Llegamos a ustedes gracias a:



Columnas de opinión

Crear su primera política de cloud

Por: Scott Hazdra, asesor principal de seguridad en Neohapsis

[27/09/2013] Mientras que los servicios basados en la nube pueden ayudar a reducir el tiempo de comercialización, aumentar la disponibilidad y la facilidad de gestión; los desafíos incluyen la pérdida de control, la comprensión de los riesgos y las deficiencias en el entorno del proveedor de la nube, y el mantenimiento del cumplimiento con las finanzas, salud y otras regulaciones que se aplican a su negocio.
Para reducir el riesgo de poner la información en la nube, establezca una política escrita sobre la base de las respuestas a varias preguntas clave. La política que implemente no tiene que ser de largo aliento, y debe dar cuenta de todas las posibilidades que se pueda imaginar. De hecho, un documento de política bien escrito y reflexivo puede requerir solamente un puñado de páginas para proporcionar la información que el personal necesita saber para navegar sobre lo que sucede en la nube.
Un ejemplo de los títulos de las secciones de su política inicial de nube podría ser:
* Declaración de la meta/misión
* Clasificación de Datos
* Alcance
* Responsabilidades
* Política
Las primeras preguntas a hacer son ¿Qué es lo que desea mover a la nube y por qué? El "qué" es típicamente una aplicación de software que su compañía ha creado y que utilizan sus empleados o clientes, los datos que su empresa reúne o crea, o algún tipo de evento de negocios, tales como la planilla, contabilidad o gestión de recursos humanos.
El "por qué" puede variar desde CAPEX u OPEX, una mayor disponibilidad, una mejor automatización de procesos de negocio, o la creación de una copia de seguridad o recuperación de desastres. Utilice estas respuestas para escribir una o dos frases de metas o declaración de misión para su política, que defina sus razones claras y de peso para el uso de una nube.
Después de haber trazado el "qué" y "por qué" de la nube, examine y clasifique el tipo y la sensibilidad de los datos que fluirán hacia y desde sus aplicaciones. A medida que haga este proceso de clasificación, hable con sus desarrolladores, personal de recursos humanos, contadores, el equipo de ventas o cualquier otro personal que pueda tener una idea o que sea un consumidor de esa aplicación en particular dirigida a la nube. Trate de entender qué tipos de datos se espera que ingresen y qué tipo de información va a salir, y cree una política de clasificación que se adapte al nivel de detalle que necesite.
Por ejemplo, es posible clasificar todos los datos como protegidos, confidenciales o públicos. Podría señalar que poner los datos protegidos en la aplicación de recursos humanos basada en la nube requiere la aprobación del gerente y los ejecutivos del departamento. El movimiento de datos sensibles en un solo departamento puede requerir la aprobación del administrador, y los datos públicos no requieren aprobación especial.
Si en algún momento el flujo de datos contendrá información de identificación personal (PII), números de tarjetas de crédito, datos cubiertos por HIPAA, datos corporativos confidenciales o cualquier otra información confidencial o regulada, debe incluir criterios adicionales en la evaluación de su proveedor de la nube. Los criterios adicionales serán específicos para sus tipos de datos, pero el denominador común es que tendrá que revisar toda la documentación relacionada con los programas y los controles de seguridad del proveedor de la nube.
Muchos proveedores de la nube hacen afirmaciones acerca de tener la arquitectura de nube compatible con PCI o HIPAA, pero luego se quedan cortos en la explicación acerca de los controles que se emplean para crear y mantener la seguridad.
Algunas preguntas que debe hacer son:
* ¿Cómo y dónde se cifran los datos en reposo y los datos en movimiento?
* ¿Cómo administran las claves de cifrado, incluyendo la frecuencia de rotación de claves?
* ¿Cómo pueden investigar a los empleados que tendrán acceso físico a la red y a la infraestructura de cómputo que aloja la aplicación?
* ¿Se someten a auditorías de terceros para validar sus controles?
* ¿Qué características de seguridad están y no están incluidas en el SLA repetitivo?
