Cloud computing: ¿Una forma más de outsourcing?
Los profesionales de la seguridad de la información deberían enfocar el cloud computing como cualquier otro servicio suministrado por un proveedor externo, según Adrian Davis, analista principal de la firma de investigación Information Security Forum.
“Cloud es simplementeoutsourcing. Por eso, los responsables de seguridad TI empresariales deberían aplicar en esta área el conocimiento que tienen del outsourcing. Eso es suficiente para ayudarles, siempre que se tengan en cuenta una serie de factores especialmente peligrosos”, asegura Davis.
En opinión de este experto, tales factores incluyen, en primer lugar, la ignorancia, que se produce cuando nadie sabe si existen servicios cloud soportando el negocio. “Por ejemplo, si la cloud está presente en la cadena de suministro y no tiene todo el mundo conocimiento de ello, la situación se complica, porque si el proveedor comete un error, la responsabilidad última será para el negocio”, advierte.
En segundo lugar, las empresas deben ser conscientes de que cuando compran un servicio cloud, generalmente quedan en manos de los términos y condiciones fijados por el proveedor. Por tanto, recomienda eliminar cualquier ambigüedad especificando claramente sus requerimientos de seguridad en los contratos, acuerdos de nivel de servicio (SLA) y acuerdos de licencia de usuario final.
Además, Davis aconseja evitar lo que denomina “allanamiento”. En este sentido, las organizaciones han de tener un conocimiento claro de las leyes y regulaciones que afectan al uso de servicios cloud para evitar quebrantarlas.
Por otra parte, según Davis, es necesario que las empresas preocuparse por la posibilidad de no saber a ciencia cierta si el proveedor de servicios cloud está aplicando lo que asegura aplicar en términos de seguridad. Así, por ejemplo, los proveedores de servicios cloud no permitirán a sus clientes auditar sus centros de datos, por lo que es necesario buscar alguna forma de tener garantías de que hacen lo que dicen estar haciendo.
Las empresas deben además contar con las políticas de gestión de la información apropiadas para su negocio con el fin de evitar el caos. Especialmente teniendo en cuenta que la sencillez del aprovisionamiento cloud puede traducirse en que cualquiera dentro de la organización pueda comprar un servicio de este tipo.
Finalmente, Davis recomienda evitar “la presunción y complacencia” que supone que la empresa crea que su infraestructura TI y su arquitectura de seguridad de la información pueden gestionar por sí mismas de forma adecuada los datos en la cloud y que ésta es invulnerable.