¿Cuál sería tu reacción si alguien te dijera que "La Nube" es tan segura que no necesitas hacer nada más para proteger tu información? Espero que se parezca a la de la ardilla dramática. Pero por anécdotas que he estado escuchando, este cuestionable consejo es cada vez más común.
La verdad es que la computación en la nube no es un aderezo mágico que puedes aplicar sin criterio para que tu información esté más segura. Desafortunadamente, dos definiciones de diccionario de la palabra "nube" son "hacer menos claro o transparente" y "causa de pesimismo, sospecha, problemas o preocupación".
Los servicios en la nube son básicamente lo que hagas de ellos, y necesitas aplicar un nivel al menos equivalente de rigurosidad, en términos de evaluación de riesgos, al que tienen los activos que están alojados en tu propia red.
Debido a que la nube puede hacer que los riesgos y las responsabilidades sean menos claros, tendrás que ser más perspicaz a la hora de preguntarles a los vendedores qué medidas toman para asegurar sus servicios. Al elegir un nuevo proveedor, debes investigar a fondo sus políticas y procedimientos de seguridad.
También es una buena idea explicar claramente qué responsabilidades recaen sobre el proveedor y qué debes hacer en tu propia organización para protegerte.
Preguntas sobre la política de seguridad en la nube
Antes de acercarte a un proveedor, debes aclarar las respuestas a algunas preguntas sobre las necesidades de tu organización:
- ¿Qué tipos de servicios en la nube estarás usando?
Es decir, ¿usarás la nube simplemente para almacenar archivos, para alojar aplicaciones de software o máquinas virtuales?
- ¿Cómo se implementarán estos servicios?
Tu nube podría ser pública o privada, o un intermedio dependiendo de tus necesidades específicas y tu tolerancia al riesgo.
- ¿Cuán sensible es la funcionalidad o información que ellos estarán alojando por ti?
Ten en cuenta que la nube es otra forma de referirse a "las computadoras de otros". Cuantifica el riesgo que significaría para tu organización que este proveedor sufriera una brecha o cerrara.
- ¿Quién tendrá acceso a esta funcionalidad?
En línea con el principio de mínimo privilegio, podría suceder que no todos tus usuarios necesiten acceder a la nube para hacer su trabajo de manera efectiva.
- ¿Qué requerimientos legales o de compliance debes considerar?
Cada industria tiene su propia relación con el alfabeto de regulaciones de seguridad nacionales e internacionales. Lo que podría funcionar para un minorista podría no ser suficiente para una oficina financiera, por ejemplo.
- ¿Qué debería incluirse en una política de uso aceptable para tus usuarios?
La educación y el entrenamiento son cruciales para asegurarte de que se siguen las mejores prácticas. Se deberían establecer políticas explícitas para servicios en la nube, para que los usuarios sepan qué se considera un comportamiento seguro.
- ¿Cuáles serán las consecuencias de no adherirse a las buenas prácticas?
Esto va tanto para el proveedor del servicio como para tus usuarios, aunque las consecuencias para el primero probablemente sean producto de negociación o de un acuerdo de nivel de servicio. Debería estar claro para todos los involucrados qué pasaría si alguien incumple sus responsabilidades en salvaguardar tu información.
Procedimientos de seguridad en la nube
Una vez que hayas aclarado tus objetivos y límites, puedes empezar a preguntarles a los vendedores sobre sus procedimientos. El sitio de la Gulf Cooperation Council eGovernment tiene un documento (en inglés) que discute políticas de la nube e incluye, en el apéndice A, una lista muy completa de preguntas que podrían ser una buena base cuando prepares las tuyas.
Aquí hay una lista de posibles temas que deberías considerar:
- ¿Tiene el proveedor auditorías de seguridad externas regularmente?
- ¿Cuál es su política de actualizaciones y parches?
- ¿Tienen productos antimalware o de detección de intrusos escaneando sus máquinas?
- ¿Qué tipos de autenticación están disponibles en su servicio?
- ¿Qué tipos de controles están disponibles para Identidad y Control de Acceso en las cuentas de tus usuarios?
- ¿Hay cifrado disponible para tráfico desde y hacia la nube, o en el almacenamiento?
- ¿Cómo se protegerán los derechos de Propiedad Intelectual relacionados a los datos alojados en sus servidores?
- ¿Qué tipos de alertas y reportes de eventos están disponibles para ti?
- ¿Cómo segmentan los recursos de sus clientes?
- ¿Cuán seguido hacen y evalúan backups, y dónde son almacenados?
- ¿Tienen una política de respuesta a incidentes establecida?
- ¿Tienen una política de divulgación responsable publicada?
- ¿Tienen registro de eventos que pudiera permitir un análisis forense en caso de que se produzca un incidente de seguridad?
- ¿En qué país están localizados sus servidores físicos?
- ¿Cuáles son sus políticas relacionadas a movilidad y retención de datos?
- ¿Qué opciones hay para borrado o destrucción segura de datos?
Las nubes no tienen que traer opacidad o inquietud, si haces tu tarea antes de la implementación. La capacidad de acceder a archivos y servicios desde dondequiera que te encuentres es poderosa, y puede introducir nuevos riesgos para tu entorno, o bien puede ser una oportunidad para obtener los servicios de un socio de confianza para mejorar tu productividad general.
La llegada de nubes puede en realidad despejar el aire y proporcionar un respiro de bienvenida. Solo tienes que saber aprovecharlo.
Sigue leyendo: Servicios en la nube: qué debes considerar al migrar tu infraestructura