Maksim Kabakou - stock.adobe.com

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Claves para manejar sus datos de forma segura en la nube

Mover flujos de trabajo hacia la nube puede traer a las empresas múltiples ahorros y beneficios, siempre y cuando se tenga una política de ciberseguridad que tenga en cuenta este entorno y sus características.

Cada vez es más común que las empresas externalicen muchos de sus procesos operativos para poder enfocarse solamente en su negocio. Esta es una tendencia que se manifiesta en toda América Latina y, sin duda, ofrece variados beneficios económicos y técnicos. Pero, cuando se trata de la seguridad de la información, hay que tener mucho cuidado con las decisiones que se tomen, ya que cualquier incidente puede afectar seriamente a la compañía y sus datos.

René Martínez, Adexus.

En ese sentido, René Martínez, subgerente de Integración y Consultoría de Adexus, señala que debemos entender que la seguridad de la información debe formar parte de una política corporativa de seguridad o ciberseguridad; por lo tanto, es importante definir tanto sistemas y usuarios que accederán a la información corporativa, para así elaborar una arquitectura de ciberseguridad que pueda abordar y resolver estos ámbitos sin que ello implique una barrera para el desarrollo del negocio. «En función de la información y soluciones de nube a utilizar, la recomendación es evaluar cómo y dónde las soluciones de respaldo de sistemas están almacenando la información», dice.

Los expertos advierten que muchas empresas, hoy en día, están cometiendo un grave error al migrar sus servicios a la nube, que es descansar y confiar en la seguridad que los proveedores de nube tienen y no hacer nada por la seguridad desde su lado.

Pablo Dubois, CenturyLink.

En esta línea, Pablo Dubois, gerente de productos de seguridad de CenturyLink América Latina, indica que: «Las empresas siguen siendo responsables de cómo configuran sus entornos dentro de esas nubes, qué usuarios tienen acceso a qué recursos y, sobre todo, siguen siendo el máximo responsable por la información que contienen esos entornos. Son temas que no pueden delegar en estos proveedores y muchas empresas caen en este error de pensar que el nivel de seguridad de estas nubes cubre también sus responsabilidades», dice.

Conozca a su proveedor de nube

Antes de contratar un proveedor de servicios de nube, debe tratar de tener la mayor información posible de cómo trabaja, destaca Marcelo Díaz, gerente general de Makros, y dejar en claro puntos significativos. «Por ejemplo, la data [sic] de quién es, quién hostea o quién la sube. También, la certificación de los data center en niveles de disponibilidad y si es posible auditar cambios a niveles de acceso, si es posible recuperar los datos subidos, qué pasa cuando el contrato se termina y las estrategias de migración de una nube a otra, entre otros factores igualmente relevantes. Existen otros ítems que se relacionan con el tipo de servicio o producto contratado, y como éste puede afectar colateralmente al cliente como, por ejemplo, si los datos se encuentran en un tenant independiente o compartido».

Marcelo Díaz, Makros.

De acuerdo con estudios de IDC, cuando una compañía decide migrar su información a la nube, debe prepararse y conocer de qué está hablando, por lo que la consultora aconseja considerar políticas y estándares internacionales antes de evaluar un proveedor de servicios de nube.

Jonathan Namuncura, IDC.

«Es relevante considerar que los proveedores de cloud muchas veces usan políticas de responsabilidad compartida haciéndose cargo, de esta manera, de la seguridad de la infraestructura, mientras que la seguridad sobre los datos debe ser responsabilidad del cliente. Así, asuntos como la seguridad de la información depositada en un ambiente cloud, la definición de los privilegios de usuarios y los roles de administración de la información corren por parte de la empresa contratante», expresa Jonathan Namuncura, analista de software de IDC Chile.

