La profundidad de la nube
En nuestro artículo anterior, se explicó que el aterrizaje en la nube de la organización es un factor clave para la gestión de riesgos de seguridad de la información que este involucra, y que el criterio de los profesionales involucrados desencadenará un nivel de capacidad mayor de análisis para el criterio de ello. Entonces ¿Qué deberían tener como conocimiento base para gestionar los riesgos de cloud computing?
Quiero tener más control de hardware
La arquitectura de una sistema en la nube consisten diferentes capas de servicio y permite diferentes modelos de negocio. Existen tres maneras de usar la nube, que para este capítulo llamaremos capa. Una de los capas más cercanos a manejo de recursos físicos es la de Infraestructura como un servicio o IaaS (Infraestructure as a Service), en el cual el proveedor te brinda recursos puros para la creación de máquinas virtuales, donde los clientes pueden desplegar software a medida o inclusive sistemas operativos, la manera de conectase con estos, permite acceder a bases de datos distribuidas en locaciones remotas en la nube.
Sólo me preocupo en la lógica
El siguiente capa es Plataforma como un servicio o PaaS (Platform as a Service), donde el cliente utiliza APIs para desplegar sus propias aplicaciones utilizando lenguajes y herramientas que le mismo proveedor otorga como soporte. Ejemplo de esto podría estar el servicio de SQL Database Azure de Microsoft. La otra capa es Software como un servicio o SaaS (Software as a Service), en el cual es cliente utiliza aplicaciones que ofrece el proveedor del servicio Cloud y que se están ejecutando en su infraestructura Cloud. además, los proveedores Cloud necesitan una capa que monitoree el uso de recursos de los clientes, obviamente para propósitos de facturación y aseguramiento de servicios. Algunos investigadores consideran esta última capa como una capa intermedia implícita.
Escenarios
La computación en la nube ofrece diferentes escenarios de uso: Nubes privadas son operadas solamente para una organización, nubes públicas están disponibles para un público en general o una grande industria que comercia con estos proveedores Cloud. Algunos cuentan con ambos escenarios, convirtiéndolos en clientes con modelos Híbridos en la nube, ya que estos necesitarán además de completar con recursos propios para el control de servicios con el proveedor.
Consejo audit
El modelo OnPremise o con recursos de TI local, es un modelo aún enraizado en nuestro país, sin embargo, poco a poco se están considerando varias adaptaciones a servicios en la nube o hasta plataformas en la nube, por lo que el cambio a híbrido es algo inminente. En audit apoyamos para que el cambio sea controlado y respete a todas las regulaciones internas y externas que su Cloud debe cumplir.