En este podcast, analizamos el cumplimiento y la seguridad del almacenamiento en la nube, con especial atención a la residencia de datos y la auditoría de sus datos, con Mathieu Gorge, director ejecutivo de Vigitrust.
Hablamos sobre el auge de la nube y la tendencia a que proliferen las existencias de datos en el almacenamiento en la nube, especialmente con la capacidad de los departamentos de toda la empresa para activar los servicios en la nube con una tarjeta de crédito.
Gorge también habla sobre el aumento del riesgo geopolítico y la necesidad siempre presente de mitigarlo, especialmente mediante la clasificación de datos y la auditoría en la nube.
Antony Adshead: ¿Qué está cambiando en la nube y su adopción que afecta el cumplimiento?
Garganta de Mathieu: La nube ha existido durante 20 a 25 años, y hemos dedicado mucho tiempo a hablar sobre la diferencia entre la nube pública, privada e híbrida, pero en los últimos años, hemos visto algunos marcos de seguridad nuevos para ayudar. gestionar la nube.
Cloud Security Alliance publica un trabajo muy bueno allí y algunos marcos que puede usar. También hay CMMC [Cybersecurity Maturity Model Certification] en EE. UU. y orientación de ENISA en Europa.
Uno de los cambios clave que estamos viendo es la gestión de contratos con su proveedor de nube y de qué deberían tratar los contratos. El problema proviene originalmente de esa idea de administrar la cadena de suministro de datos y el ciclo de vida de los datos.
Entonces, creas algunos datos y terminan en la nube. ¿Dónde se encuentra esa nube? ¿Bajo qué jurisdicción está? Qué tipo de regulación se aplica, ya sea GDPR [General Data Protection Regulation]CCPA [California Consumer Privacy Act] o tal vez un estándar de la industria como PCI o lo que sea?
Lo que estamos viendo es que las organizaciones tienen un problema principal en este momento que, mientras que en el pasado, para configurar datos en la nube era necesario pasar por TI, ahora es más o menos autoservicio. Por lo tanto, cualquier departamento de su organización puede usar una tarjeta de crédito y comenzar algún tipo de nuevo destinatario en la nube, por así decirlo.
Esto pasa por alto la seguridad y el cumplimiento, y definitivamente crea una pesadilla para el cumplimiento, el almacenamiento, la copia de seguridad y la seguridad genérica.
Esa es una de las cosas que estamos viendo en este momento. Los proveedores de la nube básicamente están diciendo: ‘Vamos a ayudarlo a administrar los datos que nos confía para que pueda cumplir con todas esas regulaciones’.
Entonces, estamos viendo que los proveedores de la nube son un poco más proactivos, estamos viendo MSP [managed service providers] y MSSP [managed security service providers] trabajar con proveedores de la nube e integrar la seguridad con la nube para facilitar a las organizaciones la gestión de datos.
Adshead: ¿Qué impacto en el almacenamiento, y en la copia de seguridad en particular, implican estos cambios para las empresas?
Garganta: Una vez más, debemos volver a lo básico de que no puede proteger los datos si no sabe que tiene los datos y si no sabe dónde están esos datos o quién tiene acceso a ellos.
Está muy bien transferir parte del riesgo operativo en torno a los datos a un proveedor de la nube porque están mejor equipados para hacerlo, pero en última instancia, el riesgo permanece con usted.
Lo que debe hacer es mirar los contratos para asegurarse de que comprende el SLA. [service-level agreement] para recuperar sus datos, pero también debe observar los riesgos geopolíticos en este momento.
Quizás tengas algunos datos en un país que ya no es estable. Hemos visto el problema con Rusia y Ucrania. Hemos visto muchas organizaciones occidentales perdiendo datos e información en Rusia. Aunque es posible que tenga una copia de seguridad, el problema es que el gobierno ruso puede ver sus datos.
Sería recomendable que todos mapearan todos los diferentes proveedores de nube que tienen en todo el mundo, para comprender si necesitan un ejercicio de simulación sobre cómo salir del país desde una perspectiva de nube y luego transferir los datos y borrarlos, tanto como sea posible. es legalmente posible, desde aquellos países de los que está saliendo.
Los contratos son clave para comprender qué tipo de datos deben ir a qué nube. Y también, comprender los requisitos de seguridad, pero también las características de seguridad que provienen del proveedor de la nube para cada tipo de datos. Gran parte del mapeo y la clasificación de datos, y por supuesto la seguridad, es un viaje, no un destino, por lo que todo debe hacerse de manera continua.