Aterrizando en las nubes
La computación en la nube ofrece grandes beneficios como la escalabilidad y la flexibilidad en el uso de recursos de tecnologías de la información, de los cuales las empresas pueden aprovechar para aumentar su valor. El tema con la nube es la preocupación en la seguridad, sobretodo en dos puntos: la confianza que pueden brindar los proveedores de servicios Cloud y el nivel de seguridad que una empresa adopta para usar Cloud. Es por ello que para el segundo punto, se puede iniciar con estándares generales como los de la familia ISO 27000, pero, ¿Cómo iniciar?
Primero lo primero
Dentro de la familia ISO 27000 tenemos la ISO 27001 para definir un Sistema de Gestión de Seguridad de la Información, la ISO 27002 para implementar controles de seguridad o la ISO 27005 para establecer un marco de gestión de riesgos en la organización. No hay nada definido de por cual empezar, en realidad siempre dependerá de a necesidad de la empresa, y de identificar cuál es lo más próximo a atenuar y concretar en resultados para la alta gerencia. A nuestra experiencia, si una empresa no está por optar en una certificación internacional, podría empezar por implementar controles de la ISO 27002 para su organización según lo más crítico que ha identificado. Pero si tiene un poco más de tiempo para llevar mejor las cosas, lo principal será establecer las pautas obligatorias de la ISO 27001. Sin embargo, si ya se cuenta con un nivel de gestión aceptable, lo recomendable es tomar las pautas de ISO 27005.
Conoce, conoce y conoce
Es muy importante conocer el contexto en el que se desenvolverá la gestión de riesgos de seguridad de la información respecto a recursos en la nube, lo primero que se necesita saber es entender el contexto de la organización y dejar claro como se identificarán activos, amenazas, vulnerabilidades y riesgos. Entonces, se puede entender que no realizar un correcto análisis en el contexto puede ocasionar grandes pérdidas en el futuro. ¿Es difícil esta parte?, lo que sugerimos es que se analicen patrones de conocimientos que presentan las partes interesadas (los que quieren que el riesgo en la nube se gestionada adecuadamente), tras ello es necesario que las empresas cuenten con plantillas para entender la organización e identificación de activos involucrados en la seguridad de la información.
Sistemas en la nube
Según NIST (National Institute of Standards and Technology) de USA, indica que los sistemas en la nube pueden definirse por estas propiedades: Los clientes necesitan recursos de un proveedor de la nube a través de un acceso de red y pagar según demanda de uso de capacidades. Ejemplos de recursos: el almacenamiento, procesamiento, memoria ancho de banda, máquinas virtuales; todas combinadas en lo que se conoce como pool, de esta manera los recursos son virtualizados y los clientes pueden diseñar o rediseñar sus ajustes y optimizar la utilización de ellos con apoyo del proveedor.
Consejo audit
Migrar a la nube es inminente, por lo que conocer (y hasta inventariar) los recursos aplicados a ellos, son de vital importancia para el equipo de profesionales que velarán por la seguridad de los mismos. Como mencionamos, conocer es crítico para lo que viene posterior, y para consultores externos, suele ser crítico debido a la independencia que presenta del mismo, sin embargo no es una barrera que impida concretar resultados apoyados desde su perspectiva independiente en apoyo a la gestión de riesgos en la nube. En audit, apoyamos su ciclo de gestión de riesgos para fortalecer su sistema de gestión de seguridad de la información.