A continuación algunas preguntas que cada gerente de seguridad de TI tiene en mente, o debería tener, cuando se acerca al paradigma de la computación en nube.
¿Los datos confidenciales se almacenan de forma segura en la nube?
¿Cuáles son los riesgos relacionados con la exposición a las amenazas cibernéticas?
¿Podemos confiar en el personal del proveedor de servicios de nube?
¿Cuál es el nivel de seguridad que ofrece en el SLA?
¿Cuáles son los mecanismos de seguridad en su lugar?
¿Estamos compatible con los estándares de seguridad? ¿Cuál?
La privacidad está estrechamente relacionada con la seguridad. Una enorme cantidad de datos sensibles y la información de identificación personal (PII) se almacenan por las empresas en las arquitecturas de nube, y existe la necesidad de preservarlos de los ataques cibernéticos intencionales y accidentales.
Un enfoque eficaz para la privacidad y seguridad es necesario para evitar la pérdida de negocio provocada por incidentes (por ejemplo, violación de datos) y el incumplimiento con las regulaciones gubernamentales.
Las empresas tienen que considerar las cuestiones de seguridad y privacidad de acuerdo con las necesidades de la industria para la que trabajan. Las construcciones de seguridad clave en la base de los cuales se deben analizar las políticas de seguridad son la infraestructura, los datos, la identidad, y los dispositivos de los usuarios finales.
Para mejorar la seguridad y la privacidad de la arquitectura de nube, las empresas que decidan trasladar sus cargas de trabajo a la nube tienen que:
- Decida qué datos migran a la nube y solicitar la aplicación de las medidas necesarias para asegurar la integridad de la información y preservar su confidencialidad. Imaginemos el código fuente de las aplicaciones básicas desarrolladas por una empresa que tiene que moverse a la nube; el repositorio de software necesita ser endurecida contra ataques externos y su acceso debe ser regulada para evitar la fuga de datos de información privilegiada.
- Datos de la empresa Mapa para solicitar la clasificación de seguridad.
- Revise las medidas de los proveedores en la nube ‘de seguridad / privacidad (por ejemplo, seguridad física, notificaciones de incidentes) y asegúrese de que están documentados en el SLA nube.
- Identificar los datos sensibles.
- Definir / Revisar los procesos de autorización y autenticación.
- Examinar la normativa aplicable y evaluar cuidadosamente lo que hay que hacer para cumplir con ellos después de una migración a la computación en nube.
- Administrar los riesgos de violaciones de seguridad o privacidad, evaluar el impacto en el negocio de la compañía para cada tarea / actividad se trasladó a la nube.
Es crucial entender que el proceso de migración en sí podría exponer datos de la empresa a las amenazas cibernéticas y causar incidentes. Es por eso que el personal de TI tiene que considerar cómo asegurar los datos y aplicaciones durante la transición.
Gestionar la migración como un proyecto
La migración a la arquitectura de nube debe ser formalizada por el personal de TI y compartió con los directores de los diferentes departamentos dentro de la empresa. Cada actividad debe ser definida, planeada y ejecutada, y la transición en sí debe ser gestionada como un proyecto articulado. Como se describe en el punto anterior, es necesario definir un plan de proyecto formal aceptado por la alta dirección. Cada actividad debe ser seguida y los costos y riesgos relacionados debe ser monitoreado durante la migración.
Podría ser útil preparar una especie de Declaración de Objetivos (SOO), que describe los objetivos que cada departamento espera conseguir con respecto a la migración de sus servicios y aplicaciones a la nube.
Un documento similar, usado habitualmente en entornos gubernamentales, tiene el objetivo principal de preparar al personal para mover sus actividades a la infraestructura en la nube.
El SOO podría incluir información sobre las siguientes actividades:
- La realización de un inventario de todos los activos y servicios de la empresa.
- Definición de métricas para evaluar la evolución de las actividades durante la migración a la nube.
- Application Mapping
- La identificación de modelos de servicios apropiados (por ejemplo, SaaS, IaaS) y modelos de implementación (por ejemplo, privado, público)
- El desarrollo del caso de negocio para cuantificar costos y beneficios
- Planificación de la migración
Una vez completada la migración, es necesario comprobar la eficacia de los procedimientos / servicios en el nuevo entorno de acuerdo con la métrica definida en el documento SOO. La fase de prueba tiene que ser llevada a cabo, lo que limita el impacto de las funciones estratégicas de la empresa y, si es posible, a partir de datos no críticos.
Yo siempre sugiero prestar especial atención a las cuestiones de privacidad y seguridad debido a la rápida evolución de la industria de la seguridad, que requiere un enfoque dinámico. Evaluaciones de seguridad y de riesgo deben realizarse de forma continua en el cumplimiento de las normas internacionales.