Krypton Solid

La última tecnología en raciones de 5 minutos

Aborde los problemas de seguridad de su cliente con la computación en la nube en 10 pasos

Como proveedor de soluciones de seguridad, tiene una fila particularmente difícil que resolver con respecto a la protección de los datos de su cliente en un entorno de computación en la nube.

Las capacidades y la ubicuidad de la nube han avanzado mucho, pero ¿se han mantenido al día las capacidades y los protocolos de seguridad? Desafortunadamente, en muchos casos, la respuesta es no. Si va a ayudar a un cliente a mudarse a una nube pública, o si se le solicita que lo brinde después del hecho, hay muchos problemas de seguridad de la computación en la nube que debe considerar, y eso es lo que cubriremos en este consejo.

Problemas de seguridad con la computación en la nube
Muchas empresas que desarrollan y ofrecen productos y servicios de computación en la nube no han considerado adecuadamente las implicaciones de procesar, almacenar y acceder a los datos en un entorno compartido y virtualizado. De hecho, muchos desarrolladores de aplicaciones basadas en la nube luchan por incluir la seguridad, incluso como una ocurrencia tardía. En otros casos, los desarrolladores simplemente no pueden proporcionar seguridad real con capacidades tecnológicas asequibles actualmente.

Al mismo tiempo, muchos proveedores de soluciones que ayudan a un cliente a migrar a una solución en la nube no dedican suficiente tiempo y esfuerzo a verificar la seguridad de la oferta en la nube. Esto puede deberse a que la razón principal del cliente para migrar a la nube es reducir costos. Por lo tanto, es posible que el proveedor de la solución obtenga pocas ganancias en la relación con la nube. Estos factores, y la realidad de que los proveedores de la nube a menudo hacen creer a sus clientes que hay pocas razones para preocuparse por la seguridad, hacen que su papel como proveedor de soluciones de seguridad sea aún más difícil.

El uso omnipresente de la nube es tan nuevo que el Instituto Nacional de Estándares en Tecnología (NIST), que tiene la tarea de redactar pautas para el uso adecuado de la tecnología, se encuentra solo en la etapa de lanzamiento preliminar con su guía de computación en la nube. En el borrador de las Directrices sobre seguridad y privacidad en la computación en la nube pública (800-144), publicado el 16 de mayo de 2011, está claro que incluso los miembros del NIST están legítimamente preocupados y son cautelosos acerca del rápido y aparentemente irrestricto movimiento hacia la computación en la nube. Como señala el documento, «Sin embargo, muchas de las características que hacen atractiva la computación en la nube también pueden estar en desacuerdo con los modelos y controles de seguridad tradicionales».

Tener un plan escrito sobre lo que hará el proveedor de la nube en un evento de seguridad, como una infracción, es un requisito de muchos estándares regulatorios y de muchos estados y el gobierno federal.

Incluso si uno pudiera mostrar un mínimo de ahorro de costos a corto plazo en la nube pública en comparación con las arquitecturas de las instalaciones del cliente, los riesgos (con algunas excepciones) desafían significativamente las ganancias potenciales. Existen obstáculos considerables para proteger los datos alojados y controlados por una entidad que no sea su propietario, y esto se amplifica con una nube pública, donde las comunicaciones, los recursos informáticos y de almacenamiento se comparten y los datos a menudo se combinan.

La diferencia entre proteger los datos en una nube pública y los datos en los propios sistemas de una organización cliente es como proteger al presidente en una multitud en las calles o en la Casa Blanca. Todavía tiene algo de protección en la calle, pero sin la capacidad de controlar completamente el medio ambiente, corre un riesgo mucho mayor. Cabe señalar que incluso con las recomendaciones que cubriremos a continuación, no existe la seguridad infalible en un entorno de nube pública.

10 pasos para superar los problemas de seguridad del cliente con la computación en la nube
Hay 10 pasos que los proveedores de soluciones de seguridad deben seguir al trasladar a los clientes a una solución de nube pública.

1. Contrate usted mismo con el proveedor de la nube, en nombre de su cliente.
Intente firmar un contrato con el proveedor de la nube usted mismo, en lugar de que el proveedor de la nube trate directamente con su cliente. Es posible que esto no siempre sea posible, ya que algunos proveedores de nube, incluso aquellos que venden a través de socios de canal, solo firmarán un contrato con el cliente. Cuando lo hagan, es posible que su riesgo no valga la pena. Si algo sale mal en esa nube, su cliente podría perseguirlo por recomendar el proveedor de la nube en primer lugar. Además, aunque los proveedores de la nube que contraten directamente con el cliente pagarán un margen al revendedor que les trajo el cliente, estos márgenes pueden disminuir con el tiempo a medida que el proveedor de la nube asume el control del cliente.

