Ya sea que sea un pequeño negocio o una empresa que está moviendo su sistema global a la nube, se debe exigir que los vendedores que proveen aplicaciones y servicios sobrela Webalcancen requisitos de cumplimiento y seguridad comunes. Estos requisitos implican quiénes pueden acceder a sus aplicaciones y datos, así como los sistemas que los albergan, dónde se almacenan los datos, y si los datos están compartidos en hardware dedicado, en lugar de hardware compartido. También aseguran que usted obtenga los registros detallados de quién ha accedido a sus datos y aplicaciones a fin de cumplir con los estándares corporativos y regulatorios, y verificar que los datos están debidamente encriptados.
Lo que demande de la nube depende de las normas de su empresa y sus necesidades de cumplimiento, la cantidad y tipo de cargas de trabajo que se está moviendo hacia la misma, y cómo se dividen las responsabilidades administrativas y de seguridad entre su personal y sus proveedores. Los requisitos de seguridad también varían dependiendo de si está utilizando ofertas de software como servicio (SaaS), infraestructura como servicio (IaaS) o plataforma como servicio (PaaS). Pero al menos debe considerar cada una de las siguientes preguntas en sus planes de seguridad en la nube.
1. ¿Quién tiene el control de acceso/autenticación?
La capacidad de probar que los usuarios son quienes dicen ser y controlar los datos que pueden ver así como las funciones que pueden realizar, sobre la base de sus identidades y roles, es la principal prioridad de casi todos los usuarios de nube entrevistados para este artículo. La autenticación puede ser más difícil, cuando se mantiene la información de usuario y controles dentro de la red utilizando un repositorio, pero alojando sus servidores y aplicaciones en la nube.
Lo ideal es un sistema de acceso por identificación “federado” que reúna la información de autenticación de todos los sistemas de su organización -internos y externos. Esto permite la autenticación inmediata de cualquier usuario que presenta las credenciales adecuadas, como una contraseña, o una clave y un token. También provee el inicio de sesión único permitiendo que los usuarios accedan a todas sus aplicaciones y datos, en la casa y en la nube, con un único nombre de usuario y contraseña.
Sin embargo, debido a que la gestión federada de identidad puede ser costosa y difícil de implementar, muchas organizaciones se conforman con un enfoque “sincronizado” en el que diferentes copias de la información de autenticación de un usuario son mantenidas por las diferentes aplicaciones, afirma Maler. Esto puede comprometer la seguridad mediante la difusión de datos de credenciales de usuario entre varias ubicaciones y empresas. También puede crear retrasos entre el momento en que el acceso de un empleado se retira de los sistemas internos y de una aplicación basada en la nube, creando una brecha potencial de seguridad.
Otra opción de autenticación es que el proveedor de la nube se conecte directamente a la información del usuario en la compañía, lo que según Maler “es probablemente más seguro que la sincronización”, pero solo si tiene una colección relativamente sencilla de sistemas. Esa es la ruta tomada por el proveedor de servicios de atención médica HCR ManorCare.
2. ¿El lugar es seguro?
La nube permite que los datos se puedan trasladar a la ubicación más rentable sin el conocimiento de los usuarios. Sin embargo, para salvaguardar la seguridad, los clientes deben conocer la ubicación de sus datos. Gary Landau, vicepresidente de infraestructura de TI y seguridad de la información financiera en el proveedor de servicios Wilshire Associates, quiere que los proveedores de nube proporcionen replicación a los sitios redundantes, “pero también quiero saber dónde van a estar los datos, porque no quiero que mis datos vayan a migrar” a un país que carece de una fuerte protección legal.
Los clientes de la nube preocupados por la seguridad de los documentos pueden utilizar las herramientas de SaaS como WatchDox, que les permite controlar quién puede ver los documentos basados en la nube y rastrear a quien los visita. De acuerdo con Kevin Gholston, vicepresidente de desarrollo de negocio en la consultora de defensa de fabricación CVG Strategy, WatchDox es más fácil de usar y menos engorroso que el software de gestión de derechos digitales.
