial o una orden de búsqueda, para obligar a revelar información de los usuarios. Se pueden hacer excepciones en determinados casos de emergencia, aunque, incluso en esa situación, el gobierno no puede obligar a Google a revelar nada.

¿Cifra Google mis datos?

La red definida por software de Google, que es de carácter global y privado, ofrece mayor flexibilidad, control y seguridad que cualquier otro proveedor de servicios en la nube. Esta red conecta varios centros de datos por medio de nuestra propia fibra, la fibra pública y cables submarinos. Esto permite que los clientes de G Suite de todo el mundo obtengan servicios idénticos con una disponibilidad alta y una latencia baja. Además, limita la exposición de los datos de los clientes al internet público, donde pueden estar sujetos a interceptaciones. Los datos de los clientes de G Suite se encriptan en todo momento: cuando se encuentran en los discos, cuando están almacenados en soportes de copia de seguridad y mientras se trasladan por internet o entre diferentes centros de datos. La cifrado es una parte importante de la estrategia de seguridad de G Suite, ya que ayuda a proteger sus correos electrónicos, chats, archivos de Google Drive y demás datos.

Google utiliza distintas claves de cifrado, aunque los datos pertenezcan al mismo cliente. Los datos se cifran con el estándar de cifrado avanzado (AES) de 128 bits o más. También cifra los datos principales de G Suite mientras están en tránsito: cuando viajan por la Web entre el cliente y Google, o dentro de Google cuando se transfieren de un centro de datos a otro.

Se aplica el protocolo HTTPS (Protocolo seguro de transferencia de hipertexto) para todas las transmisiones entre los usuarios y los servicios de G Suite, y emplea Perfect Forward Secrecy (PFS) en todos los servicios. También se cifran las transmisiones de mensajes con otros servidores de correo mediante Seguridad en la capa de transporte (TLS) de 256 bits y utiliza claves de cifrado 2048 RSA en las fases de validación e intercambio de claves. De esta forma, se protegen las comunicaciones mediante mensajes cuando los usuarios clientes envían correos electrónicos a terceros que también usan TLS o cuando los reciben de ellos.

PFS requiere que las claves privadas de una conexión no se guarden en un almacenamiento permanente. Incluso si alguien consigue averiguar una clave, no podrá descifrar las conexiones establecidas durante meses; de hecho, ni siquiera el operador del servidor puede descifrar de forma retroactiva las sesiones HTTPS.

Google trabaja constantemente para ampliar y reforzar el cifrado en más servicios y enlaces.

G Suite incluye administración de dispositivos móviles (MDM) para Android e iOS, que admite funciones como la activación de dispositivos, la eliminación remota de datos y el cifrado basado en políticas. Con MDM, mantienes el control y puedes permitir fácilmente que tus usuarios utilicen sus propios dispositivos para acceder a la información de la empresa sin comprometer la seguridad.

Un teléfono perdido. Una tablet robada. Cosas que pasan. Mantenga los datos de su empresa seguros con la administración de dispositivos móviles (MDM). Puede requerir bloqueos de pantalla, contraseñas seguras y borrar datos confidenciales con el borrado del dispositivo o el borrado selectivo de cuentas para iOS y Android.

¿Necesito utilizar herramientas de terceros para mantener mis datos protegidos en Google?

A la vanguardia de la curva de seguridad, siempre ha sido una máxima prioridad para Google. Estas son algunas formas de establecer estándares más altos.

Confidencialidad directa total

Google es el primer proveedor de nube importante en habilitar la confidencialidad directa total, que encripta el contenido a medida que circula por sus servidores y los de las demás empresas. Con la confidencialidad directa total, las claves privadas que se utilizan para las conexiones son efímeras, lo que, a su vez, impide la descifrado retroactiva de las sesiones de HTTPS por parte de adversarios o incluso del operador del servidor. Muchas empresas del sector siguieron han seguido su ejemplo o se han comprometido en adoptar este sistema en el futuro.

Cifrado total del correo electrónico

Todos los mensajes de correo electrónico que envía o recibe se encriptan mientras circulan entre los diferentes centros de datos de Google. Este proceso garantiza que sus mensajes estén protegidos no solo mientras se trasladan entre sus dispositivos y los servidores de Gmail, sino también mientras circulan internamente en Google. También Google fue el primero en informar a los usuarios cuando sus correos electrónicos se enviaban de forma no segura entre diferentes proveedores mediante la introducción de nuestro indicador de TLS.

Fortalecimiento de la cifrado

A fin de brindar protección contra los avances de criptoanálisis, en 2013 se duplicó la longitud de sus claves de cifrado RSA a 2048 bits y comenzó a modificarlas cada varias semanas, lo que eleva el nivel de exigencia para el resto del sector.

Google ofrece directamente en G Suite las funciones de seguridad que necesitan la mayoría de los clientes. Las ediciones G Suite Business y G Suite Enterprise cuentan con funciones de seguridad adicionales como, por ejemplo, una gestión flexible de la auditoría avanzada de Google Drive y de las llaves de seguridad.

Puedes implementar llaves de seguridad en tu organización y supervisarlas.

FIDO U2F Security Key

En todos los planes, los administradores de G Suite tienen pleno control sobre la configuración del sistema y las aplicaciones, sea cual sea el tamaño de la organización. Todo desde un único panel de control, que está disponible en la consola de administración.

Los administradores pueden acceder inmediatamente a diversas herramientas avanzadas como, por ejemplo, a funciones de autenticación como la verificación en dos pasos y el inicio de sesión único, o a políticas de seguridad de correo electrónico, como la aplicación de seguridad de transporte (TLS), IRM y DLP, que se pueden configurar en unos pocos clics.

  • Sincronizar archivos de Drive con archivos locales de sus ordenadores.
  • Compartir archivos de Drive y de editores de Documentos con usuarios ajenos a la organización, ya sea con todo el mundo o solo con dominios incluidos en la lista blanca.
  • Utilizar editores de Documentos sin conexión.
  • Abrir archivos en aplicaciones web de otros proveedores descargadas de Chrome Web Store.
  • Utilizar complementos de Documentos de Google creados por desarrolladores externos. 

Autor

Imagen de José Francisco Gómez Gosálbez

Ingeniero Senior Área Business Platform

CAPTCHA
Esta pregunta es para comprobar si usted es un visitante humano y prevenir envíos de spam automatizado.