Bajando la nube
En nuestro artículo anterior analizamos los patrones generales para un sistema de información en la nube, y se determinaron los ambientes que participan típicamente en este contexto, ahora, una industria relevante en el uso de Cloud como un generador de valor en el negocio, es la banca, por ende, aterrizaremos estos patrones de análisis de seguridad en la nube con un caso en dicha industria.
Datos del contexto
Como ejemplo tomaremos un banco ficticio de Perú llamado “Mi Bankito”, un cliente ficticio de este banco sería “Juan Pérez”, y el proveedor de la nube de este banco sería “Amazon”, el cual sí existe. Este banco internamente tiene un área de desarrollo de software interno, el cual necesita de la nube, servicios web, aplicaciones y servidores que se gestionarán en máquinas virtuales; también requerirá mantener un software para la banca móvil a través de una interfaz de programación en la nube (CPI); otro dato a considerar es que el Juan Perez utilizará los servicios de la banca móvil para realizar transacciones bancarias. Entonces, internamente Amazon le preparará sus servidores para que virtualice los servidores de Mi Bankito, la red y software de virtualización correspondiente.
Participantes
En el ambiente indirecto, quienes están preocupados de manera externa son las entidades reguladoras como, la industria de las finanzas, la SBS, SUNAT, BCR, BVL, entre otras de la industria, y dependiendo del nivel de gobierno de la empresa, los junta directiva, comité de auditoría o accionistas podrían considerarse en esta lista de participantes. En el ambiente directo sólo queda utilizar los datos anteriores para un análisis más profundo, como: las responsabilidades que tendrán los del área de desarrollo con respecto a los recursos, lo que el encargado del acceso maestro a la nube deberá monitorear para el adecuado cumplimiento de resguardo de información.
Bajando a documento
Cada uno de estos participantes deben ser analizados para ingresar la información restante y necesaria según las plantillas que mencionamos en el artículo anterior, ello nos permitirá tener conocimiento compartido para una respuesta consolidada a través del apoyo que ofrece la información de las partes interesadas del sistema de información en la nube.
Consejo audit
En audit contamos con la plataforma aValue para una óptima gestión de la información de gestión de Riesgos de Seguridad de la Información en su organización, nuestros consultores le brindarán el apoyo necesario para establecer un lenguaje común entre todas sus partes interesadas.