Vamos a hablar de 'nubes', a pesar de que, a día de hoy, todavía hay mucha gente que no sabe lo que es el cloud computing, es evidente que ya es una realidad y que moverá mucho dinero.
Últimamente se habla mucho del cloud computing, y de que no es seguro o si, o incluso si es más seguro. Desde un punto de vista estricto de seguridad de la información, y siempre que se dispongan de los medios idóneos internamente, la decisión más lógica sería no externalizar nada, de esta forma se puede mantener un férreo control de la información. Pero no debemos olvidar que, a la hora de tomar decisiones estratégicas, la seguridad de la información simplemente será un factor más a tener en cuenta y, por ejemplo, externalizar siempre saldrá más barato, al menos a corto plazo. Así que, lo único que podemos hacer es aportar nuestros argumentos a favor y en contra de las diferentes posibilidades, tratando de minimizar los riesgos de la opción elegida. ¿Cómo podemos conseguirlo?
El factor clave cuando dejamos la información de nuestra empresa en manos de terceros es la confianza y el objetivo es que la seguridad de la información no disminuya, ya que, la responsabilidad seguirá siendo nuestra. Para poder confiar en nuestro proveedor de cloud computing prestaremos especial atención a lo siguiente:
- Localización de la información. Este aspecto es crucial desde un punto de vista legislativo, ya que la legislación es diferente en cada país.
- Control de accesos. ¿Cuál es la política de control de accesos? ¿Quién va a poder acceder a la información de nuestra empresa? Existen proveedores que ofrecen la posibilidad de integrar la autenticación con nuestro SSO, pero no debemos conformarnos con esto, ya que, empezando por el acceso físico a sus edificios, existirán demasiados casos que no podremos controlar.
- Monitorización. Habrá que saber qué se monitoriza y, sobre todo, debemos asegurarnos que podremos tener acceso a los logs que consideremos necesarios.
- Segregación de la información. Es importante saber cómo el proveedor garantiza que otros clientes no puedan tener acceso a la información de nuestra empresa.
- Gestión del cambio. Por un lado, tendremos que ver cómo puede afectarnos un cambio que vaya a realizar el proveedor, de tal forma que queden establecidas las condiciones para avisarnos y para aceptar que procedan a ejecutarlo, mientras que por otro, el proveedor debe proporcionar los mecanismos para que nuestra empresa pueda solicitar cambios.
- Gestión de incidencias. Cómo abordará el proveedor las incidencias, y concretamente, las incidencias de seguridad, es algo que tenemos que tener claro. Principalmente, tenemos que asegurarnos, para poder tomar las decisiones oportunas, de que se nos avisará e informará adecuadamente de todo incidente de seguridad que se produzca.
- Gestión de la continuidad. El proveedor debe asegurarnos la disponibilidad de la información, qué medidas ha implantado para garantizarlo y, en caso de desastre, cuánto tiempo llevará la recuperación. De todas maneras, nosotros también podemos buscar configuraciones en alta disponibilidad a través de varios proveedores.
- Política de seguridad de la información
- Controles de seguridad implantados
- Procedimiento de gestión del cambio
- Procedimiento de gestión de incidencias
- Plan de continuidad
Con toda esta información podremos decidir si confiar en nuestro proveedor.
Como conclusión diremos que, aunque, las empresas del sector están muy interesadas en hacer creer que cada avance tecnológico necesita nuevas medidas de seguridad, que hay que reinventar la seguridad de la información una y otra vez, o que si no compramos el nuevo producto para el último hot topic del sector estaremos sirviéndoles en bandeja a los 'malos' nuestra empresa, en realidad, los conceptos de seguridad de la información que debemos aplicar, con cada avance tecnológico, suelen ser siempre los mismos, y están inventados desde hace años.
Por lo tanto, los aspectos a tener en cuenta en la seguridad del cloud computing son antiguos, lo que se ha tratado de ver en este post es cuáles de estos conceptos debemos tener en cuenta cuando nuestras empresas den el paso de subirse a las 'nubes', y esto es algo que todas harán tarde o temprano.
3 comentarios:
Interesante esto del cloud computing.
Esta bien saber q no me pueden vender la moto con q tengo q penerme las pilas con seguridad en cualquier nuevo concepto tecnológico q aparezca (vamos, q mi base de conocimientos de seguridad es la caña!)
El próximo blog, sobre cómo conseguir que nuestro proveedor nos cuente los incidentes de seguridad (por pedir...)
@moro1200, ya sabía yo que te iba a interesar ;)
@laura, esta claro que conseguir algunas cosas del proveedor no son sencillas, nos podemos pasar horas filosofando sobre el tema y no llegar a ningún sitio, pero tomo nota de la propuesta para otro post.
Por si todavía alguien duda de la pasta que empieza a mover esto mirad este anuncio de IBM: IBM Invests Nearly $400 Million on Cloud Computing Centers in U.S. and Japan
Publicar un comentario