Reseña: Guía de Seguridad y Privacidad en Cloud Computing
El pasado 14 de Octubre, el Observatorio de la Seguridad de INTECO ha publicó una Guía para Empresas asociada a los aspectos de Seguridad y Privacidad en Cloud Computing. Sin duda, teniendo en cuenta el auge que tiene este tema en la actualidad es un documento muy esperado tanto por aquellos que pretenden ir hacia una solución en la nube, como para los que ya lo han hecho y podrían tener la intención de verificar la cobertura de los aspectos claves vertidos en la guía.
El documento está compuesto por 7 apartados que conforman un total de 56 páginas de información muy útil referida a los siguientes temas:
En el primer apartado se presenta una reseña con un poco de historia del Cloud Computing y los primeros servicios que los usuarios pudieron utilizar. En este punto es importante siempre recordar que si eres usuario de hotmail, yahoo, o gmail, eres usuario de Cloud Computing.
También se presentan los distintos tipos y modelos de Cloud Computing, aunque la guía luego se basa en el modelo público del tipo Software como Servicio (SaaS). Referido a esto último, también es importante evaluar la posibilidad de nube privada, que en algunas empresas se está considerando una opción válida para iniciar las primeras experiencias en servicios de nube, aunque cabe destacar que alguno de los beneficios de Cloud Computing como por ejemplo la reducción de costos (en el mediano plazo) no se presentan en este tipo de modelos con tanta notoriedad.
En relación a los costos, si bien siempre se presenta como un beneficio inmediato en el Cloud Computing, mi opinión es que esto se presenta de esa manera en aquellas Organizaciones con cierto nivel de madurez y que poseen buenas prácticas de gobierno de TI, dado que para lograr la reducción de costos se requiere un orden que muchas empresas generan al momento de ir hacia la nube, con el aumento en la inversión que esto significa. En este sentido, la documentación y el establecimiento de procesos es fundamental para lograr un beneficio de corto plazo. También es importante en el momento de evaluar los costes, tener presente el impacto en los procesos que deberán adaptarse al nuevo escenario, el entrenamiento del personal y la implementación de nuevos controles, o la actualización de los existentes.
El segundo apartado trata lo referido al acceso desde cualquier parte como otro punto fuerte del Cloud Computing, pero avanzando en la guía se puede apreciar que la locación de los servicios y los datos toma un valor fundamental para el cumplimiento de los aspectos legales. En este sentido un punto interesante es aquel que indica que la Organización debería llevar la operación hacia el lugar más conveniente, producto del análisis de los riesgos, y requisitos de cumplimiento, pero es una cuestión no muy fácil de lograr de acuerdo al proveedor que uno elija.
Otro aspecto a tener en cuenta es el ancho de banda, que para una Organización con una importante cobertura geográfica podría significar riesgos adicionales de acuerdo a la oferta de servicios vigentes.
Las terceras partes tienen su espacio en esta guía dado que se las menciona como un riesgo que presenta el Cloud Computing, referido a la posible falta de control y los términos y condiciones que deberían establecer un nivel de transparencia que contraste la dicha falta de control del cliente. Desde mi visión, el DBA que administre nuestro servicio es tan "peligroso" como el de nuestra Organización, que también podría ser personal externo. Es decir, no lo considero un riesgo nuevo y asociado al Cloud Computing, aunque es cierto que la "ejecución del control" se llevaría a cabo únicamente a través del cumplimiento de los términos y condiciones convenidos.
El tercer apartado cubre en forma muy detallada los aspectos legales, si bien es un área que no manejo, me ha gustado mucho la tabla de la página 20 donde se detallan las responsabilidades en materia del cuidado de los datos de carácter personal, de acuerdo al rol que se ocupe. Sobre esto último es importante el rol de "Encargado de Tratamiento", que en el Cloud Computing es fundamental.
Los aspectos legales que es en donde se encuentran las principales dudas referidas al Cloud Computing, son vistos con un muy buen nivel detalle por la guía, siendo una buena referencia al momento de encarar proyectos de Cloud Computing, aunque no reemplazan el asesoramiento profesional específico en la materia.
El cuarto apartado trata los riesgos en Cloud Computing describiendo principalmente aquellos que forman parte del documento de la Cloud Security Alliance llamado Top Threats to Cloud Computing, de lectura obligatoria si se llevan proyectos referidos a Cloud.
El quinto apartado se enfoca en la Seguridad en la Nube, desde dos puntos de vista, el proveedor y el cliente. Es interesante la visión de la deslocalización de los datos como un aspecto favorable para la seguridad desde la óptica del proveedor, pero que a su vez podría verse como un riesgo desde el punto de vista del cliente. En mi opinión debería exigirse a los proveedores que la prestación del servicio esté certificada bajo la norma ISO/IEC 27001 o similar, cubriendo de esta manera la gestión de la seguridad de la información, además de lograr en los términos y condiciones que se puedan llevar a cabo auditorias que permitan evidenciar el cumplimiento de los controles establecidos.
