En el post anterior se trataron algunos de los riesgos existentes de usar cloud computing o soluciones on premise. En este post se tratarán controles que se deberían llevar a cabo para minimizar ese riesgo.
En primer lugar hay que tener en cuenta que no todos los riesgos son igual de importantes. La importancia varía según el impacto que pueda tener en la empresa y lo probable que sea que suceda. Es por ello que los controles deberían de ir acorde a ello.
Los objetivos de control se pueden clasificar en los siguientes tipos: Cumplimiento normativo, gobierno de datos, seguridad física, seguridad de la información, legal, gestión de las operaciones, gestión de riesgos, gestión de entregas de software.[1]
Cumplimiento normativo
En principio, los servicios en la nube tienen que acatar las leyes y regulaciones de los países en los que se encuentren. Aún así, algunos países pueden ir más allá y establecen ciertas regulaciones para mejorar la protección de los datos de sus ciudadanos. A los países a los que me refiero son los países miembros de la Unión Europea, todo ello recogido en la GDPR.[2]
Para asegurarse de que se cumplen, se deberían realizar:
- Auditorías regulatorias independientes.
- Controles para cumplir la propiedad intelectual.
Gobierno de datos
Se deberían de emplear políticas de clasificación, etiquetado y seguridad. Además de una política de retención de datos.
Seguridad física
Se debería de contar con una política de acceso y una para el gestión de activos. Si todos nuestros servicios están en la nube, será el CSP el que se encargará de la seguridad.
Para preservar la seguridad física es imprescindible:
- Contar con medidas contra los fallos de suministro eléctrico.
- Contar con un control de acceso a los servidores.
- Contar con medidas contra incendios.
- Contar con medidas de control ambientales para que los servidores funcionen correctamente.
Seguridad de la información
Se debería de tener una política de acceso, los usuarios solo deberían de poder acceder a aquellos recursos que necesiten. Para ello se podrían asignar roles diferentes. También se pueden establecer controles de encriptación de datos, como por ejemplo en Amazon AWS.[3]
Legal
Se deberían de tener contratos de confidencialidad, contratos a nivel de servicio y con terceras partes involucradas.
Gestión de las operaciones
Realizar la planificación de la capacidad de recursos, es decir, determinar los recursos que necesita una organización para poder satisfacer futuras demandas.[4]
En el caso de el cloud computing, los servicios se suelen poder mejorar o añadir de forma bastante rápida y sencilla, en el caso de las soluciones on premise hace falta contar o adquirir con el hardware y software necesario, además de configurarlo correctamente.
Gestión de riesgos
Existen varias formas de gestionar los riesgos: evitarlos, aceptarlos, mitigarlos o transferirlos[5]. Algunos riesgos pueden evitarse buscando otra alternativa, por ejemplo, en cuanto al riesgo que existe a quedarse atado a un CSP, se puede evitar si solamente se usan librerías y APIs estándar. Si en lugar de eso, se usaran servicios específicos, se podría mitigar el riesgo adaptando el desarrollo para que fuera lo más modular posible y contando con personal experimentado, de tal forma que realizar cambios no resultase tan costoso. También es una buena idea evaluar la facilidad con la que se puede cambiar de proveedor cloud y qué sucede con los datos una vez terminado el servicio[6].
Si no se tomaran medidas para mitigar un riesgo, debería de ser porque no tendría un gran impacto en la organización y se puede asumir. También se pueden transferir los riesgos al CSP, pero no todos los riesgos se pueden transferir, como por ejemplo los riesgos que impliquen responsabilidades legales o que no puedan ser reparados.
En el post anterior hable de las vulnerabilidad de la tenencia múltiple en los servidores cloud, puede evitarse no usando esa modalidad, o incluso ignorarse ya que no se han documentado casos de ataques exitosos.
Gestión de entregas de software
Cuando se subcontrata el desarrollo, se debería de medir la calidad del producto, asegurarse de que existen procesos para recuperarse de un desastre para poder mantener el servicio, revisar los planes que tiene la compañía si la relación termina de forma abrupta y revisar los procesos del proveedor de servicios para garantizar la calidad. [7]
También se debe de contar con un control de cambios, de forma que los cambios quedarán documentados y solo se aplicarán cuando estén autorizados. Así, se minimizan los riesgos de errores, alteraciones no autorizadas o interrupciones. [8]
Referencias
- https://www.knowledgeleader.com/knowledgeleader/content.nsf/web+content/gucloudcomputingguideriskaudit
- https://www2.deloitte.com/uk/en/pages/risk/articles/cloud-risk-and-compliance.html
- https://www.isacajournal-digital.org/isacajournal/2019_volume_3/MobilePagedArticle.action?articleId=1485393#articleId1485393
- https://www.techopedia.com/definition/30469/resource-capacity-planning
- https://twproject.com/blog/risk-response-strategies-mitigation-transfer-avoidance-acceptance/
- https://www.revistacloudcomputing.com/2012/02/diez-cuestiones-que-debes-preguntar-a-tu-proveedor-cloud/
- https://esj.com/Articles/2011/04/19/IT-Auditing-Outsourced-Operations.aspx
- https://rmas.fad.harvard.edu/pages/change-control
josugato
Latest posts by josugato (see all)
- La información es como un diamante, vale más procesada que en bruto - 5 enero, 2021
- Cloud Gaming - 24 noviembre, 2020
- Controles y auditoría del cloud computing y de las soluciones on premise - 24 noviembre, 2020
Bien, has dado con una fuente muy enfocada al tema, pero te recomiendo que busques una guía de ENISA que es oro …