De acuerdo con análisis desarrollados por Symantec sobre más de 22.000 aplicaciones y servicios en la nube, 758 millones de documentos y más de 1,4 mil millones de correos electrónicos y archivos adjuntos, el 13% de todos los archivos almacenados en la nube se comparten ampliamente, y el 1% de estos archivos contienen datos alcanzados por restricciones regulatorias. Por ello, Symantec aconseja a las empresas aplicar un modelo de seguridad centrado en la información, el cual contempla el qué, cómo y dónde de sus datos más importantes. Este modelo comienza con el descubrimiento de los datos de manera precisa, clasificando la información, inspeccionando el contenido que está entrando o saliendo de aplicativos en la nube y controlando granularmente las actividades riesgosas de los empleados cuando utilizan la nube.

Ignacio Conti, Symantec.

«La mayoría de las aplicaciones de nube tienen declaraciones de privacidad y seguridad documentadas. Generalmente, los grandes proveedores de servicios de nube se adhieren a un modelo de responsabilidad compartida, donde el proveedor acepta ofrecer una infraestructura segura. Sin embargo, esos mismos proveedores no se hacen responsables por prevenir el mal uso, accidental o malintencionado, de los datos de sus clientes, y usualmente no ofrecen protección para los mismos ni controles para prevenir su pérdida. Esta responsabilidad recae en las empresas clientes, que deben implementar soluciones de seguridad que les permitan recuperar el gobierno y control de sus datos», detalla Ignacio Conti, gerente de ventas de canal de Symantec, ROLA.

Cómo evaluar a los proveedores de servicios en la nube

Los expertos que consultamos coinciden en que los proveedores de servicios de nube deben entregar garantías de un nivel mínimo de seguridad asociado a sus instalaciones y procesos. Además, al momento de evaluar la seguridad de un sistema versus otro, es importante en primer lugar, entender las necesidades de la compañía que contratará estos.

En este sentido, las certificaciones con las que cuentan los proveedores son solo una primera forma de responder a la importancia de este tema. Esto no es suficiente por sí solo, ya que todos los proveedores de nube operan con un modelo denominado de responsabilidad compartida, que delimita cuáles son los ámbitos de seguridad de la información que serán velados por ellos y cuáles deben ser asumidos por las organizaciones.

«Al momento de utilizar servicios de nube, se debe tener presente que la organización continúa siendo responsable de la información almacenada y compartida en estos sistemas, y por lo mismo debe definir una estrategia de seguridad que complemente este modelo de responsabilidad compartida, solicitando a los proveedores de servicios de nube soluciones complementarias a las soluciones base entregadas o bien mediante soluciones de otros partners complementarios», advierte Martínez, de Adexus.

Namuncura, de IDC Chile, refiere que hay distintas normativas internacionales que un proveedor de nube puede seguir, lo cual muchas veces depende del lugar físico donde una compañía opera (normas europeas, por ejemplo) o del sector productivo al que la compañía pertenece (como las normas especiales para la banca). «Se debe consultar a los proveedores las medidas de seguridad, las certificaciones internacionales y los diferenciales. En algunos casos, ésta es información pública y, en otros, es privada bajo términos de confidencialidad; sin embargo, siempre el contratante podrá consultar esa información antes de adquirir un servicio. Hay mucho que investigar conforme a lo que el cliente necesite contratar y para la definición de su política y estrategia de seguridad», explica.

Para Dubois, de CenturyLink América Latina, la respuesta de los proveedores es muy importante a la hora de contratar estos servicios, sobre todo para las empresas que en algunos casos necesitan de un contacto directo, uno a uno, en caso de tener un gran incidente. «En estos casos, buscaría proveedores con atención en la región, y en lo posible que los recursos que se estén utilizando sean provistos al menos en la región. Con algunos proveedores esto es muy difícil de saber, pero consideraría como positivo tener estos recursos con el menor tiempo de latencia posible, sobre todo para servicios críticos. Con respecto a la seguridad, considero que sigue siendo mucho más importante la parte de la seguridad que tiene que poner la empresa de su lado, mucho antes que preocuparse por la seguridad con la que cumple la nube. En su gran mayoría, [los proveedores de nube] son grandes empresas cuyo servicio se creó con el concepto de seguridad desde la concepción del proyecto, cosa que no ocurre con la mayoría de las empresas donde la seguridad de la información sigue siendo un agregado al negocio», detalla.

