Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: iSTOCK/GETTY IMAGES

Este contenido es parte de Guía Esencial: Retos de la privacidad de los datos y el cumplimiento normativo
Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Mantenga a salvo los datos de cumplimiento cuando se utiliza el archivado en la nube

Si piensa almacenar sus datos de cumplimiento en la nube, examine cuidadosamente los servicios disponibles de nube de los proveedores.

La nube es una candidata obvia para almacenar los datos relacionados con el cumplimiento. Los proveedores de software como servicio (SaaS) presentan sus servicios como una forma económica de eliminar de su almacenamiento in situ resmas de información raramente visitadas que requieren estrictos controles de seguridad y acceso. Pero los expertos advierten sobre guardar sus datos de cumplimiento mediante usando el archivado en la nube sin examinar cuidadosamente los servicios disponibles de los proveedores.

Hay diferentes tipos de proveedores de servicios basados ​​en la nube que ofrecen archivado de datos, los cuales van desde sitios de almacenamiento de nube pública, como Simple Storage Service de Amazon (S3), a los proveedores que se especializan en el archivado de datos de cumplimiento.

Los proveedores basados ​​en la nube que ofrecen servicios de archivado de datos de cumplimiento han trabajado duro para calmar los temores sobre los problemas de seguridad de datos, control y estabilidad del negocio. "Las personas que han estado haciendo esto han estado en el negocio por un tiempo y saben lo que están haciendo", dijo Brian Babineau, analista consultor senior de Enterprise Strategy Group.

Pero no todos están convencidos de que todos los problemas están resueltos. He aquí un resumen de cómo los proveedores están aliviando los temores comunes que rodean el archivado de datos de cumplimiento basado en la nube, y qué cuestiones quedan.

Seguridad en la nube

Las divulgaciones públicas embarazosas de fugas de datos en muchas empresas muy respetadas y proveedores de servicios –incluyendo el anuncio de Microsoft de diciembre de 2010 sobre que usuarios no autorizados descargaron datos de su suite de productividad de negocios en línea (BPOS)– tienen a los administradores cuestionando la seguridad física y virtual de los proveedores de nube para datos relacionados con cumplimiento altamente sensibles.

"Estamos hablando de tener algunos de los datos más importantes que estas entidades tienen", dijo George Tziahanas, jefe global de soluciones legales y de cumplimiento de Autonomy Corp. "Esto realmente es el alma de estas empresas, y es altamente confidencial”.

Algunos proveedores promueven su cumplimiento de la Declaración sobre Normas de Auditoría No. 70 (SAS 70), Tipo I o Tipo II, como prueba de sus estrictas medidas de seguridad. Jay Heiser, vicepresidente de investigación en Gartner Inc., explica las dos variantes. "[SAS 70] Tipo I es un certificado de un facultativo de la auditoría de que los procesos de control establecidos son adecuados para hacer frente a los requisitos contractuales de nivel de servicio", dijo. Según Heiser, una auditoría SAS 70 Tipo II requiere que el auditor vaya a las instalaciones para ver si el proveedor de servicios está siguiendo adelante con los procesos.

Pero Heiser advierte que una auditoría SAS 70 "no es una certificación, es un atestado”. El problema es que las auditorías no se basan en ningunas mejores prácticas o estándares de la industria; SAS 70 es simplemente el formulario para el informe de evaluación y auditoría. Según Heiser, una auditoría SAS 70 Tipo I exitosa solo significa que el proveedor de servicios tiene los procesos para cumplir con sus promesas contractuales. "Le dice nada acerca de la calidad del servicio real", dijo.

Cuando Heiser habla con las organizaciones, sugiere que sigan, al menos, los cuatro pasos siguientes como parte de su investigación de diligencia debida de un proveedor potencial de servicios en la nube:

  1. Preparar y utilizar un cuestionario para obtener información básica acerca de los servicios y de los equipos y medidas de seguridad de los proveedores de servicios. Heiser dijo que SharedAssessments.org y la Cloud Security Alliance (CSA) ofrecen cuestionarios para ayudar a los administradores a preparar los suyos.
  2. Revisar la información suministrada por el proveedor sobre cualquier proveedor de servicios en la nube.
  3. Revisar las evaluaciones de terceros, tales como SAS 70 o ISO / IEC 27001:2005.
  4. Ir a la fuente. Heiser dijo que los proveedores de servicios generalmente permitirán las visitas in situ basados en el valor de su negocio.

Tres proveedores de servicios que ofrecen servicios basados ​​en la nube –Autonomy, Mimecast y Symantec Corp.– enfrentan las preocupaciones de seguridad con una combinación de tecnologías avanzadas de protección de datos y cifrado.

Autonomy gestiona más de 17 PB de datos relacionadas con cumplimiento, y al mismo tiempo escribe sus datos en varios dispositivos físicos segregados en múltiples lugares y en forma inmutable.

Mimecast también almacena sus datos en múltiples unidades en varios lugares, por lo que el robo físico de una unidad o bastidor no expondría algún dato utilizable, de acuerdo con Orlando Scott-Cowley, evangelista técnico de la empresa. La compañía también encripta todos los datos de los clientes y asigna a cada cliente una clave estándar con cifrado avanzado (AES) de 256. Como medida de seguridad adicional, dijo Scott-Cowley, Mimecast asigna a cada cliente un código de cuenta y etiqueta los datos con el código. Los usuarios solo pueden ver los datos con el mismo código de cuenta.

Symantec encripta los datos del cliente en su traslado a sus centros de datos y en reposo mediante una clave AES de 256.

¿Sabe usted dónde están sus datos?

