La nube necesita seguridad desde el principio


Los entornos de nube y el almacenamiento de datos de misión crítica en ellos conllevan un riesgo inherente. Estos riesgos se vieron exacerbados por el auge de la TI en la sombra. Esto hace que sea fácil y rentable para cualquier persona en la organización que tenga cierta libertad para adquirir aplicaciones basadas en la nube para apoyar las operaciones comerciales sin necesariamente someterlas a TI. El mismo cuidado que se toma antes de que surjan los servicios en la nube El nivel de la empresa se selecciona e implementa.

Definición de responsabilidades de datos

Como con todos los riesgos de seguridad de datos, la responsabilidad recae en la organización que recopiló los datos (el controlador de datos en un mundo Reglamento general de protección de datos [GDPR] ) para garantizar que se procesen de forma segura y transferido La externalización de tareas y funciones de TI no significa que el riesgo se externalice automáticamente.

Sin embargo, dependiendo de la naturaleza del servicio en la nube de terceros, existen diferencias en las responsabilidades. La seguridad de los datos no es particularmente importante para el proveedor de Infraestructura de TI basada en la nube (IaaS) porque solo proporciona la estructura básica del sistema sobre la cual el cliente construye su propio entorno de TI. Si bien el proveedor puede ser responsable del mantenimiento general y la seguridad del sistema de TI, no es responsable de los datos en sí. Del mismo modo, se aplica a las plataformas en la nube (PaaS) que proporcionan herramientas para cumplir con los requisitos del cliente.

Cuando la situación se vuelve más fluida, este es el caso a nivel de aplicación porque el proveedor de la nube es más activo en la operación del servicio y, por lo tanto, puede acceder a los datos que contiene.

Si bien muchos servicios de aprovisionamiento en la nube hacen grandes esfuerzos para asegurar la información que procesan, almacenan y transfieren, una organización no puede ser complaciente cuando se trata de proteger los datos en la nube.

Preparándose

El primer paso es brindar al proveedor de servicios en la nube un cuidado razonable para que los datos se gestionen de forma segura y se preserven los intereses tanto del cliente como de sus clientes. Desde el principio, debe tenerse en cuenta que existen los controles correctos, tanto en términos de proceso como de tecnología, para administrar los riesgos involucrados, especialmente si los datos almacenados son confidenciales, tales como: B. datos personales.

La política de privacidad también debe ser considerada. Por ejemplo, los datos personales de los ciudadanos de la UE están dentro de la jurisdicción del GDPR (actualmente la legislación más utilizada). La responsabilidad de esta información personal recae en el controlador de datos (el cliente) para garantizar que el procesamiento de datos sea compatible, mientras que el procesador de datos (el proveedor de la nube) debe asumir la responsabilidad de parte de la información que se procesa, porque los datos se almacenan en la nube se comparte con más frecuencia que en entornos locales tradicionales, y la responsabilidad final recae en el controlador.

El enfoque debe estar en la clasificación de datos adecuada de antemano, definiendo el nivel correcto de responsabilidad y asegurando que estos requisitos se comuniquen claramente como responsabilidades contractuales. Una vez que todos son conscientes de la necesidad de proteger la información, se pueden identificar, documentar y probar las medidas apropiadas para proteger la información almacenada. Esto incluye procesos de notificación de infracciones y planes de respuesta en el peor de los casos.

Nube pública y responsabilidad compartida

Muchas organizaciones optan por utilizar un proveedor de nube pública en lugar de un proveedor privado para algunas o todas ellas, lo que puede cambiar la dinámica de la responsabilidad.

Amazon Web Services (AWS) muestra, por ejemplo, que la responsabilidad de la seguridad y el cumplimiento de los datos se comparte entre la empresa y el cliente. AWS opera, administra y controla los componentes del sistema operativo host, mientras que el cliente asume la responsabilidad y la administración del sistema operativo invitado (incluidas las actualizaciones y parches de seguridad), otro software de aplicación relacionado y la configuración del firewall del grupo de seguridad proporcionado por AWS. La división adicional de responsabilidades depende de los servicios utilizados.

AWS también proporciona un conjunto de herramientas integradas que ayudan a los clientes a mitigar y mitigar los riesgos potenciales. También proporciona un nivel de soporte que puede minimizar la mayoría de los riesgos de seguridad y proporcionar comentarios según sea necesario para mejorar la seguridad y el cumplimiento del cliente.

Integrando la seguridad a través del diseño en el ciclo de vida del proveedor

"Seguridad por diseño" asegura que la seguridad de TI es inherente a la operación de un negocio y es un enfoque utilizado en servicios de outsourcing para la empresa La nube se puede aplicar. La siguiente lista de verificación contiene los puntos clave que deben abordarse:

  • Comprensión interna: El cliente debe conocer la naturaleza de la información almacenada en el entorno de la nube y su sensibilidad.
  • Verificaciones previas al contrato: Confirmación de que el proveedor de la nube tiene los elementos de seguridad básicos que le permiten cumplir con los estándares requeridos, tales como:
  • ] Cláusulas contractuales: Se pueden insertar cláusulas predefinidas, como notificación de violaciones, incumplimiento de contrato en caso de incidentes, cifras clave que debe informar el proveedor de la nube y posiblemente cubrir el derecho a la prueba.
  • Contrato actual: Indicadores clave de rendimiento (KPI) sobre los que el proveedor de la nube debe informar (número de personas / sitios con acceso, riesgos gestionados por el tercero en nombre del cliente, confirmación de escaneos / parches de vulnerabilidad , por ejemplo) y que las acciones (en particular el cierre de cuentas salientes) se llevan a cabo rápidamente.
  • Diálogo comercial: Charlas internas del cliente para comprender si los usuarios comerciales han adoptado aplicaciones o servicios fuera de TI (TI secundaria) que necesitan pasos adicionales
  • Informes de auditoría: Los informes de auditoría de SoC 2 deberían ser recibido y posiblemente verificado.
  • Cambios en el contrato: Los controles y el contrato deben cambiarse a medida que el proveedor de la nube adapta el Servicio con el tiempo para satisfacer las necesidades del cliente.
  • Contrato de baja: Confirmación de la eliminación de los datos y devolución de la propiedad intelectual (IP) al cliente.

Todos son responsables de la seguridad de los datos.

Los profesionales de seguridad de TI deben desempeñar un papel importante para garantizar que se cumplan los estándares correctos en todos los aspectos de la prestación de servicios en la nube, de modo que la organización se beneficie de ellos sin introducir riesgos, en el mejor de los casos innecesariamente y en el peor Es contraproducente.

Desde una perspectiva técnica, esto implica probar exhaustivamente los servicios en la nube y configurar los controles correctos para mitigar los riesgos existentes. Pero también se trata de promover la comprensión en toda la empresa para que los empleados puedan ver cómo sus acciones individuales, como el uso de aplicaciones no autorizadas, pueden afectar directamente a toda la organización.

Independientemente de dónde se almacenen los datos, la responsabilidad de la seguridad de la información recae en todos.



Software trazabilidad de Cea Ordenadores