Seguridad de la información y cloud computingPor Jorge Hidalgo, CISA, CISM, CGEIT, Gerente de Gestión y Gobierno TI en Mainsoft, Revisor Experto de Cobit 5 para Isaca.
La información es un recurso clave para todas las empresas, y desde el momento en que es creada hasta que es destruida, las Tecnologías de Información juegan un rol significativo.
El concepto de cloud computing ya dejó de ser una idea emergente para convertirse en una realidad de optimización y mejoramiento de disponibilidad en un mercado competitivo. Por ello, es fundamental el debate respecto de cómo encarar el cloud computing y de los grandes beneficios de la migración a la nube: mejor gestión y asignación de recursos físicos de TI, flexibilidad, alta escalabilidad y ahorro en costos. Pero el valor estratégico para la empresa debe lograrse en base al correcto manejo del riesgo operacional y técnico del servicio cloud. Algunas preguntas que responder son:
• ¿Cómo se gestionan identidades y accesos en el entorno cloud?
• ¿Dónde se encuentran los datos de la compañía?
• ¿Cómo se protege el servicio contra las amenazas de Internet?
• ¿Qué tipo de certificación o garantías se debe esperar del proveedor?
Uno de los objetivos principales de la seguridad de la información es proteger los activos claves que soportan los sistemas y aplicaciones de una organización. Cuando se transita hacia servicios cloud, los métodos tradicionales de seguridad de activos son desafiados por las arquitecturas basadas en la nube, considerando:
• Ubicación de los datos conforme a contratos, SLAs y regulaciones.
• Persistencia de datos con métodos de destrucción efectiva.
• Compartición de datos con otros clientes cloud.
• Copia de seguridad y esquemas para recuperación y restauración de datos.
• Agregación e inferencia de datos, producto de la exposición de la información sensible.
Riesgos al migrar a cloud
La migración a la nube, además de los riesgos tradicionales del ambiente de TI, introduce nuevas amenazas y vulnerabilidades que pueden parecer exageradas debido a la falta de visibilidad física y la pérdida percibida de control sobre los activos y la información, que podrían verse afectados por los siguientes factores de riesgo:
• Confusión de roles cuando las responsabilidades no están definidas claramente.
• Incapacidad para satisfacer expectativas de usuarios finales en privacidad.
• Demoras en proyectos y costos más elevados por la necesidad de volver a evaluar los planes sobre el servicio en cloud.
• Falta de claridad en las especificaciones de las responsabilidades en los acuerdos de nivel de servicio (SLAs) con los proveedores.
• Los grandes volúmenes de datos almacenados en un solo lugar pueden ser objetivos valiosos para el delito informático.
• Un solo acceso no autorizado puede dar lugar al acceso a datos de múltiples empresas.
Toda empresa que esté considerando mudarse a cloud debe entender primero el tipo de información que posee, dónde está y cuál sería el impacto de un incumplimiento en el resguardo de los datos. Un inventario de la información, la clasificación y el etiquetado son materias importantes para todos los entornos empresariales, ya que la información que no está controlada tiene el potencial de ser transformada de un activo a un pasivo. Es particularmente importante que los propietarios del negocio entiendan la sensibilidad de los datos actualmente almacenados dentro de la compañía antes de que sean trasladados a un entorno de nube.
Para mayor información o leer el artículo completo con las recomendaciones y conceptos claves sobre
seguridad de la información en entornos cloud computing, visite www.mainsoft.cl