Desde el lado del cliente, la guía detalla algunas medidas básicas como por ejemplo la presencia de software antivirus, firewalls, protección del perímetro, el uso de criptografía y el control de las tareas administrativas. En mi opinión, hoy en día cualquier empresa que pretenda ser creíble debería contar con un sistema de gestión de la seguridad alineado con ISO/IEC 27001 como comenté anteriormente. Creo que no es una opción si se quiere lograr la confianza en los clientes.
El sexto apartado presenta el desafío de la privacidad en Cloud Computing, un punto clave y quizás el mayor limitante para la adopción de los servicios en la nube. Sobre este tópico la guía presenta una serie de recomendaciones referidas al control de accesos, integridad, prevención frente a pérdida y algunas alternativas al momento de "enviar" información a la nube. En mi opinión, si bien la Nube presenta un desafío adicional por sacar esta información fuera de la Organización, creo que no se debería considerar segura simplemente por no enviarla a la nube. Hay muchos ejemplos recientes que demuestran que la ubicación de los datos no es el mejor indicador de la seguridad con la que cuentan los mismos. Quizás trabajar en la clasificación de la información, considerando a los datos privados con el máximo nivel, podría generar que se implementen medidas de seguridad acordes y se cubran los riesgos en forma concreta sin importar en donde se encuentren los mismos.
Finalmente el séptimo apartado presenta una serie de recomendaciones muy interesantes para aquellos que tengan en sus planes ir hacia la nube. La guía describe un escenario de análisis, evaluación y toma de decisiones que corresponde a una empresa que se toma en serio a la seguridad de la información y el gobierno de TI. En mi opinión, sería muy bueno encontrar a diario empresas que estén dispuestas a cubrir estos puntos al momento de tomar una decisión referida al Cloud Computing.
Sin duda es un documento que faltaba no solo en España sino en el mercado en general, y que INTECO lo pone a disposición.
Ahora queda en vosotros tomar las recomendaciones y lograr buenas decisiones en las organizaciones, con el claro objetivo de acompañar los negocios en los tiempos que corren y dentro del nivel de riesgos que cada Organización considere oportuno, pero siempre producto del análisis responsable y competente de sus miembros.
La Guía para empresas: seguridad y privacidad del cloud computing está disponible en castellano e inglés, y la reseña de la misma en catalán, euskera, gallego y valenciano. Asimismo, el videotutorial de la guía se puede visualizar desde la sección Multimedia del Observatorio.
Fuente: INTECO-CERT
El documento está compuesto por 7 apartados que conforman un total de 56 páginas de información muy útil referida a los siguientes temas:
- Introducción al Cloud Computing
- CaracterísticasPrincipales
- Marco Legal
- Riesgos del Cloud Computing
- Seguridad en la Nube
- Privacidad en la Nube
- Pasos para entrar en la nube
En el primer apartado se presenta una reseña con un poco de historia del Cloud Computing y los primeros servicios que los usuarios pudieron utilizar. En este punto es importante siempre recordar que si eres usuario de hotmail, yahoo, o gmail, eres usuario de Cloud Computing.
También se presentan los distintos tipos y modelos de Cloud Computing, aunque la guía luego se basa en el modelo público del tipo Software como Servicio (SaaS). Referido a esto último, también es importante evaluar la posibilidad de nube privada, que en algunas empresas se está considerando una opción válida para iniciar las primeras experiencias en servicios de nube, aunque cabe destacar que alguno de los beneficios de Cloud Computing como por ejemplo la reducción de costos (en el mediano plazo) no se presentan en este tipo de modelos con tanta notoriedad.
En relación a los costos, si bien siempre se presenta como un beneficio inmediato en el Cloud Computing, mi opinión es que esto se presenta de esa manera en aquellas Organizaciones con cierto nivel de madurez y que poseen buenas prácticas de gobierno de TI, dado que para lograr la reducción de costos se requiere un orden que muchas empresas generan al momento de ir hacia la nube, con el aumento en la inversión que esto significa. En este sentido, la documentación y el establecimiento de procesos es fundamental para lograr un beneficio de corto plazo. También es importante en el momento de evaluar los costes, tener presente el impacto en los procesos que deberán adaptarse al nuevo escenario, el entrenamiento del personal y la implementación de nuevos controles, o la actualización de los existentes.
El segundo apartado trata lo referido al acceso desde cualquier parte como otro punto fuerte del Cloud Computing, pero avanzando en la guía se puede apreciar que la locación de los servicios y los datos toma un valor fundamental para el cumplimiento de los aspectos legales. En este sentido un punto interesante es aquel que indica que la Organización debería llevar la operación hacia el lugar más conveniente, producto del análisis de los riesgos, y requisitos de cumplimiento, pero es una cuestión no muy fácil de lograr de acuerdo al proveedor que uno elija.
Otro aspecto a tener en cuenta es el ancho de banda, que para una Organización con una importante cobertura geográfica podría significar riesgos adicionales de acuerdo a la oferta de servicios vigentes.