2. Tener las medidas de seguridad del proveedor de la nube escritas en el contrato.
Tómese el tiempo para investigar a fondo cómo el proveedor de la nube protege sus sistemas. Esto significa obtener garantías del proveedor de la nube por escrito en el contrato. También puede requerir un informe de auditoría independiente y / o verificación de certificación. Las garantías escritas deben incluir aplicaciones, infraestructura y configuraciones. Si no puede obtener la verificación porque el proveedor de la nube no comparte la información o no la tiene disponible, corra rápido hasta la salida más cercana.

3. Observe de cerca los antecedentes de los empleados y contratistas.
Averigüe si todos los empleados o contratistas del proveedor de la nube que podrían tener acceso a los sistemas del proveedor de la nube están completamente examinados por sus antecedentes penales, han sido sometidos a pruebas de detección de drogas y tienen las habilidades necesarias para los roles que desempeñarán. Haga que estos detalles se agreguen al contrato.

4. Descubra quién controlará los datos de su cliente.
Pídale al proveedor de la nube que detalle quién tendrá acceso a los datos y por qué y cuándo lo están accediendo. ¿Porque es esto importante? Bueno, por ejemplo, Google tenía un ingeniero de seguridad, David Barksdale, que se descubrió que había estado espiando las actividades de los adolescentes, incluida la lectura de correos electrónicos y la escucha de llamadas de Google Voice antes de ir a reunirse con ellos en lugares públicos. Cuando se les preguntó si habían estado monitoreando esta actividad, la respuesta de Google fue: “Monitoreamos según sea necesario. Estamos aumentando la cantidad de seguimiento que hacemos «.

5. Tenga un plan para eventos de seguridad.
Asegúrese de que el contrato del proveedor de la nube brinde detalles precisos sobre los compromisos de cumplimiento y la solución de infracciones y la contingencia de informes. El contrato debe predecir y describir, en la mejor medida posible, qué responsabilidad promete el proveedor de la nube (y usted) y qué acciones tomará el proveedor de la nube (y usted) durante y después de los eventos de seguridad. De hecho, muchos estándares regulatorios y muchos estados y el gobierno federal exigen tener un plan escrito sobre lo que hará el proveedor de la nube en un evento de seguridad, como una infracción.

6. Verifique los controles de acceso que utiliza el proveedor de la nube.
Del mismo modo que implementaría controles de acceso para los propios sistemas de su cliente, el proveedor de la nube debe describir e implementar los controles que tiene para garantizar que solo los usuarios autorizados puedan acceder a los datos de su cliente. Esté especialmente atento si su cliente debe cumplir con las obligaciones reglamentarias; Los datos de alojamiento en otro lugar que no sea el local del cliente no exime al cliente ni a usted de responsabilidad legal.

7. Mantenga el control de los dispositivos de acceso de su cliente.
Asegúrese de que los dispositivos de acceso del cliente, como PC, terminales virtuales y teléfonos móviles, sean seguros. La pérdida de un dispositivo de acceso de punto final o el acceso al dispositivo por parte de un usuario no autorizado puede anular incluso los mejores protocolos de seguridad en la nube. Asegúrese de que los dispositivos del cliente informático se administren correctamente, estén protegidos contra malware y admitan funciones de autenticación avanzadas. Si aún no lo ha hecho, trabaje con su cliente para establecer «procedimientos operativos estándar» predefinidos para remediar un evento de seguridad que implique la pérdida o el robo de un dispositivo que está configurado para acceder a los recursos de la nube.

8. Observe el estado financiero del proveedor de la nube.
Obtenga una garantía por escrito sobre la situación financiera de la organización en la nube. Tenga cuidado con una brecha de seguridad que podría ser causada por un proveedor de nube (que usted recomendó) que se apaga repentinamente y desaparece en la noche. De hecho, un departamento de policía local sufrió exactamente este problema con un proveedor de servicios en la nube cuando la empresa de alojamiento web del proveedor cerró y literalmente desapareció sin previo aviso. (Afortunadamente, este incidente solo implicó la pérdida de un sitio web y una base de datos de blogs, y no registros privados o datos críticos de casos penales).

9. Especifique cómo se devolverán los datos.
Obtenga detalles escritos en el contrato que describan cómo los datos de su cliente pueden y serán devueltos de forma segura al cliente en caso de una cancelación de los servicios. Por ejemplo, actualmente estoy trabajando con un cliente que acudió a mí porque estaba siendo rehén de un proveedor de la nube que no reaccionaba correctamente a la solicitud del cliente de sus datos. El cliente debe informar su cumplimiento, pero el proveedor de la nube no compartirá diagramas u otra información, ni proporcionará registros de auditoría. El proveedor admite que la totalidad de los datos del cliente está en una red común compartida, con unidades y aplicaciones compartidas en una configuración de múltiples inquilinos. Este cliente ahora está en peligro de ser golpeado con multas y sanciones importantes.

