Garantizar confidencialidad, integridad y disponibilidad del sistema mientras se trabaja en Internet es lo que le quita el sueño a los departamentos de tecnología cuando deciden empezar a trabajar en esquemas tipo cloud computing .
Bajo esta modalidad, la empresa contrata el servicio –llámese software , plataforma o infraestructura– a un proveedor y se desentiende de gastos en esas tareas. A cambio, surge otro dolor de cabeza: la seguridad de los datos y procesos, que ahora están en la nube de Internet.
Para el especialista estadounidense en ciberseguridad Carlos Solari, en ese caso el analgésico es lograr alinear el perfil de riesgo de la empresa con el servicio en la nube a contratar.
Este es un extracto de la conversación que tuvo con EF.
¿Cuáles riesgos enfrentan las empresas al migrar a la nube?
Ninguna empresa está expuesta a riesgos solo por migrar a la nube. Ahí las amenazas no son distintas de las que enfrentan en la red local de la empresa (LAN). Si la política de seguridad es débil, las aplicaciones vulnerables en la LAN seguirán siéndolo en la nube.
¿Qué medidas de seguridad importantes suelen ser pasadas por alto al migrar?
Uno debe considerar las implicaciones de seguridad en cuanto a la disponibilidad y administración del sistema y de la base de datos, la auditoría, los requerimientos e incluso las regulaciones sobre privacidad que rigen en los países en los que se tiene operaciones. Todas estas son consideraciones importantes que suelen ser pasadas por alto en el apuro por lograr los ahorros que se obtienen en la nube.
¿Compromisos mínimos en seguridad que debe exigir una empresa a su proveedor?
Las consideraciones sobre seguridad deben ser parte del proceso desde el planeamiento. Debe crearse un perfil de riesgo de la compañía (actual y futuro).
“Migrar a la nube no es ‘todo o nada’. Deben seleccionarse los procesos,software, plataformas o infraestructuras que se beneficiarían del esquemacloud computing ”.
“Luego, deben identificarse las fortalezas y debilidades y administrar (crear controles de seguridad y privacidad) la información de la compañía (sistemas, aplicaciones y contenido) con base en el perfil de riesgo. El tercer paso es montar la guardia, es decir, crear un centro que monitoree las actividades”.
¿Cómo seleccionar al proveedor correcto?
El proveedor del servicio en la nube debe involucrarse desde el planeamiento de la migración, y demostrar que el servicio tendrá igual o mayor seguridad que la que tiene la LAN y plasmar ese compromiso en el contrato.
“Para que la empresa pueda confiar en el proveedor debe evaluar cuatro cosas: la protección de los datos, la defensa del perímetro de la red, la seguridad inherente a la infraestructura de la nube y el acceso a físico a los centros de datos del proveedor”.
¿Puede la empresa solicitar que su información se guarde y procese en cierta jurisdicción?
En el ciberespacio los límites geopolíticos no están claros y la empresa tiene derecho a preguntar dónde se almacenan sus datos (los generados por los usuarios y los propios del sistema, conocidos como metadatos). También puede pedir que se guarden y procesen en una jurisdicción determinada, pero generalmente le costará más dinero.
¿Qué debería contemplar el plan de recuperación ante desastres?
Debe diferenciarse entre el plan de recuperación y el de continuidad de negocio y ambos deben responder al perfil de riesgo de la empresa. También es importante conocer la frecuencia con que se prueban y cómo se hacen las respectivas correcciones.
¿Qué opina de los sistemas de single sign-on?
Estos servicios se utilizan para no tener que lidiar con múltiples autenticaciones. El problema es que pone todos los huevos en una sola canasta. Uno debe preguntarse ¿cuál alternativa es más fácil de administrar con controles de compensación de riesgo?
Algunos consideran inconveniente someter el cloud computing a estándares por ser algo muy nuevo aún ¿Coincide?
Las decisiones que tomemos hoy sobre operaciones de cloud computing no deben esperar para revelaciones futuras. Sin estándares solo tendríamos caos.
“Es un esquema nuevo, sí, pero los modelos y estándares de seguridad que ya se han desarrollado pueden aplicarse en la nube para garantizar niveles apropiados de privacidad y protección”.
Por: Carolina Ruíz Vega
Fuente: Extracto de www.elfinancierocr.com
Foto: idg.es
En ERA Expense Reduction Analysts, nos especializamos en el análisis y reducción de gastos operativos de más de 40 categorías distintas, entre ellas se encuentra Almacenamiento de Información. Si usted está buscando cuál es la opción que más le conviene y además le gustaría encontrar ahorros haciéndolo, no lo piense más y póngase en contacto con nosotros, un experto consultor, con gusto le atenderá.
www.era-mexico.com
Tel. 52-54-82-96
Atención a medios: abalbuena@era-mexico.com
No hay comentarios:
Publicar un comentario