Las terceras partes tienen su espacio en esta guía dado que se las menciona como un riesgo que presenta el Cloud Computing, referido a la posible falta de control y los términos y condiciones que deberían establecer un nivel de transparencia que contraste la dicha falta de control del cliente. Desde mi visión, el DBA que administre nuestro servicio es tan "peligroso" como el de nuestra Organización, que también podría ser personal externo. Es decir, no lo considero un riesgo nuevo y asociado al Cloud Computing, aunque es cierto que la "ejecución del control" se llevaría a cabo únicamente a través del cumplimiento de los términos y condiciones convenidos.
El tercer apartado cubre en forma muy detallada los aspectos legales, si bien es un área que no manejo, me ha gustado mucho la tabla de la página 20 donde se detallan las responsabilidades en materia del cuidado de los datos de carácter personal, de acuerdo al rol que se ocupe. Sobre esto último es importante el rol de "Encargado de Tratamiento", que en el Cloud Computing es fundamental.
Los aspectos legales que es en donde se encuentran las principales dudas referidas al Cloud Computing, son vistos con un muy buen nivel detalle por la guía, siendo una buena referencia al momento de encarar proyectos de Cloud Computing, aunque no reemplazan el asesoramiento profesional específico en la materia.
El cuarto apartado trata los riesgos en Cloud Computing describiendo principalmente aquellos que forman parte del documento de la Cloud Security Alliance llamado Top Threats to Cloud Computing, de lectura obligatoria si se llevan proyectos referidos a Cloud.
El quinto apartado se enfoca en la Seguridad en la Nube, desde dos puntos de vista, el proveedor y el cliente. Es interesante la visión de la deslocalización de los datos como un aspecto favorable para la seguridad desde la óptica del proveedor, pero que a su vez podría verse como un riesgo desde el punto de vista del cliente. En mi opinión debería exigirse a los proveedores que la prestación del servicio esté certificada bajo la norma ISO/IEC 27001 o similar, cubriendo de esta manera la gestión de la seguridad de la información, además de lograr en los términos y condiciones que se puedan llevar a cabo auditorias que permitan evidenciar el cumplimiento de los controles establecidos.
Desde el lado del cliente, la guía detalla algunas medidas básicas como por ejemplo la presencia de software antivirus, firewalls, protección del perímetro, el uso de criptografía y el control de las tareas administrativas. En mi opinión, hoy en día cualquier empresa que pretenda ser creíble debería contar con un sistema de gestión de la seguridad alineado con ISO/IEC 27001 como comenté anteriormente. Creo que no es una opción si se quiere lograr la confianza en los clientes.
El sexto apartado presenta el desafío de la privacidad en Cloud Computing, un punto clave y quizás el mayor limitante para la adopción de los servicios en la nube. Sobre este tópico la guía presenta una serie de recomendaciones referidas al control de accesos, integridad, prevención frente a pérdida y algunas alternativas al momento de "enviar" información a la nube. En mi opinión, si bien la Nube presenta un desafío adicional por sacar esta información fuera de la Organización, creo que no se debería considerar segura simplemente por no enviarla a la nube. Hay muchos ejemplos recientes que demuestran que la ubicación de los datos no es el mejor indicador de la seguridad con la que cuentan los mismos. Quizás trabajar en la clasificación de la información, considerando a los datos privados con el máximo nivel, podría generar que se implementen medidas de seguridad acordes y se cubran los riesgos en forma concreta sin importar en donde se encuentren los mismos.
Finalmente el séptimo apartado presenta una serie de recomendaciones muy interesantes para aquellos que tengan en sus planes ir hacia la nube. La guía describe un escenario de análisis, evaluación y toma de decisiones que corresponde a una empresa que se toma en serio a la seguridad de la información y el gobierno de TI. En mi opinión, sería muy bueno encontrar a diario empresas que estén dispuestas a cubrir estos puntos al momento de tomar una decisión referida al Cloud Computing.
Conclusiones
Como habrán observado, la guía recorre los principales temas referidos a Cloud Computing, mostrando al lector todos los puntos que se deben considerar si se quiere tener una experiencia agradable antes de optar por una u otra opción de servicios.Sin duda es un documento que faltaba no solo en España sino en el mercado en general, y que INTECO lo pone a disposición.
Ahora queda en vosotros tomar las recomendaciones y lograr buenas decisiones en las organizaciones, con el claro objetivo de acompañar los negocios en los tiempos que corren y dentro del nivel de riesgos que cada Organización considere oportuno, pero siempre producto del análisis responsable y competente de sus miembros.
La Guía para empresas: seguridad y privacidad del cloud computing está disponible en castellano e inglés, y la reseña de la misma en catalán, euskera, gallego y valenciano. Asimismo, el videotutorial de la guía se puede visualizar desde la sección Multimedia del Observatorio.
Fuente: INTECO-CERT
Una guia muy interesante y con unos buenos consejos, a tener en cuenta en el uso del Cloud Computing. Resaltar la importancia de tener en cuenta todos los aspectos de seguridad necesarios para garantizar la integridad de nuestra información. Saludos.
ResponderBorrar