3. ¿Cuándo se llevan a cabo las auditorías?
Demostrar que sus aplicaciones y datos alcanzan los estándares corporativos y las normas de la industria y del gobierno requiere auditorías e informes. Vine hace una auditoría trimestral de cada uno de los proveedores de aplicaciones críticas HCR, que abarca todo, desde actualizaciones de software para la validación de las cuentas de los usuarios, a los controles necesarios para el cumplimiento de HIPAA y Sarbanes-Oxley. Él dice que los años de experiencia y la cooperación “mano a mano” entre la auditoría y los grupos de seguridad significan que las auditorías requieren solo una cuarta parte del tiempo de un empleado.
En cualquier caso, Chakkarapani aconseja que haga preguntas detalladas acerca de qué datos se almacenan en determinados sistemas, cómo se almacenan y encriptan, y la ruta exacta por la que se leen y escriben. También, agrega, descubra qué administradores pueden acceder a sus sistemas y cómo se controla su acceso.
Mientras que la capacidad de un único inicio de sesión elimina la confusión de nombres de usuario y contraseñas, también puede proporcionar las auditorías más completas mediante la captura de todas las acciones de los usuarios, independientemente de en qué sistemas se registras y las credenciales que utilizan, de acuerdo con Cecere de NetIQ.
4. ¿Mis datos están en hardware dedicado?
Muchos vendedores cloud promocionan sus arquitecturas “multiusuario”, en las que los datos y aplicaciones de múltiples usuarios comparten los mismos servidores o almacenamiento, como una manera de ofrecer servicios escalables y rentables. Pero a veces los clientes necesitan garantizar que sus datos están en su propia plataforma, guardada de forma segura, separada de la de otros clientes.
Kris Herrin, director de tecnología de Heartland Payment Systems, señala que él insiste en que los proveedores le permitan elegir qué aplicaciones se asentarán en un hardware dedicado y cuáles pueden ir a los sistemas compartidos. Herrin elige la opción dedicada, por ejemplo, para las aplicaciones que se ejecutan en servidores virtuales. Él quiere esa seguridad adicional porque a pesar de que sigue las especificaciones de Heartland, el proveedor de IaaS, en lugar de la de los propios ingenieros de la compañía, está gestionando el hipervisor.
5. ¿Quién se ocupa de la tienda?
Lau de Service Now señala que los clientes muchas veces “quieren conocer de forma explícita a todos los proveedores de terceros involucrados”.
“Un proveedor de SaaS podría verse como una gran empresa, pero ¿se trata solo de una pequeña tienda de mamá y papá utilizando otro alojamiento?”, agrega.
Lau recomienda sondear el tamaño real de la empresa con preguntas detalladas sobre el tipo de oficina en la que se encuentra el proveedor, el tamaño de su equipo de seguridad, y si la seguridad es un trabajo de tiempo completo en el vendedor. “Pídales una copia de sus normas y políticas de seguridad”, agrega. “Si no puede obtener una, probablemente no tengan un programa de seguridad”.
6. ¿Cómo se pueden cifrar los datos?
Encriptar, o disimular, los datos es una parte central de cualquier política de seguridad. Sin embargo, el tipo de cifrado necesario y su aplicación pueden variar dependiendo de cómo un cliente usa la nube.
También debe asegurarse de que el plan de un proveedor de recuperación de desastres no solo protege los datos cifrados, sino también las claves de descifrado necesarias para utilizar los datos.
Una vez que han sido tomadas todas las precauciones, la clave para la seguridad es la gente. Algunos usuarios sienten que los proveedores de la nube pueden hacer un mejor trabajo que ellos mismos manteniendo los datos seguros, ya que los vendedores tienen más dinero -y mucho más en juego.
En lugar de confiar en alguien de su propio personal, “que podría estar haciendo 15 cosas diferentes”, además de la seguridad, McBride señala que es más seguro confiar en un proveedor de nube, cuyo trabajo depende de mantener seguros los datos de los clientes.
Fuente: http://cioperu.pe/articulo/8873/la-lista-de-seguridad-en-la-nube/