Análisis de seguridad en la nube

Uno de los aspectos claves que los profesionales de auditorías de sistemas de información buscan en estos tiempos es la de analizar sistemas que trabajan en el campo de computación en la nube, por lo tanto analizaremos los patrones utilizados para el análisis del mismo en este escenario.

Ambiente directo e indirecto del sistema

Un sistema en la nube consiste en dos ambientes, el primero es un ambiente directo que contiene a los recursos en general que interviene con el trabajo que produce la solución en la nube, comprende desde el proveedor hasta el cliente (la empresa a través de un representante, generalmente un Jefe de TI), los recursos adquiridos, los usuarios finales y los colaboradores que usarán esos recursos en la nube. Sin embargo, hay ciertos actores que intervienen de manera externa a este ambiente los cuales necesitan regular ciertos requisitos de cumplimiento y privacidad, a ellos se les considera como el ambiente indirecto.

Lo que ofrece el proveedor

El proveedor al establecer un contrato con el cliente separa recursos para el objetivo del contrato, entonces, el proveedor brindará servicios al cliente el cual le permitirá acceder a su pool de recursos, ya sea de hardware o software, y éste cliente podrá acceder a su gestión de recursos a través de un servicio que ofrece el proveedor, algunos proveedores lo denominan Panel de control o cPanel. Este cliente necesitará brindar acceso a ciertos recursos del contrato a otros colaboradores, como desarrolladores o usuarios finales, por lo tanto el proveedor cloud brindaré otros sub servicios para que ellos accedan, siempre y cuando el cliente los haya autorizado. Todo esto ocurre sólo en el ambiente directo, y es el patrón estándar en las organizaciones.

Ordenándose

Entonces, cada rol dentro los ambientes mencionados, son necesarios tenerlos documentados según la metodología que utilice la organización, nosotros recomendamos considerar los siguientes campos por cada uno de ellos: Nombre (como perfiles de puestos, roles o cargos), Descripción, Relación en la nube (analizar sus entradas y salidas de información en la nube), Motivación (¿Por qué usa la nube?), Relación con otras partes interesadas, Activos, Cumplimiento y Privacidad.

Consejo audit

Es importante conocer y documentar la participación de los roles de la empresa dentro de la nube en la organización como punto de partida para un análisis profundo de seguridad de la información en la nube. En audit contamos con nuestra plataforma aValue el cual permite gestionar adecuadamente la información necesaria para la gestión de riesgos en la nube.