Gestión de Riesgos en servicios en la nube, tribuna de Fernando Serrano para ComputerWorld
ComputerWorld ha publicado la tribuna ‘Gestión de Riesgos en servicios en la nube’ de Fernando Serrano, Responsable de Seguridad Corporativa de acens Part of Telefónica Tech, la cual reproducimos a continuación.
Antes, durante y después de contratar servicios en la nube, se debería realizar un ejercicio para analizar los riesgos que supone la contratación y el uso de estos servicios. Es recomendable comparar las distintas opciones que hay en el mercado y valorar, según el presupuesto, nivel de seguridad necesario y nivel de riesgo asumible, qué producto o servicios contratar.
Es necesario, sobre todo, contar con proveedores de confianza, con compañías que dispongan de algún tipo de acreditación que nos dé la suficiente confianza para utilizar sus servicios, y si los vamos a utilizar para gestionar información sensible, deben garantizarnos un nivel de seguridad adecuado.
Existen muchos modelos para realizar comparativas que nos ayudarán a tomar la mejor decisión, pero sobre todo se debe tener en cuenta que cualquier proveedor de servicios en la nube se rige por un esquema de corresponsabilidad en seguridad de la información. Con lo que, en general y según el tipo de servicios, un proveedor Cloud velará por la seguridad de la infraestructura donde se ubica esa nube (suministro eléctrico, seguridad física, climatización, comunicaciones, etc.), y el cliente que contrata los servicios, deberá responsabilizarse de las medidas de seguridad de la información que sube a la nube o de los sistemas que allí despliega. El cliente es el responsable último de esa información y por tanto debe asegurarse que las medidas de seguridad son las más adecuadas para mantener el nivel de riesgo aceptable para su negocio. En particular, en entornos IaaS o PaaS, con modelos de servicios administrados por el proveedor, debe ser también el cliente el que se responsabilice y tutele el modelo de gestión para que sea acorde a sus exigencias de negocio y de seguridad.
Hoy día, existen muchas regulaciones en materia de seguridad de la información que obligan a los proveedores de servicio a establecer un conjunto mínimo de medidas de seguridad, por lo que los proveedores que acreditan el cumplimiento de esas regulaciones o normas de referencia nos darán mayor garantía, ya que estarían cumpliendo con exigentes controles certificados por profesionales acreditados. En muchos casos son los clientes los que deben cumplir con estas regulaciones, por lo que deben asegurarse durante todo el proceso que el servicio contratado cumple con las exigencias de esas regulaciones.
Después de contratar los servicios, sigue siendo importante analizar los riesgos y realizar seguimientos periódicos solicitando a los proveedores información actualizada sobre el cumplimiento de las medidas de seguridad, y evidencias que mantienen el nivel de servicio y el nivel de seguridad contratado.
Y una vez finalizada la relación contractual, debemos asegurarnos y verificar que se toman las medidas adecuadas para que la información almacenada a la nube sea devuelta o destruida.
En conclusión, realizar una adecuada gestión de riesgos a la hora de contratar servicios en la nube, nos permitirá tomar decisiones más adecuadas y, en definitiva, nos aportará mayor tranquilidad y seguridad.
Si quieres estar a la última en tecnología y conocer todo lo que se mueve en el sector, ¡suscríbete a nuestro boletín!
Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.
Déjanos un comentario o cuéntanos algo.