Llegamos a ustedes gracias a:



Noticias

La CSA se concentra en la administración de la movilidad y los datos

[09/10/2013] La Cloud Security Alliance ha actualizado su Cloud Control Matrix (CCM), la cual se encuentra diseñada para ayudar a las organizaciones a revisar las credenciales de seguridad de los proveedores de servicios de nube.
La CCM proporciona recomendaciones de mejores prácticas para asegurar la nube. Cubre una amplia variedad de áreas, desde el centro de datos, hardware y seguridad de las aplicaciones, hasta continuidad del negocio y evaluación de las vulnerabilidades. La tercera versión de la CCM, lanzada la semana pasada, incluye pautas para cinco nuevas categorías: seguridad móvil; gestión de la cadena de abastecimiento; transparencia y accountability; interoperabilidad y portabilidad: y encriptamiento y gestión de llaves.
La movilidad era un área natural para las nuevas mejores prácticas de seguridad, ya que se está convirtiendo en un caso de uso popular para la nube, señala Sean Cordero, copresidente del CCM Working Group que ayudó a crear las pautas. Las mejores prácticas en movilidad cubren no solo la forma en la que se acceder a los servicios de nube mediante dispositivos móviles, sino también la forma en que el software como las herramientas MDM (mobile device management) es entregado a través de productos SaaS.
Una recomendación, por ejemplo, es tener una política de uso claramente definida para la movilidad y asegurar que todos dentro de la organización la conocen. Aunque es algo obvio, muchos clientes carecen de una política para controlar a qué servicios pueden acceder los usuarios desde sus dispositivos móviles, señala Cordero.
Esto ya ha brotado del crecimiento orgánico de BYOD (bring your own device), sostiene Cordero, quien también es presidente de la firma consultora en seguridad de nube Cloud Watchmen.
Un ejecutivo quiere usar una iPad, pero entonces repentinamente aparecen algunas preguntas. Una política puede dictar la forma en que se asegura al dispositivo, qué información puede almacenar y a qué datos del dispositivo tiene acceso la empresa. Sea claro en cuanto a cuáles son las reglas del juego, indica Cordero.
Otra nueva categoría es para gestión de la cadena de abastecimiento, transparencia y accountability. La CSA recomienda que los clientes tengan un claro entendimiento de la manera exacta en que el proveedor maneja los datos. En algunos casos el proveedor podría trabajar con terceros, lo cual puede representar un riesgo a la seguridad, explica Cordero.
Por ejemplo, en los despliegues de escritorios virtuales los clientes pueden contratar un proveedor, pero en el back end el proveedor de VDI podría utilizar la plataforma de almacenamiento de un tercero. Los clientes deberían conocer toda la cadena de abastecimiento de sus datos para asegurarse que se encuentran apropiadamente seguros a través de todo el proceso. Otro escenario cada vez más común se encuentra en el mercado de plataforma como servicio (PaaS, por sus siglas en inglés), sostiene Cordero. Generalmente una PaaS -que se encuentra en la plataforma de desarrollo de aplicaciones- corre sobre una infraestructura como servicio (IaaS, por sus siglas en inglés). Los clientes deberían estar al tanto de los acuerdos de nivel de servicio (service-level agreements – SLA) y los controles de seguridad no solo de su proveedor de PaaS, sino también de todos los proveedores de IaaS.
Seguir las mejores prácticas de seguridad como aquellas esbozadas por la CCM es una forma de que los clientes se protejan a sí mismos. La reciente aleccionadora historia del proveedor de almacenamiento de nube Nirvanix, que dio a sus clientes un aviso con poca antelación para que sacaran sus datos de su nube ya que se estaba cerrando, ha reforzado la importancia de tener un plan de continuidad de los negocios y de salida de los datos.
La CSA -que es una organización sin fines de lucro dedicada en desarrollar la seguridad de la nube- regularmente actualiza la CCM para asegurarse de que incorpora los más recientes estándares de seguridad aceptados por la industria como el ISO 27001/2. Los miembros como Cordero trabajan con los usuarios, asesores y proveedores de servicio de nube para identificar las más recientes tendencias en la industria para asegurar que éstas se vean reflejadas en la CCM.
Los clientes puede ver la lista completa de especificaciones de la CCM al descargar la versión en PDF -ello requiere que los usuarios se registren en la CSA. La CSA también tiene el STAR Registry, que es una versión de la CCM en un formato de cuestionario que los proveedores pueden llenar y que se encuentra publicada en el sitio web de la CSA. Una lista de las respuestas dadas por los proveedores se encuentra en el STAR Registry de la CSA para que los consumidores comparen a los diferentes proveedores de nube.
Brandon Butler, Network World (EE.UU.)