Breaking

2/2/15

CDR = Una #nube segura

¿Qué se esconde detrás de la gran imagen corporativa de nuestro proveedor de Cloud Computing? Como clientes… ¿Qué garantías tenemos de que nuestra información estará protegida? ¿Nuestras normas de seguridad serán aplicadas? En una modalidad operativa que día a día gana mayor espacio, existen temores y dudas sin resolver que podrían poner en riesgo a su organización.

Cloud Computing es un término bastante abarcativo, pretende solucionar los problemas de  performance y disponibilidad que una empresa puede tener, de la manera más económica posible. No obstante, la implementación de dicha modalidad requiere adoptar una serie de consideraciones  significativas en lo que respecta a la seguridad de la información y basadas en tres pilares: confidencialidad, disponibilidad y responsabilidad (CDR).

Confidencialidad

Al confiar nuestra información a un tercero, pueden emerger riesgos considerables referidos a la confidencialidad de la información. A la hora de contratar sus servicios, surgen ciertas preguntas que deberían ser analizadas previo la firma del contrato correspondiente:

- ¿Qué tipo de protección física y técnica posee el proveedor hacia la infraestructura que hostea el servicio?
- ¿Qué nivel de visibilidad tiene el proveedor en torno a la información del cliente?
- ¿Puede el cliente escoger qué métodos de autenticación se requerirán para acceder a su información desde Internet?
- ¿Cómo es administrada la gestión de la identidad por parte del proveedor?
- ¿Qué tareas se ejecutarán con la información del cliente al finalizar el contrato?
- ¿De qué forma podrá acceder el cliente a su información si hay una disputa con el proveedor, o una terminación abrupta del contrato? ¿Podrá el proveedor retener dicha información?
- Si se disuelve la empresa proveedora del servicio ¿Qué destino tendrá la información del cliente?
- ¿Qué nivel de abstracción existe entre los recursos, virtuales o físicos, asignados por el proveedor del servicio a cada cliente?
- ¿Puede el cliente utilizar sus propios métodos de encriptación de la información en una capa superior a la brindada por el proveedor?

La correcta mitigación de los riesgos relacionados con la variable de confidencialidad le brindará a su empresa una tranquilidad invaluable sobre el nivel de protección de su información en la nube.

Disponibilidad

La disponibilidad es un jugador clave en Cloud Computing, y representa uno de los principales requisitos para la contratación de dicho servicio. Sin embargo, la provisión de un efectivo nivel de disponibilidad requiere de diferentes factores, muchos de los cuales no son tomados en consideración:

- ¿Qué infraestructura física (hardware, backups, enlaces y conexiones eléctricas redundantes) ofrece el proveedor a fin de garantizar la disponibilidad del servicio?
- ¿Qué nivel de resiliencia posee el proveedor en su centro de cómputos?
- ¿Cómo gestiona el proveedor la respuesta a incidentes?
- ¿Cuáles son los lineamientos y políticas que posee el proveedor en relación a la actualización y mantenimiento de hardware y software, y estrategias de continuidad del negocio?
- ¿Qué métodos ofrece el proveedor para la exportación y/o importación de información, y de recursos desde/hacia otros proveedores?

En ciertos casos, el riesgo de la falla en la entrega del nivel de disponibilidad comprometido por el proveedor del servicio, finaliza su alcance en el cliente mismo. Pero en muchos otros casos, el cliente está comprometido con sus propios clientes a entregarles una calidad de servicio la que está ligada estrechamente al servicio contratado, por lo tanto, una falla en el mismo puede perjudicar la reputación e imagen de la empresa e inclusive traer aparejadas implicancias legales, situación que nos introduce en el tercer y último pilar bajo análisis.

Responsabilidad

Es el factor más importante al tercerizar servicios claves para su empresa. La falta de un análisis cuidadoso puede derivar en consecuencias graves de índole legal. Se deben establecer las pautas necesarias para resguardarnos ante cualquier responsabilidad acarreada por un incumplimiento en las normativas y leyes que apliquen:

- ¿Quién es el dueño y responsable legal de la información almacenada en los servidores del proveedor?
- ¿En caso de efectuarse un ataque hacia los recursos del cliente hosteados en los servidores del proveedor, quién es el encargado de iniciar las acciones legales correspondientes?
- ¿Cómo se procede si el ataque fue efectuado hacia otra empresa que comparte recursos físicos del proveedor del servicio con el cliente?
- En el caso de que un perito solicite confiscar un servidor que contenga información del cliente, para recolectar evidencia relacionada con una investigación hacia otra empresa que comparte recursos de dicho servidor, ¿Tiene ese perito autorización para revisar la información del cliente?
- ¿Cuál es el modo de ejecución legal a seguir si el servicio se provee desde un país diferente al que pertenece el cliente?
- ¿Qué certificaciones de calidad posee el proveedor del servicio a nivel empresa?
- ¿El proveedor del servicio, se somete regularmente a auditorías internas y/o externas?
- ¿Está autorizado el cliente a efectuar una auditoría del proveedor del servicio, para poder demostrar Due Dilligence y Due Care?
- ¿Puede el proveedor ajustar su estructura y sus políticas para cumplir con las normativas propias del país al que pertenece el cliente (por ejemplo, Comunicación “A” 4609 de BCRA, SOX, etc.)?

Los riesgos relacionados con Cloud Computing no son exclusivos a dicho contexto. Muchas de las preguntas planteadas aplican también a soluciones in-house, sin embargo, al momento de depositar recursos en terceras partes se pierde el control minucioso que podría efectuarse si se administran dichos recursos de forma interna.

Por Matías Katz

No hay comentarios.:

Publicar un comentario

Instagram @SchmitzOscar