Mover la TI de una empresa a la nube se considera algo razonable para muchas empresas, ya que tiene muchos atractivos, incluidos los costos, el ahorro de espacio, la reducción de personal y las bonificaciones de rendimiento. Los paradigmas de seguridad probados y probados ahora se consideran no totalmente adecuados para el propósito cuando se trata de operaciones basadas en la nube. ¿Pero es éste el caso? ¿Hay alguna tendencia que pueda ofrecer una mejor gestión de la seguridad y, por lo tanto, mejoras en la postura de seguridad?
Si bien hay una buena selección de herramientas de monitoreo y administración disponibles para el mundo de TI físico y virtual, la mayoría de estas herramientas estarán dentro del alcance del operador de la nube o sus contratistas, no del cliente final.
Entonces, ¿qué aspectos de la seguridad de TI puede un cliente razonablemente esperar controlar y cómo se puede ejercer ese control?
El punto de partida es que el grupo de seguridad identifique las áreas clave de TI de la empresa, dónde se encuentra y con qué propósito (AAA, correo electrónico, firewall, etc.), utilizando qué tecnología e identificando quién posee y administra qué.
Después de este ejercicio de mapeo de TI, debe venir el desarrollo de un registro de activos de datos integral y completo que identifique dónde se encuentran todos los datos, quién es el propietario de los datos, qué valor tienen los datos, quién (o qué) puede acceder a los datos y con qué propósito.
Estas dos tareas luego se incorporarían a un análisis de riesgo integral y a un mapa que identificaría quién tiene qué control sobre las distintas partes. Estamos identificando dónde una empresa tiene control directo, dónde tiene control indirecto y dónde no tiene control.
Control directo
Aquí es donde una empresa posee (o alquila) un dispositivo y tiene la responsabilidad operativa directa de su mantenimiento y administración. En este caso, la empresa necesita políticas y procedimientos completos y actualizados y personal debidamente capacitado.
control indirecto
Esto ocurre cuando la empresa utiliza un dispositivo o servicio que es propiedad de un tercero y está operado por él, como sería el caso general de la TI basada en la nube. En este caso, la empresa necesita que el contrato de servicio cubra de manera integral los requisitos de seguridad de la empresa, lo que probablemente se logra mejor con un anexo que pueda actualizarse sin necesidad de renegociar el contrato principal. Dicho requisito de seguridad debe incluir mecanismos y procedimientos de notificación de incidentes.
Cabe señalar que un proveedor de servicios en la nube generalmente tendrá una serie de funciones y servicios que arrienda o alquila a otros terceros y el contrato debe identificar cómo el proveedor de ruido gestiona estos servicios o instalaciones. Además, las empresas de nube muy grandes tendrán una serie de centros operativos en diferentes partes del mundo y utilizarán un esquema de gestión de “seguimiento del sol”. La investigación de antecedentes del personal puede no tener el mismo estándar en todos los países y, a menudo, se pueden utilizar contratistas y, nuevamente, los procedimientos de investigación de antecedentes deben abordarse en el contrato principal (o en el anexo del contrato).
Sin control
Aquí es donde la empresa debe tomar medidas para garantizar la seguridad donde no tiene control. Un buen ejemplo es el uso de cifrado de extremo a extremo donde los datos se transportan a través de Internet u otras redes de terceros.
Para concluir, sin conocer el valor de los datos en poder o procesados por su empresa, dónde se encuentran los datos y quién o qué debe tener acceso a los datos y con qué propósito. No puede realizar de manera realista un análisis de riesgos y amenazas efectivo de su TI y sin dicho análisis de riesgos y amenazas y una comprensión integral de su mapa de TI y sus cadenas de suministro y, por lo tanto, lo que está bajo su control directo e indirecto (el mapa de TI) no puede efectivamente Proteja su empresa y sus datos.