Alberto Torrejón, SONDA.

Finalmente, Alberto Torrejón Harnisch, arquitecto de soluciones de ciberseguridad de SONDA, sostiene que la organización siempre es responsable de su propio riesgo, por lo que necesita definir un programa global que establezca el aprovisionamiento, contratación, evaluación del proveedor de servicio y el monitoreo del mismo, para maximizar la buena salud y seguridad de las plataformas y de la información contenida en ellas.

«La mayoría de las organizaciones externalizan más funciones ‘de las que se dan cuenta’, siendo esa tendencia un número al alza. A través del uso de cloud computing y del SaaS en particular (software como servicio, como en el caso del correo, ERP, CRM, HR, etc.), se incrementa el uso de proveedores de servicio para mantener, gestionar, transmitir o almacenar los recursos de información, así como para mejorar la entrega de servicios, aumentar las eficiencias y reducir los costos. Las amenazas deben ser definidas y abordadas antes de contratar al proveedor de servicio, de manera que se pueda asegurar que los controles adecuados han sido puestos en marcha en forma previa al acuerdo de servicio (web filtering, TFA, UBA, DLP, backups, etc.). En este sentido, es importante contar con una evaluación de seguridad independiente para todos los servicios, incluyendo aplicaciones, hosteo, sistemas, etc., que se relacionen con la recolección, procesamiento, transmisión o almacenamiento de información sensible para la organización», concluye. 

Reduzca sus riesgos al usar servicios de nube

Cuando la organización utiliza los servicios de terceros, sigue siendo el responsable final frente a brechas de seguridad que puedan materializarse. Alberto Torrejón Harnisch, arquitecto de soluciones de ciberseguridad de SONDA recomienda a las organizaciones poner atención en los siguientes puntos, como mínimo, para reducir el riesgo de negocio cuando externalizan alguna función:

  • Revisar el programa de seguridad del proveedor de servicio, con respecto a la gestión de riesgos de red y de seguridad de la información;
  • Identificar las tareas de seguridad ejecutadas por el proveedor, incluyendo qué tipos de incidentes de seguridad son mitigados por éste;
  • Clarificar cómo el servicio de nube responde a desastres naturales que afecten su centro de datos o las conexiones a éste;
  • Conocer cómo es el acceso físico y lógico a los datos del cliente o a los procesos protegidos;
  • Realizar inspecciones en el sitio (cuando sea factible, por ejemplo, en una nube privada) y entrevistarse con los responsables del servicio;
  • Revisar y conocer los contratos para verificar que los niveles de protección y seguridad son los requeridos por la organización;
  • Asegurarse de la existencia de niveles de servicio (SLAs) conocidos y adecuados para el negocio;
  • Revisar los reportes de auditorías externas y de terceros sobre el servicio que se está contratando;
  • Revisar referencias de clientes existentes que usen el servicio;
  • Revisar que exista un plan de continuidad de negocio (BCP) para el servicio;
  • Firmar un acuerdo de no divulgación o NDA (nondisclosure agreement) con el proveedor de servicio;
  • Revisar y comprender los requerimientos regulatorios y legales del proveedor;
  • Revisar la adherencia a estándares internacionales y mejores prácticas, y sus correspondientes certificaciones por parte del proveedor de servicio.

Torrejón señala que la gobernanza de los procesos asociados a los proveedores de servicio necesita ser definido con antelación, lo que incluye la definición y puesta en marcha de métricas de rendimiento, SLAs, reuniones periódicas de coordinación y seguimiento del servicio, estructura de reportes y definición del responsable del servicio, por ambas partes.

Investigue más sobre Cloud computing (Computación en la nube)

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close