Llegamos a ustedes gracias a:



Reportajes y análisis

El análisis de la seguridad

Luego de las exposiciones ya indicadas, se produjo un receso en el que los asistentes pudieron disfrutar de otro de los beneficios de nuestros foros: el networking. Fuera de la sala se conformaron grupos de conversación que charlaron sobre lo recientemente expuesto y sobre cómo esto se acercaba a la realidad de sus empresas.
Luego de unos 15 minutos de conversación los asistentes volvieron a la sala para escuchar la siguiente exposición de la mañana. Era el momento del análisis a cargo de Fernando Covecino, socio de technology integration de Deloitte Perú, quien ofreció una presentación llamada Seguridad en Cloud: Evaluación de riesgos.
Covecino inició su presentación mostrando las principales consideraciones que se deben tener al momento de evaluar la nube.
Así, indicó que los retos de privacidad y seguridad son reales, pero superables. Muchos de los enfoques tradicionales de riesgo son aplicables, aunque puede ser necesario repensar las prácticas de aceptación de riesgos.
También indicó que existen muchos proveedores y diferentes opciones de despliegue de soluciones en nube. Ello implica diferentes niveles de riesgo y diferentes necesidades de controles.
Covecino indicó que se recomienda comenzar con aplicaciones de bajo riesgo y cargas de trabajo estandarizadas. Por ejemplo: Colaboración, ambientes de desarrollo y pruebas, integración con SaaS.
Finalmente, señaló que la definición de la estrategia usando un enfoque de caso de negocio es el primer paso en la ruta de la adopción. Aquí es necesario utilizar modelos de costo total de propiedad considerando los aspectos de seguridad y regulatorios; además, la tendencia es lograr una reducción mínima del TCO de 20% a 30%.
Covecino también ofreció algunos marcos de referencia que se pueden utilizar para afrontar los retos de la seguridad. Uno de ellos es el proporcionado por el National Institute of Standards and Technology, el cual ofrece su Guidelines on Security and Privacy in Public Cloud Computing.
El otro marco proporcionado por el expositor es el de la Cloud Security Alliance que ofrece el programa CSA STAR: Registro de controles de seguridad ofrecidos por proveedores de servicios de nube; además de otras elementos de seguridad como el Cloud Computing Top Threats, su ranking de amenazas; el Security Guidance for Critical Areas of Focus in Cloud Computing; y la Cloud Controls Matrix.
Covecino dio algunas recomendaciones finales. En primer lugar cuando se plantee la adopción de la tecnología de nube hay que armar una estrategia integral que se debe validar bajo un esquema de casos de negocio; se debe trabajar con colegas y hablar sobre las diferentes áreas de la organización que pueden requerir estar enterados de la adopción de la nube; igualmente, se debe ser especifico en los requerimientos y se debe definir una línea base de las cosas que no son negociables desde el punto de vista de las políticas de seguridad, y lo que no cumple esa línea base simplemente no se evalúa. Finalmente, una vez que ya se tiene un marco estructurado se debe seguir investigando, conversar con otros colegas y asistir a reuniones especializadas para conocer otras experiencias.