Así en la tierra como en el cielo… Auditar La Nube

Cada día son más las compañías de todo tipo que trasladan sus servicios TI al Cloud, a “La Nube”.

El traslado puede representar muchas ventajas, pero no elimina la preocupación y responsabilidad debida que los administradores y personal técnico de soporte tiene sobre su funcionamiento.

Se puede trasladar la ubicación y prestación de servicios pero no se puede renunciar a la supervisión de los mismos.

Auditar la nube

Los datos son incontestables. Cualquier previsión sobre la tendencia de evolución de los servicios en Cloud tiene una marcada tendencia alcistas. Parece que sólo es cuestión de confirmar cual es el incremento real que se confirma. SAAS, Servicios.

Las ventajas de llevar los servicios TI a La Nube son muchas y evidentes. Las principales, los dineros. Los costes de propiedad y explotación de los servicios propios, “on premise”, son elevados en comparación con los costes que representa para las arcas de la compañía alojarlos en la infraestructura de un tercero, El Cloud.

Ni que decir tiene de la complejidad y dimensión de los departamentos de TI. Al trasladarlos, se reduce significativamente estas áreas, tanto en lo que se refiere a tamaño, como a organización.

Y todo ello, totalmente trasparente para el usuario que ni sabe ni le importa en donde está realmente su servidor de correo. Se entera, por el inevitable revuelo entre los informáticos cuando se materializa la transición de un modelo a otro.

Auditar la nube

Pero llevar la informática a la nube no tiene únicamente ventajas. Hay riesgos que asumir y responsabilidades que no se pueden delegar en el proveedor del servicio.

Asegurarse que los servicios se producen según lo contratado y verificar que la integridad, disponibilidad y confidencialidad se ajusta a lo que es requerido es ineludible en la gestión de las infraestructuras de TI, independientemente de quien sea el propietario de las mismas y/o quien las explota.

El traslado de sus infraestructuras de TI a la nube permite que las compañías se centren realmente en lo que les importa, que no es  otra cosa que el negocio. Reducen riesgos y ahorran en costes, lo que les permiten redirigir sus inversiones de explotación a la innovación para potenciar las actividades que le reportan beneficios.

Pero ¿podemos confiar las infraestructuras a un proveedor de servicio?

El estándar ISO 27018 establece una serie de requisitos con los que se pueda garantizar al cliente de los servicios en La Nube que los proveedores, aplican los controles de seguridad adecuados a la información que alojan.

Sí, siempre y cuando se haga lo posible por fiscalizar su actividad y resultado. Se puede confiar en el proveedor de servicios en primera instancia según la normativa y políticas que tenga aplicadas de uso interno y que comprometa con sus clientes.

No hay estándares específicos para el Cloud como los hay para las infraestructuras “On Premise”.  Sin embargo, los Acuerdos de Nivel de Servicio, SLA, y los estándares ya definidos y que se aplican en distintos sectores pueden servir para establecer acuerdos concretos entre proveedor de servicios cloud y cliente, que sirvan de referencia para establecer esa confianza.

El poder establecer un vínculo de confianza entre proveedor y cliente es la necesidad evidente que animó la definición y publicación en 2014 de la norma ISO 27018:2014 como el primer código  de buenas prácticas, de ámbito internacional, centrado en la protección de los datos personales alojados en almacenamiento público, como es La Nube.

Esta nueva norma toma como punto de referencia los controles definidos en la ISO 27002, que son aplicables a la información personalmente identificable, añadiendo otros controles adicionales que no son cubiertos por la norma 27002 y que en razón de las características del cloud computing se hacen necesarios.

Pero los datos sensibles no lo son todo en La Nube. Los datos sensibles son una cosa y los servicios otra.

Es posible que el proveedor de servicios en cloud ponga el mismo celo en la protección de datos como en la de los servicios. Pero también entra dentro de lo posible que ponga más énfasis en los datos, el activo más comprometido y mirado, que en la seguridad de los servicios. O, claro, que descuide tanto lo uno como lo otro.

Es decir, al transformar la infraestructura propia en Cloud Computing ¿El proveedor proporcionará la seguridad que se necesita en todos los aspectos de la infraestructura? Y, de ser así, como verificar que realmente se está aplicando.

Auditar la nube

Lo primero sólo es posible determinarlo con las cláusulas del contrato de servicio, SLA, en donde se pude ver el cual es el compromiso del proveedor de servicios son la seguridad de su cliente.Y la verificación del cumplimiento efectivo de esas cláusulas por parte del proveedor, habilitando herramientas de monitorización propias que registren la actividad sujeta a contrato.

No debe ser suficiente conformarse con la supervisión que proporcione el propio auditado, el proveedor.

Con la supervisión propia, además, debe servir para comprobar si los operadores del cliente también hacen las cosas como deben hacerse, tanto en lo que se refiere a la configuración como a la operación de los servicios.

Esta es una necesidad que los fabricantes de software y hardware de monitorización tienen en perspectiva y traducen en sus catálogos con herramientas que posibilitan la auditoria de su cloud computing de forma independiente a la monitorización que puede ofrecer el proveedor, casi siempre rigurosa y exacta, pero no siempre ajustada a lo que el cliente demanda.

Por ello, al decidir hacer la supervisión por cuenta propia, lo mejor, definir primero los servicios que deben ser objeto de monitorización, cuales son las necesidades de supervisión que son requeridas, para, finalmente,  buscar la herramienta que mejor se ajuste a estas, contando con ello con el asesoramiento de técnicos que tengan capacitación con las herramientas y experiencia en la monitorización de La Nube.

Sigue descubriendo:

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
¡Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *