¿Qué deberías hacer antes de ir a la nube?
Por Mariano del Río
Si has leído el artículo “¿Qué esperas de los servicios en la nube?” quizás te hayan surgido dudas acerca de los pasos previos que una organización debe dar para migrar a la nube. En este artículo, intentamos aportar algunas recomendaciones para identificar qué información es necesaria para tomar decisiones de forma responsable y minimizar los riesgos al optar por una solución de este tipo.
En primer lugar, es fundamental contar con la clasificación de la información, un inventario de activos completo, actualizado y su valoración, entre otros aspectos asociados al Gobierno de la Seguridad de la Información.
Una vez realizadas estas actuaciones, podemos pasar a evaluar la solución en la nube. Para esto último, la Cloud Security Alliance (CSA) ha generado un proyecto llamado Cloud Assessments Iniciative (CAI). El CAI facilita la elección del proveedor adecuado a través de la realización de un cuestionario que incluye cerca de 100 preguntas relacionadas con los Controles establecidos en el Cloud Control Matrix (CCM). El CCM, desarrollado igualmente por CSA, es un proyecto que relaciona los controles de la Cloud Security Guidance mencionada anteriormente y los principales estándares y regulaciones internacionales, como por ejemplo ISO 27001, PCI-DSS, NIST SP800-53, CobIT, etc.
Si la organización cuenta entonces con la clasificación de la información, el inventario de activos, más el análisis de los riesgos y la ejecución de algún tipo de evaluación como las que se comentaron anteriormente, estaría en condiciones de poder decidir de forma diligente la opción de servicios en la nube más indicada.
Teniendo en cuenta esto último, ¿Cuántas organizaciones están en condiciones de cubrir estos aspectos? ¿Seguiremos pensando que los proveedores de servicios en la nube son los máximos responsables del impacto que causan los incidentes en las organizaciones?
Algunas Referencias:
Si has leído el artículo “¿Qué esperas de los servicios en la nube?” quizás te hayan surgido dudas acerca de los pasos previos que una organización debe dar para migrar a la nube. En este artículo, intentamos aportar algunas recomendaciones para identificar qué información es necesaria para tomar decisiones de forma responsable y minimizar los riesgos al optar por una solución de este tipo.
En primer lugar, es fundamental contar con la clasificación de la información, un inventario de activos completo, actualizado y su valoración, entre otros aspectos asociados al Gobierno de la Seguridad de la Información.
Una vez realizadas estas actuaciones, podemos pasar a evaluar la solución en la nube. Para esto último, la Cloud Security Alliance (CSA) ha generado un proyecto llamado Cloud Assessments Iniciative (CAI). El CAI facilita la elección del proveedor adecuado a través de la realización de un cuestionario que incluye cerca de 100 preguntas relacionadas con los Controles establecidos en el Cloud Control Matrix (CCM). El CCM, desarrollado igualmente por CSA, es un proyecto que relaciona los controles de la Cloud Security Guidance mencionada anteriormente y los principales estándares y regulaciones internacionales, como por ejemplo ISO 27001, PCI-DSS, NIST SP800-53, CobIT, etc.
Si la organización cuenta entonces con la clasificación de la información, el inventario de activos, más el análisis de los riesgos y la ejecución de algún tipo de evaluación como las que se comentaron anteriormente, estaría en condiciones de poder decidir de forma diligente la opción de servicios en la nube más indicada.
Teniendo en cuenta esto último, ¿Cuántas organizaciones están en condiciones de cubrir estos aspectos? ¿Seguiremos pensando que los proveedores de servicios en la nube son los máximos responsables del impacto que causan los incidentes en las organizaciones?
Algunas Referencias:
- Cloud Security Alliance (CSA)
- Riesgos y Amenazas en Cloud Computing:
- Guidelines on Security and Privacy in Public Cloud Computing
- The Nist Definition of Cloud Computing
- 5 Aspectos para mejorar la seguridad en las empresas
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!