Los sistemas de TI basados en la nube cumplen funciones importantes en casi todas las industrias modernas. Compañías, organizaciones sin fines de lucro, gobiernos e incluso instituciones educativas utilizan la nube para expandir el alcance del mercado, analizar el rendimiento, administrar los recursos humanos y ofrecer mejores servicios. Naturalmente, un gobierno de seguridad en la nube eficaz es esencial para cualquier entidad que quiera obtener los beneficios de la TI distribuida.
Como todos los dominios de TI, la computación en la nube tiene preocupaciones de seguridad únicas. Si bien la idea de mantener los datos seguros en la nube se ha considerado una contradicción imposible, las prácticas generalizadas de la industria revelan numerosas técnicas que brindan una seguridad efectiva en la nube. Como los proveedores de nube comercial como Amazon AWS han demostrado al mantener el cumplimiento de FedRAMP, la seguridad efectiva de la nube es factible y práctica en el mundo real.
$config[code] not foundTrazando un mapa de ruta de seguridad impactante
Ningún proyecto de seguridad de TI puede funcionar sin un plan sólido. Las prácticas que involucran la nube deben variar de acuerdo con los dominios y las implementaciones que buscan proteger.
Por ejemplo, supongamos que una agencia de gobierno local instituye una política de BYOD o dispositivo propio. Es posible que tenga que implementar controles de supervisión diferentes de los que tendría si simplemente prohibiera a sus empleados acceder a la red de la organización utilizando sus teléfonos inteligentes personales, computadoras portátiles y tabletas. Del mismo modo, una empresa que quiera hacer que sus datos sean más accesibles para los usuarios autorizados almacenándolos en la nube probablemente deberá tomar medidas diferentes para monitorear el acceso de lo que lo haría si mantuviera sus propias bases de datos y servidores físicos.
Esto no quiere decir, como algunos han sugerido, que mantener con éxito la nube segura es menos probable que mantener la seguridad en una LAN privada. La experiencia ha demostrado que la eficacia de diferentes medidas de seguridad en la nube depende de qué tan bien se adhieran a ciertas metodologías probadas. Para los productos y servicios en la nube que emplean datos y activos del gobierno, estas mejores prácticas se definen como parte del Programa Federal de Gestión de Riesgos y Autorizaciones, o FedRAMP.
¿Qué es el Programa Federal de Gestión de Riesgos y Autorizaciones?
El Programa Federal de Gestión de Riesgos y Autorizaciones es un proceso oficial que emplean las agencias federales para juzgar la eficacia de los servicios y productos de cloud computing. En su corazón se encuentran los estándares definidos por el Instituto Nacional de Estándares y Tecnología, o NIST, en varias Publicaciones Especiales, o SP, y Estándar de Procesamiento de Información Federal, o FIPS, documentos. Estos estándares se centran en la protección efectiva basada en la nube.
El programa proporciona pautas para muchas tareas comunes de seguridad en la nube. Estos incluyen el manejo adecuado de incidentes, el uso de técnicas forenses para investigar violaciones, la planificación de contingencias para mantener la disponibilidad de recursos y la gestión de riesgos. El programa también incluye protocolos de acreditación para las Organizaciones de Acreditación de Terceros, o 3PAO, que evalúan las implementaciones en la nube caso por caso. Mantener el cumplimiento certificado por 3PAO es una señal segura de que un integrador o proveedor de TI está preparado para mantener la información segura en la nube.
Prácticas de seguridad efectivas
Entonces, ¿cómo pueden las empresas mantener la seguridad de los datos con los proveedores de la nube comercial? Si bien hay innumerables técnicas importantes, algunas son dignas de mención aquí:
Verificación del proveedor
Las relaciones de trabajo sólidas se basan en la confianza, pero esa buena fe debe originarse en alguna parte. No importa qué tan bien establecido esté un proveedor en la nube, es importante que los usuarios autentiquen sus prácticas de cumplimiento y gobierno.
