Asegure la nube durante las negociaciones del contrato


Anteriormente exigí que los principios básicos de seguridad fueran correctos. Estos principios se aplican independientemente de si …

pensamos en TI tradicional o corporativa, TI basada en la nube o una combinación híbrida de los dos. Una TI mal configurada puede ser perjudicial para cualquier empresa, pero el uso cada vez mayor de entornos en la nube ha llevado a un aumento en la pérdida de datos perjudiciales y la fuga de datos.

Esto plantea la pregunta de dónde en una nube o un entorno híbrido es responsable de la seguridad de la información. La respuesta es simple: la responsabilidad recae directamente en la empresa. Pero como con todo "simple", el diablo está en los detalles.

¿Qué pueden hacer los expertos de Infosec para mejorar la seguridad de una empresa que utiliza entornos en la nube o híbridos? Está claro que la buena comunicación, las prácticas de trabajo y los protocolos acordados están en su lugar, bien mantenidos y utilizados tanto con el equipo interno de TI como con los equipos de proveedores de la nube de TI y la nube de información. Esto no solo tiene que suceder cuando los sistemas están en producción, sino sobre todo durante las negociaciones del contrato y durante la fase de diseño e implementación.

Durante la fase de negociación del contrato debe tenerse en cuenta que los sistemas total o parcialmente externalizados a servicios en la nube sigue siendo la responsabilidad legal de la seguridad en la empresa. Esto incluye el Reglamento General de Protección de Datos (GDPR) y la Ley de Protección de Datos del Reino Unido de 2018, pero también puede cubrir otros requisitos industriales, legales y reglamentarios. Durante esta fase de negociación, los profesionales de Infosec deben asegurarse de que el contrato con el proveedor de la nube o un proveedor de instalaciones o servicios subcontratados cubre completamente los requisitos de seguridad de datos de la empresa.

En épocas anteriores, los contratos de subcontratación a menudo eran completamente silenciosos. En términos de seguridad o donde se mencionó, fueron solo una o dos breves cláusulas que al final decían: "Acerca de usted …". Hoy en día, debe explicar qué se requiere para que la empresa cumpla con sus requisitos legales, contractuales y reglamentarios, y una cláusula que diga: "… debe tener certificación ISO 27001 …" no es suficiente. [19659003] En su lugar, especifique qué cláusulas ISO 27001 se deben cumplir y, cuando sea necesario, como. Por ejemplo, pruebas de penetración semanales, mensuales o basadas en Internet. Auditoría de seguridad interna mensual, trimestral, etc. Requisitos para el cambio y la gestión de incidentes; Monitoreo de seguridad y desempeño; Requisitos de informes; y una auditoría anual a ISO 27001 con la opinión de auditoría presentada a la empresa. Sin embargo, esta no es una lista exhaustiva: se aplican requisitos diferentes según la empresa y el uso de instalaciones externas.

Consideraciones sobre la cadena de suministro

Durante la fase de negociación del contrato, el experto en seguridad también debe considerar y garantizar que todos los requisitos de seguridad para la cadena de suministro se incluyan en el contrato en la nube. Por supuesto, la pregunta aquí debería ser: ¿Puede definir la cadena de suministro en el contexto de la nube? Responder esta pregunta puede abrir una lata de gusanos, pero aquí hay un escenario razonable que debería proporcionar una respuesta.

"Si bien los sistemas pueden subcontratarse, ya sea en su totalidad o en parte, la responsabilidad legal de la seguridad sigue siendo del negocio".
Petra Wenham, Voluntarios de BCS

Muchos proveedores de la nube no son propietarios de sus centros de datos directamente, sino que ocupan espacio en un almacén de datos junto con otros proveedores de la nube y similares. Un almacén de datos generalmente proporciona no solo el espacio, sino también todos los servicios necesarios, como conexión a Internet, calefacción, luz, electricidad, ventilación y, lo más importante, la seguridad física del sitio.

Esta última parte es interesante porque la empresa de almacenamiento de datos suele autocomprobar el reloj. A menudo, los servicios de guardia operan todos los sistemas de control de acceso dentro del almacén y controlan la emisión de tarjetas y tokens utilizados para acceder al edificio y las diversas áreas dentro del almacén, incluida el área del proveedor de la nube.

Posiblemente el proveedor también tenga su propia recepción en el almacén, y eso también podría ser subcontratado. El proveedor de la nube inevitablemente necesita ejecutar varios clientes en sus sistemas, por lo que también debe considerarse la seguridad entre clientes.

Tenga en cuenta que existe al menos una infraestructura de red común con el potencial adicional de sistemas de múltiples clientes que se ejecutan en el mismo hardware físico que el proveedor de la nube y, por lo tanto, utilizan la misma máquina virtual o entorno de hipervisor. Tenga en cuenta que el equipo de TI del servicio en la nube tiene acceso privilegiado a estos entornos.

El proveedor de la nube también puede externalizar algunos de sus propios servicios de TI a otros proveedores, tales como: B. Pruebas de penetración y pruebas de seguridad interna. También puede ser que algunos de sus servicios tengan licencia. Esto significa que un tercero puede acceder a "sus" servicios con licencia para fines de mantenimiento y los "terceros" pueden estar utilizando sus propios servicios en la nube, y no necesariamente la misma nube que usted.

En resumen, la externalización total o parcial de la TI de una empresa a un proveedor de la nube implica que los profesionales de Infosec deben considerar qué partes de su TI están bajo el control directo de la empresa y en qué partes confían la buena seguridad de los demás y cómo asegúrese de que la "otra" seguridad en los términos del contrato y los cronogramas y suplementos relacionados con el proveedor de la nube estén cubiertos de manera significativa.

Como parte de este proceso, las empresas deben identificar y articular qué áreas están completamente fuera de su control. Cada una de estas tres áreas tiene sus propias vulnerabilidades y riesgos asociados, y los profesionales de seguridad deben asegurarse de que el contrato con el proveedor de la nube cubra todas las áreas que no están bajo el control directo de la compañía, confiando en el entorno de seguridad de la compañía dado el apetito de riesgo de la compañía. La compañía es tan buena como se necesita.



Software almacen de Cea Ordenadores