Informática en nube: Evaluación de los riesgos en la nube

Antes de adoptar una plataforma informática en nube debe evaluar adecuadamente la tolerancia al riesgo de la organización.

Vic Winkler

Adaptado de "Asegurar la nube," publicado por Syngress, un sello editorial de Elsevier (2011)

¿Es seguro utilizar una nube pública? Esa es la pregunta prevaleciente sobre cloud computing. La respuesta completa, sin embargo, depende de una clara comprensión del nivel de la organización de la aceptación del riesgo. Comprender cuánto riesgo usted puede tolerar depende de evaluar sus requerimientos de seguridad y cómo valora sus activos de información como datos, aplicaciones y procesos.

Sólo cuando comprenda plenamente estas cuestiones, puede tomar una decisión sobre qué implementación modelos y modelos de prestación de servicio son apropiados para sus necesidades y la tolerancia al riesgo. Es importante identificar sus activos de información antes que adopta un modelo público o híbrido. Cualquier elección participarán al menos algún grado de control cedente sobre cómo esa información estará protegida y donde podría residir (ubicación/jurisdicción). Aumentó el control organizacional para una nube privada internamente alojado y operado internamente frente a otras combinaciones.

Y no olvide que la suma total de sus activos de información no está limitada a la información o datos. Sus aplicaciones y procesos pueden ser fácilmente como confidencial o propietaria como su información. En muchos ámbitos como inteligencia y finanzas, los algoritmos o programas que usas son a menudo privativo y altamente secreta a la organización. Su exposición puede constituir una pérdida dramática de la organización.

Evaluar su riesgo

Comenzar con un análisis de riesgo breve. Debe hacer las preguntas siguientes:

• Categorización de amenaza: ¿Lo que puede suceder a sus activos de información?
• Impacto de la amenaza: ¿Tan grave podría?
• Frecuencia de la amenaza: ¿Con qué frecuencia puede ocurrir?
• Factor de incertidumbre: ¿Cómo algunas son en respuesta a estas tres preguntas?

El tema central con riesgo es la incertidumbre expresada en términos de probabilidad. Lo que realmente quiere saber es qué hacer (contramedidas o mitigación de riesgo). Una vez que haya analizado y abordar los riesgos, usted puede solicitar varias preguntas:

• Mitigación: ¿Qué puede hacer para reducir el riesgo?
• Costo de mitigación: ¿Qué incurrir en mitigación de riesgo?
• Costos de reducción y beneficios: ¿Es rentable la mitigación?

Para ser claros, estas tres cuestiones son más retóricas para una nube pública que para una nube privada o híbrido. En una nube pública, obtienes lo que pagas. El proveedor de la nube es la parte responsable de responder a estas tres preguntas. Asimismo, estas preguntas son también menos relevantes para el Software como servicio (SaaS) que son para la plataforma como un servicio (FCA), pero más relevante aún para infraestructura como servicio (IaaS).

Riesgos y activos de información

El tema central con riesgo es la incertidumbre. Aplicar ese factor a su pregunta, debe examinar sus activos de información un poco más detalladamente. Identificar los activos de información puede ser difícil, especialmente con el "crear-a la vez, copia-menudo" aspecto de contenidos digitales.

La organización típica rara vez tiene suficiente control sobre su información. Suele ser mínima garantía de que no hay ninguna otra copia de cualquier dato dado. Desde el punto de vista de la protección de datos digitales, podría ser el peor aspecto. Mayoría de las organizaciones tiene muchos otros problemas de gestión de sus activos de información, sin embargo.

Cuando usted está considerando trasladar sus activos de información a la nube, necesita estar satisfechos con el proceso de categorización de las clases de información versus bits específicos de información. Lamentablemente, aquí, también hay generalmente un problema. Esto podría no ser tan malo si nuestros sistemas de computación aplican información etiquetado, pero normalmente no lo hacen. Información sobre la mayoría de los sistemas de etiquetado se basa en procesos reales de individuos que tienen una necesidad de saber y la limpieza adecuada para obtener información.

Esto es orgánicamente controlados a lo largo de las líneas de clasificación de la información y adicionales de manejo advertencias (como proyecto x solamente). Los controles apropiados son normalmente insuficientes para prevenir duplicación digital y una hemorragia de información prevista o imprevista.

Recordar la tríada de factores de seguridad (confidencialidad, integridad y disponibilidad), puede solicitar una serie de preguntas específicas acerca de la información de activos a lo largo de las líneas de lo que serían la consecuencia si:

• ¿Los activos de información fue expuesto?
• ¿Los activos de información fue modificado por una entidad externa?
• ¿Los activos de información fue manipulado?
• ¿Se convirtió en el activo de la información disponible?

Si estas preguntas plantean preocupaciones sobre riesgos inaceptables, puede abordar el problema global limitando sensibles al riesgo transformación a una nube privada (evitando la introducción de nuevos riesgos). Utilizar la nube pública de datos no confidenciales de riesgo. Adoptar una nube privada no obviar la necesidad de controles apropiados.