* ¿Cuáles son las políticas y procedimientos de seguridad después de un evento de seguridad -y qué constituye un evento de seguridad?
* ¿Las copias de seguridad de mis datos se trasladaron fuera de la oficina y fueron codificadas?
* ¿A qué ubicaciones geográficas es posible que se muevan mis datos?
* ¿Cómo borran o destruyen mis datos de forma segura cuando lo solicite?
Los proveedores de nube que tienen dificultades para responder a estas preguntas, no están dispuestos a poner las respuestas por escrito o son evasivos o poco claros al responder, pueden carecer de un enfoque de seguridad razonable.
Una vez recopilada esta información, comience a escribir el alcance de su política de nube. Aquí puede detallar a los proveedores de nube, aplicaciones, datos o servicios que se pueden mover a la nube, a quién aplica esta política y qué acuerdos legales y contractuales regirán la política. Si tiene una Política de uso aceptable o póliza de tecnología de la información, puede comunicar que esas reglas todavía se aplican.
Su objetivo en definir responsabilidades es definir claramente quién es dueño de los diversos aspectos operativos de las aplicaciones basadas en la nube. Aclarar quién, ya sea por nombre o función, posee la responsabilidad de llevar a cabo ciertas actividades necesarias. Por ejemplo, explicar las funciones o partes que puedan:
* Firmar un acuerdo de nivel de servicio con un proveedor de la nube
* Administrar la configuración de seguridad o el rendimiento con el proveedor de la nube
* Clasificar los datos
* Crear o cambiar de usuario de nube y cuentas de administrador
* Crear o realizar copias de seguridad de los datos de la nube
* Hacer cambios en el documento de política de nube
* Terminar un acuerdo con un proveedor de la nube
Por último, establezca las declaraciones de la política. Una manera de empezar es pensar cómo quiere que sus empleados utilicen la nube y anote las ideas de sentido común que se les ocurran. Conceptos, como no guardar los datos corporativos o del cliente de la nube a un dispositivo de computación personal, no transmitir datos protegidas o sensibles desde o hacia la nube sin cifrado, y no compartir la contraseña de cuenta de usuario de nube pueden parecer cosas obvias, pero hay que ponerlas de todos modos.
Si ya dispone de una política de uso aceptable (AUP), puede adaptar las declaraciones para reflejar la naturaleza única de utilizar la nube. Si ha identificado los proveedores de nube que se van a utilizar, haga referencia a su política de uso aceptable y el uso de la misma o similar lenguaje en su política.
Con esto se logran dos objetivos, ayudarle a crear su política y asegurarse de que está en consonancia con su proveedor de nube, para no ir en contra de sus directrices. Por último, mire lo que otras organizaciones han publicado y lo que los organismos de normalización como la Cloud Security Alliance (CSA), el National Institute of Standars and Technology (NIST), International Organization for Standarization (ISO), y otras organizaciones que tienen escritas políticas y directrices de seguridad en la nube.
Una vez que ha puesto sobre el papel esta primera política básica sobre la nube, pásela a sus compañeros, jefes de departamento y otras personas de su organización que puedan tener algo que añadirle. Después de que toda la información haya sido revisada, elabore una política final, publíquela y haga que todo el mundo la lea y la acepte.
Al comenzar sus operaciones en la nube, tome lo que aprendió e incorpore las mejoras en las futuras revisiones de la política sobre una base regular. Cuanto mejor defina su política de nube, mejor entenderán todos el cómo aprovechar la nube y reducir el riesgo para su organización.
Scott Hazdra, Network World (EE.UU.)
Hazdra es uno de los asesores principales de seguridad en Neohapsis, y un profesional con certificaciones CISSP y SCCR y con amplia experiencia que abarca casi todos los ámbitos de la seguridad. Tiene experiencia en el campo asegurando entornos virtualizados y nubes públicas y privadas, y es un miembro activo del consejo CSA SME, así como experiencia y certificaciones en el diseño, implementación y obtención de los centros de datos, telefonía IP y otras infraestructuras y servicios de seguridad.