Algunas regulaciones gubernamentales establecen límites geográficos para dónde se pueden almacenar datos. La directiva sobre protección de datos europea (Directiva 95/46/CE) requiere que las regiones miembro se aseguren de que un país tercero proporciona "un nivel adecuado de protección" de los datos personales antes de que el miembro pueda transferir datos a ese país.

Los administradores están preocupados por los proveedores de servicios en la nube que tienden información entre centros de datos en múltiples ubicaciones e incluso diferentes países. "La primera cosa que la mayoría de las entidades reguladas requiere es que esté claro dónde está su información", dijo Tziahanas de Autonomy.

"La mayor diferencia entre los proveedores de nube en general, las nubes de Amazon y Google, y un proveedor como Autonomy es que [con Autonomía] usted sabrá específicamente dónde están sus datos en cualquier momento del tiempo", dijo.

Autonomy y Symantec han permitido a los clientes potenciales llevar a cabo sus propias auditorías para garantizar que los datos están donde las empresas dicen que están. Symantec permite a las organizaciones especificar el centro de datos donde residirán sus datos, y todas las cuentas de correo electrónico asociadas con la organización fluirán hacia ese centro de datos.

Recuperación de datos desde la nube

Una continua preocupación que tienen los administradores con los proveedores de servicios basados ​​en la nube es la capacidad de recuperar datos de forma rápida.

"Desde una perspectiva regulatoria o legal, cada vez que almacena algo, tiene que ser capaz de traerlo de vuelta", explicó Phil Favaro, un abogado de descubrimiento de Symantec. A las compañías reguladas no solo se les exige almacenar datos especificados por determinados periodos de tiempo, sino que tienen obligaciones para con los tribunales, los organismos reguladores y la gerencia para recuperar rápidamente los datos y sus metadatos cuando sea necesario para las auditorías internas y del gobierno y las solicitudes de e-discovery.

“¿Puede usted revisar el archivador virtual y sacar lo que necesita para cumplir con una orden judicial que le obliga a hacerlo dentro de siete días?”, preguntó Favaro. "Esa es una duda importante que tengo, sobre si las ofertas de nube ofrecen esa estructura. Sin ese tipo de estructura, las empresas van a tener problemas con los tribunales o los órganos reguladores".

Un reciente estudio realizado por el centro de investigación de seguridad Ponemon Institute encontró que los costos de cumplimiento relacionados con el almacenamiento de información no estructurada cuesta en promedio 2.1 millones de dólares al año a las organizaciones que no logran gestionar el capital intelectual de la organización.

Larry Ponemon, fundador y presidente del instituto, dijo que el estudio se centró en aproximadamente 100 empresas con al menos mil puestos de TI, y aquellos con los que él habló personalmente mencionaron la nube como una buena manera de reducir los costos de cumplimiento. Sin embargo, él advierte que poner los registros en la nube no es toda la respuesta,.

“Hablé con cerca de 20 organizaciones, y casi todas mencionaron la posibilidad de utilizar la nube o un servicio administrado que tiene una mayor capacidad para hacer frente a estas cuestiones", dijo Ponemon. "Creo que la nube va a ser ese tipo de servicio. Pero solo porque es la nube, no necesariamente resuelve el problema de quién tiene acceso a qué y por qué. Ellos solo acceden a ello como una gran mancha”.

Ponemon dijo que es importante que cualquier práctica de cumplimiento, en la nube o interna, miran los registros a nivel de archivo. "Tiene que estar a nivel de archivo, no a nivel de volumen”, dijo. "Podría ser que usted necesite solo un registro de entre unos mil”.

La importancia de los SLA

Autonomy y Mimecast abordan el tema del acceso con sólidos acuerdos de nivel de servicio (SLA). "Cuando [la gente] escucha la palabra 'nube', ven a Amazon y Google, leen las historias de horror y se dan cuenta de que sus datos podrían potencialmente quedar por ahí afuera en una infraestructura que está fuera de su control y no viene con ningún SLA", dijo Scott-Cowley de Mimecast. Él dijo que Mimecast garantiza el 100% de disponibilidad del servicio, incluyendo el acceso en cualquier lugar, en cualquier momento a los correos electrónicos archivados a través de su interfaz web.

Autonomy ofrece SLA que cubren el acceso, con qué rapidez se escribirán y se indexarán los datos en el disco, la rapidez con que estarán disponibles para la búsqueda, la rapidez con que los datos fluyen a través de los filtros de políticas, y la rapidez con que los clientes serán capaces de navegar entre los mensajes enviados a través de los filtros de políticas. “Usted puede almacenar datos durante todo el día, pero si no tiene un buen mecanismo para acceder a esos datos, es casi irrelevante", dijo Tziahanas.

Con SLA más fuertes, servicios específicos de ubicación y medidas de seguridad más estrictas, el mercado de los servicios de archivado de datos basados ​​en la nube está madurando. Pero eso no significa que todos los proveedores de servicio utilizarán las mismas herramientas. "Desde el punto de vista de la gestión de riesgos, no puede detenerse en la palabra ‘nube’", dijo Heiser de Gartner. “Usted tiene que cavar bajo las sábanas y averiguar lo que quieren decir con la palabra ‘nube’”.

Eso significa cavar un poco más profundo, buscando más allá de las supuestas auditorías de seguridad estándar de la industria y visitar físicamente las instalaciones del proveedor de servicios, si es posible. Una libra de prevención podría mantenerlo congraciado con los tribunales y los organismos reguladores.

Investigue más sobre Auditoría de seguridad y el cumplimiento de normas

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close