Gestión de riesgos de "cloud computing"
El modelo de la nube implica riesgos que los CIO y CTO deben tener en cuenta antes de dar el paso hacia su implementación
Google, Microsoft, IBM y otros proveedores en la nube ofrecen a los CIO infinidad de alternativas para ahorrar costes en los centros de datos y departamentos de TI tradicionales. La idea de trasladarlo todo a la nube es muy tentadora, pero también conlleva una serie de riesgos que todos los CIO y CTO deberían tener en cuenta antes de dar este paso. Un estudio de Isaca sobre la adopción de cloud computing muestra como el 45% de los profesionales de TI creen que los riesgos superan a las ventajas, y sólo el 10% de los encuestados sopesaría la posibilidad de trasladar aplicaciones críticas a la nube. Las estadísticas de este informe y otras cifras publicadas sobre su adopción indican que es una práctica extendida, pero no la primera opción. Algunas organizaciones han trasladado con éxito parte de su información a algún tipo de infraestructura cloud, pero la mayoría siguen sin confiar demasiado en esta alternativa. Esto lleva a preguntar si no es demasiado pronto para algunas empresas pensar en una estrategia de este tipo.
En la mayoría de compañías existen sectores que se podrían trasladar a cloud de forma segura y ventajosa. No obstante, antes de mover la información a la nube y aprovechar las ventajas que ofrece, se debe hacer un cuidadoso estudio de todos los recursos implicados para valorar los posibles riesgos, y para ello es fundamental entender los riesgos y diseñar una estrategia de mitigación para cada uno.
Cuestiones como qué ocurre si el proveedor es adquirido por otra empresa, se fusiona o se alía con otra hay que tenerlas en cuenta. No es algo que pase todos los días pero debería estar incluido claramente en el contrato porque existe la posibilidad de que ocurra. Asimismo, también hay que tener en cuenta que los controles físicos, lógicos y personales que se implementaron en el centro de datos interno no son válidos al mover la información a la nube. El proveedor cloud tiene sus propias políticas de contratación, rotación de personal y procedimientos de control de acceso. Es importante preguntar por este tipo de cosas y entender las prácticas de contratación y gestión de datos del suministrador elegido.
Normativas reguladoras
El hecho de que los datos se trasladen a la nube del proveedor no significa que la empresa pueda desentenderse si surge cualquier problema de seguridad o de integridad que afecte a los datos, ésta sigue siendo responsable ante sus clientes. La habilidad del proveedor para mitigar los riesgos se suele valorar a través de auditorías externas regulares, pruebas de intrusión, cumplimiento de los estándares PCI y consolidación de los estándares SAS 70 Tipo II, entre otros. La empresa debe sopesar los riesgos que puede correr la información y asegurarse de que el proveedor cloud cuenta con estándares y procedimientos para mitigarlos.
El proveedor está obligado por contrato a asegurar la privacidad de los datos, pero también puede verse obligado a cumplir con todas las leyes del país donde estén almacenados. Esto significa que los derechos de la empresa pueden pasar a un segundo plano respecto a la ley, así que es preciso informarse sobre este tema y tantear los posibles riesgos.
Los datos que se encuentran en la nube suelen estar encriptados para garantizar su seguridad. El problema de esta práctica es que si un dato encriptado se corrompe es mucho más difícil de recuperar que un dato que no esté encriptado. Es de vital importancia saber cómo recuperará los datos en caso de ocurra alguna incidencia y, todavía más importante, conocer cuánto tiempo tardará. El proveedor tiene que ofrecer referencias fiables de cómo recuperará los datos en caso de que surja la necesidad.
Disponibilidad
El proveedor de la nube se basa en una combinación de trabajo en red, equipos, aplicaciones y unidades de almacenamiento. Si alguno de estos elementos falla, no se podrá acceder a la información. Por lo tanto, es importante saber si es posible trabajar temporalmente sin cierta información alojada en la nube.
La computación en la nube es algo relativamente nuevo, por eso por el momento es mejor aplicarlo sólo a sectores de bajo o medio riesgo. Hay que hacer todas las preguntas necesarias, e incluso buscar una consultora independiente que dirija todo el proceso.
En la mayoría de compañías existen sectores que se podrían trasladar a cloud de forma segura y ventajosa. No obstante, antes de mover la información a la nube y aprovechar las ventajas que ofrece, se debe hacer un cuidadoso estudio de todos los recursos implicados para valorar los posibles riesgos, y para ello es fundamental entender los riesgos y diseñar una estrategia de mitigación para cada uno.
Cuestiones como qué ocurre si el proveedor es adquirido por otra empresa, se fusiona o se alía con otra hay que tenerlas en cuenta. No es algo que pase todos los días pero debería estar incluido claramente en el contrato porque existe la posibilidad de que ocurra. Asimismo, también hay que tener en cuenta que los controles físicos, lógicos y personales que se implementaron en el centro de datos interno no son válidos al mover la información a la nube. El proveedor cloud tiene sus propias políticas de contratación, rotación de personal y procedimientos de control de acceso. Es importante preguntar por este tipo de cosas y entender las prácticas de contratación y gestión de datos del suministrador elegido.
Normativas reguladoras
El hecho de que los datos se trasladen a la nube del proveedor no significa que la empresa pueda desentenderse si surge cualquier problema de seguridad o de integridad que afecte a los datos, ésta sigue siendo responsable ante sus clientes. La habilidad del proveedor para mitigar los riesgos se suele valorar a través de auditorías externas regulares, pruebas de intrusión, cumplimiento de los estándares PCI y consolidación de los estándares SAS 70 Tipo II, entre otros. La empresa debe sopesar los riesgos que puede correr la información y asegurarse de que el proveedor cloud cuenta con estándares y procedimientos para mitigarlos.
El proveedor está obligado por contrato a asegurar la privacidad de los datos, pero también puede verse obligado a cumplir con todas las leyes del país donde estén almacenados. Esto significa que los derechos de la empresa pueden pasar a un segundo plano respecto a la ley, así que es preciso informarse sobre este tema y tantear los posibles riesgos.
Los datos que se encuentran en la nube suelen estar encriptados para garantizar su seguridad. El problema de esta práctica es que si un dato encriptado se corrompe es mucho más difícil de recuperar que un dato que no esté encriptado. Es de vital importancia saber cómo recuperará los datos en caso de ocurra alguna incidencia y, todavía más importante, conocer cuánto tiempo tardará. El proveedor tiene que ofrecer referencias fiables de cómo recuperará los datos en caso de que surja la necesidad.
Disponibilidad
El proveedor de la nube se basa en una combinación de trabajo en red, equipos, aplicaciones y unidades de almacenamiento. Si alguno de estos elementos falla, no se podrá acceder a la información. Por lo tanto, es importante saber si es posible trabajar temporalmente sin cierta información alojada en la nube.
La computación en la nube es algo relativamente nuevo, por eso por el momento es mejor aplicarlo sólo a sectores de bajo o medio riesgo. Hay que hacer todas las preguntas necesarias, e incluso buscar una consultora independiente que dirija todo el proceso.