10. No se olvide de la eliminación de datos.
Verifique la eliminación adecuada de datos de dispositivos compartidos o reutilizados. Muchos proveedores no proporcionan la desmagnetización adecuada de los datos de las unidades cada vez que se abandona el espacio de la unidad. Insista en un proceso de eliminación seguro y haga que ese proceso esté escrito en el contrato.

Los resultados de estos 10 pasos deben escribirse en el contrato del proveedor de la nube (si aún no están en el contrato estándar). No confíe en folletos u hojas de datos del proveedor de la nube, ni en las conversaciones verbales que tenga con el proveedor de la nube. Al final del día, será el contrato el que regule si algo sale mal y usted se encuentra ante un tribunal defendiendo su decisión de utilizar un proveedor de nube en particular. El contrato es la mejor protección para usted y su cliente.

Como asesor de seguridad de confianza de un cliente que utiliza una solución en la nube, es probable que se le considere culpable cuando se produzca una infracción. Debe recordar que su cliente y, por asociación, usted sigue siendo responsable en lo que respecta a la seguridad y la violación. Al seguir estos 10 pasos para abordar los problemas de seguridad de la computación en la nube, usted y su cliente tendrán la tranquilidad de saber que han hecho lo que es prudente para garantizar la seguridad de su cliente en la nube.

Sobre el Autor:
Kevin B. McDonald es Vicepresidente Ejecutivo y Director de Prácticas de Cumplimiento en Alvaka Networks, un sólido líder en Seguridad y Servicios de Red desde hace 27 años en Irvine, California. Es un consultor confiable de tecnología y seguridad y asesor de políticas públicas para algunas de las personas y organizaciones más influyentes de Estados Unidos. Se desempeña como asesor principal de empresas, legisladores estatales y federales, líderes policiales, juntas benéficas, profesionales de prevención de abusos y municipalidades. Es un presentador, panelista y comentarista solicitado. McDonald asesora sobre los problemas relacionados con la tecnología avanzada, la seguridad física y lógica, el cumplimiento normativo, el desarrollo organizacional y más.

McDonald es un experto en seguridad y privacidad de HIPAA y miembro del consejo asesor de CompTIA HIT. Es presidente del Consejo Asesor de Tecnología Comunitaria (CTAC) del Sheriff / Forense del Condado de Orange y miembro del Consorcio de Crímenes de Alta Tecnología. Ha escrito o sido entrevistado en decenas de publicaciones nacionales y regionales y es autor de la novela Prácticamente invisible.

Deja un comentario

También te puede interesar...

Comparando P / E por adelantado con P / E final

P/E por adelantado vs. P / E final: una descripción general Si se le pidiera a un inversionista que identificara la medida más popular del mercado de valores, además del precio, lo más probable es

Via finalmente lanza un nuevo Nano procesador

Temprano en la mañana Via Technologies ha anunciado finalmente que es el nuevo Nano procesador, más conocido por su nombre en clave, Isaías. Según la compañía, Nano ofrecerá un rendimiento de dos a tres veces

Definición de préstamo NINJA

¿Qué es un préstamo NINJA? Un préstamo NINJA es un término de argot para un préstamo otorgado a un prestatario con poco o ningún intento por parte del prestamista de verificar la capacidad de pago

Definición de Temasek Holdings

¿Qué es Temasek Holdings? Temasek Holdings es un fondo soberano de riqueza (SWF), una empresa estatal, que administra un fondo de inversión en nombre del gobierno de Singapur. Usando sus reservas federales, se enfoca en

5 acciones para una economía caliente

Existencias Antes P/E Rentabilidad por dividendo Materiales aplicados 8.9 2,1% BorgWarner 9.1 1,6% Oruga 11.8 2,3% KeyCorp 10.5 2,5% PARKER HANNIFIN, 14.9 1,6% Fuente: Yahoo Finance, 1 de octubre. A continuación hay más detalles sobre

La ley de la demanda

La ley de la demanda es uno de los principios más fundamentales de la microeconomía. Se trata de cómo el precio afecta la demanda. Según la ley de la demanda, para todo lo demás que

Definición del documento teaser

¿Qué es un documento teaser? Un documento teaser es un breve resumen de una oferta de acciones propuesta u otra inversión que se distribuye a los compradores potenciales antes de su publicación. Está diseñado para

SharePoint para ayudar a salvar el idioma aborigen

En resumen Con algunas lenguas aborígenes en peligro de extinción, la Asociación de Recursos Culturales Arwarbukarl (ACRA) ha adoptado Microsoft SharePoint y Access para ayudar a preservar un dialecto indígena. Basado en Access, ACRA ha