Llegamos a ustedes gracias a:



Noticias

Cómo chequear a su proveedor de nube

[20/12/2010] Los potenciales clientes de servicios de nube enfrentan un difícil problema: ¿Cómo pueden confiar en los proveedores de nube lo suficiente como para contratarlos cuando éstos se rehúsan a revelar importantes detalles de su infraestructura por motivos de seguridad y practicidad?

Estos proveedores señalan que no pueden abrir sus arquitecturas de redes al escrutinio de los clientes, ya que temen que los detalles les podrían dar a los atacantes potenciales un bosquejo que comprometa su seguridad. También señalan que el tiempo que involucra responder cada una de las preguntas del cliente sería prohibitivo.
El resultado, como señaló a inicios de año un proveedor de servicios, es que los clientes nunca van a obtener el nivel de transparencia que quieren. No le vamos a permitir hacer una auditoría al mismo nivel que tendría una auditoría en su propia infraestructura, señala Adam Swidler, gerente de márketing de producto de Google, hablando de los servicios de nube de Google. Nunca va a ser igual a auditar su propia infraestructura. Tiene que desplegar algún nivel de confianza en la verificación de terceros.
Aunque los clientes no van a poder caminar por los centros de datos de los proveedores de nube e interrogar a los CISO, pueden enviar preguntas cuyas respuestas puedan servir al propósito, afirma la Cloud Security Alliance (CSA), que ha escrito un cuestionario que las empresas pueden adaptar a sus propósitos cuando intenten evaluar lo adecuado que son los proveedores de servicios de nube.
Con nombre Consensus Assessments Initiative Questionnaire, el documento es un marco bien pensado para medir la seguridad de la nube. Este conjunto de preguntas es una versión simplificada de los temas, mejores prácticas y control… que apuntan a ayudar a las organizaciones a construir los procesos de evaluación necesarios para comprometerse con los proveedores de nube, señala la CSA.
Las preguntas fundamentales que se deben hacer:
*¿Realiza su proveedor evaluaciones de penetración y auditorias de seguridad internas y externas que sus clientes puedan ver?
*¿Pueden los clientes realizar sus propias evaluaciones de vulnerabilidad?
*¿Se encuentran los datos segmentados o encriptados lógicamente por cliente de tal forma que los datos de un cliente no sean barridos inadvertidamente junto con los de otro, digamos, en respuesta a una citación judicial?
*¿Puede el proveedor recuperar los datos cliente por cliente en caso de alguna pérdida?
*¿Cómo se protegen los derechos de propiedad intelectual?
*¿Etiqueta el proveedor las máquinas virtuales y físicas utilizadas por cada cliente y puede garantizar que los datos son almacenados solo en ciertos países pero no en otros, de acuerdo a las leyes de almacenamiento de datos de algunos países?
*¿Cuáles son las políticas del proveedor en cuanto a la respuesta a las solicitudes del gobierno de los datos del cliente?
*¿Cuáles son las políticas del proveedor en cuanto a retener los datos del cliente y puede seguir éste las políticas para el borrado de los datos de la red del proveedor?
 *¿Realiza el proveedor un inventario de sus propios activos y de las relaciones con sus proveedores?
*¿Capacita a su personal, y documenta esa capacitación, sobre los controles de seguridad propios y de sus clientes?
Otras áreas para preguntas a los proveedores incluyen el monitoreo y el control de los derechos de acceso del usuario y cuál es la naturaleza y extensión de la respuesta a incidentes de seguridad, incluyendo las responsabilidades del proveedor y del cliente.
La lista continúa, pero el punto de ella es dar a los clientes una buena evaluación de los proveedores y dar a los proveedores un formato para responder a las legítimas preocupaciones de los clientes, señala la CSA.
Algunos clientes abogan por contratar pequeños proveedor de nube porque ellos pueden proporcionar un mejor acceso directo a sus infraestructuras y procedimientos para asegurar los niveles del servicio requerido. Realmente vale el viaje, señala Jessica Carroll, managing director de TI en la U.S. Golf Association, entidad que escogió a un pequeño proveedor por estos motivos. Lo hace todo real de tal forma que uno sabe que todo lo que dice el contrato en realidad existe, porque lo haz visto.
Tim Greene, Network World (US)