Los estándares de seguridad de TI del gobierno típicamente incorporan estrategias de auditoría y puntuación. Controlar el desempeño anterior de su proveedor en la nube es una buena manera de descubrir si son dignos de su futuro negocio. Las personas que tienen las direcciones de correo electrónico.gov y.mil también pueden acceder a los Paquetes de Seguridad de FedRAMP asociados con diferentes proveedores para corroborar sus reclamos de cumplimiento.
Asumir un rol proactivo
Aunque servicios como Amazon AWS y Microsoft Azure profesan su adhesión a los estándares establecidos, la seguridad integral en la nube requiere más de una parte. Dependiendo del paquete de servicios en la nube que compre, es posible que deba dirigir la implementación de ciertas características clave por parte de su proveedor o avisarles que deben seguir procedimientos de seguridad específicos.
Por ejemplo, si usted es un fabricante de dispositivos médicos, leyes como la Ley de Portabilidad y Responsabilidad de Seguros de Salud, o HIPAA, pueden exigirle que tome medidas adicionales para proteger los datos de salud del consumidor. Estos requisitos a menudo existen independientemente de lo que su proveedor debe hacer para mantener su certificación del Programa Federal de Gestión de Autorizaciones y Riesgos.
Como mínimo, será el único responsable de mantener las prácticas de seguridad que cubren la interacción de su organización con los sistemas en la nube. Por ejemplo, debe establecer políticas de contraseña segura para su personal y clientes. Dejar caer la pelota en su extremo puede comprometer incluso la implementación de seguridad en la nube más efectiva, así que asuma la responsabilidad ahora.
Lo que haga con sus servicios en la nube afecta en última instancia la eficacia de sus funciones de seguridad. Sus empleados pueden participar en prácticas informáticas ocultas, como compartir documentos a través de Skype o Gmail, por razones de conveniencia, pero estos actos aparentemente inocuos podrían obstaculizar sus planes de protección en la nube cuidadosamente establecidos. Además de capacitar al personal sobre cómo usar los servicios autorizados de manera adecuada, debe enseñarles cómo evitar las trampas que involucran flujos de datos no oficiales.
Comprenda los términos de su servicio en la nube para controlar el riesgo
El hecho de alojar sus datos en la nube no necesariamente le otorga las mismas asignaciones que tendría inherentemente con el almacenamiento propio. Algunos proveedores se reservan el derecho de rastrear su contenido para que puedan publicar anuncios o analizar el uso de sus productos. Otros pueden necesitar acceder a su información en el curso de proporcionar soporte técnico.
En algunos casos, la exposición de datos no es un gran problema. Sin embargo, cuando se trata de información de consumidores o datos de pago personalmente identificables, es fácil ver cómo el acceso de terceros puede provocar un desastre.
Puede ser imposible evitar totalmente el acceso a un sistema remoto o base de datos. No obstante, trabajar con proveedores que liberan registros de auditoría y registros de acceso al sistema lo mantiene al tanto de si sus datos se mantienen de manera segura. Tal conocimiento contribuye en gran medida a ayudar a las entidades a mitigar los impactos negativos de cualquier incumplimiento que ocurra.
Nunca asuma que la seguridad es un asunto de una sola vez
La mayoría de las personas inteligentes cambian sus contraseñas personales de forma regular. ¿No debería ser tan diligente con la seguridad de TI basada en la nube?
Independientemente de la frecuencia con la que la estrategia de cumplimiento de su proveedor dicte que realizan auditorías personales, debe definir o adoptar su propio conjunto de estándares para las evaluaciones de rutina. Si también está obligado por los requisitos de cumplimiento, le convendría promulgar un régimen estricto que le garantice que puede cumplir con sus obligaciones, incluso si su proveedor de la nube no lo hace de manera sistemática.
Creando implementaciones de seguridad en la nube que funcionan
La seguridad en la nube efectiva no es una ciudad mística que se encuentra para siempre más allá del horizonte. Como un proceso bien establecido, está bien al alcance de la mayoría de los usuarios y proveedores de servicios de TI, independientemente de los estándares a los que se ajusten.
Al adaptar las prácticas descritas en este artículo a sus propósitos, es posible lograr y mantener estándares de seguridad que mantengan seguros sus datos sin aumentar drásticamente los gastos operativos.
Imagen: SpinSys
1 comentario ▼