Con esto en mente, tal vez desee examinar los resultados de:

• Mezclando outsourcing en una nube pública para datos no sensibles y reservar los sistemas internos de datos confidenciales, podría obtener algunas ventajas de costo sin asumir nuevos riesgos.
• Cuando el uso de una nube privada no plantearía nuevos riesgos para sus activos de información, podría utilizar un híbrido o modelo nube pública.
• Conmutación de un tradicional modelo de procesamiento interno para un modelo de nube privada podría reducir el riesgo.

Estas son las instrucciones razonables que avanzar hacia la alineación de la importancia de nuestros activos de información hacia modelos de implementación y los modelos de servicio.

Problemas de confidencialidad y privacidad

Más allá de estos riesgos a los activos de información, podría procesar, almacenar o transmitir datos que ha sujetas a reglamentación y cumplimiento de normas. Cuando datos cae bajo reglamentación o restricciones de cumplimiento de normas, su elección de nube de implementación (si privadas, públicas o híbridas) bisagras de ser convencieron de que el proveedor es totalmente compatible. De lo contrario, se arriesga a violar la privacidad, reglamentación u otros requisitos legales.

Esta obligación para confirmar la administración segura de datos normalmente recae en el arrendatario o usuario. Las implicaciones para mantener la seguridad de la información son importantes a la hora de privacidad, el negocio y la seguridad nacional.

Privacidad violaciones ocurren con suficiente frecuencia dentro de las infraestructuras para que usted se preocupa de cualquier sistema de computación en nube — basados en cloud o tradicionales. Esto es especialmente cierto cuando se almacenar, procesar o transmitir información especialmente sensible como financieras o datos de salud.

En 2010, hubo exposiciones de información de privacidad de varias nubes que se produjeron con un número de servicios basados en cloud, incluyendo Facebook, Twitter Inc. y Google Inc. Por lo tanto, acerca de la privacidad con el modelo de la nube no es fundamentalmente nuevo.

Como inquilino nube con las obligaciones legales de privacidad, la manera en que manejas la privacidad de la información no va a ser diferente si usas nube o almacenamiento de información tradicional. Igual no almacenar esa información en un servidor que carece de controles adecuados, no seleccione ningún proveedor de nube sin verificar que cumplen los mismos parámetros para cómo protegen datos en reposo, en transmisión o mientras se procesa.

Eso no quiere para decir que su política razonablemente podría excluir cualquier proveedor externo gestionar dicha información para usted, nube incluido. Y si bien puede haber una percepción de que el equipo de escritorio es más seguro que uno que está en una nube pública, salvo que está tomando las precauciones técnicas y de procedimientos inusuales con su equipo de escritorio, es más propenso a ser uno con la seguridad más débil.

Gestión de datos

Debe reconocer que la seguridad de los datos confidenciales y su Gobierno son dos cuestiones distintas. Como parte de la debida diligencia, necesitará comprender plenamente la gestión de privacidad del proveedor junto con sus directrices y prácticas de seguridad.

Información personal está sujeta a las leyes de privacidad. Otras clases de información del negocio y cualquier cosa relacionada con la seguridad nacional está sujeto a las leyes y reglamentos más estrictos. Procesos y la información de seguridad nacional beneficiarán de un corpus fuerte y desarrollado de la ley, Reglamento y orientación.

Aunque la nube es un modelo relativamente nuevo, un examen estudiado de la Guía disponible debe ser amplio para restringir absolutamente cualquier información clasificada desde que residen en una nube pública. El área de interés probable se encuentra con otras funciones de Gobierno que no procesan datos sensibles o clasificados.

Baste decir, cuando se examina la posibilidad de uso de nubes públicas, hay muchas líneas distintas y separadas de los negocios del Gobierno nacional a las jurisdicciones locales. Dado el tamaño del Gobierno y el número de niveles y jurisdicciones, parece como si el propio Gobierno podría operar una serie de nubes de la comunidad para su uso exclusivo, así obtener los beneficios y evitar los problemas de convivencia en una nube pública.

Por otro lado, si el Gobierno es utilizar una nube pública, entonces ese servicio debe plenamente satisfacer a los intereses del inquilino y todas las normas y leyes. Es posible que un inquilino puede implementar controles adicionales de seguridad que cumplen con los requisitos legales o reglamentarios incluso cuando un IaaS pública subyacente o FCA no cumple los mismos requisitos.

Sin embargo, usted tiene que entender que la gama de controles adicionales que pueden agregarse por un inquilino son limitados y no puede superar muchos vacíos en algunos servicios de nube pública. Mantener el ojo en el balón cuando se trata de la seguridad es fundamental, cualquier modelo de nube elige o cualquiera que se adapte a sus necesidades organizativas.

Vic (J.R.) Winkler es un senior asociado en Booz Allen Hamilton, proporcionando asesoría técnica a Estados Unidos principalmente. clientes de Gobierno. Es una seguridad de la información publicada y investigador de seguridad cibernética, así como un experto en detección de intrusiones/anomalías.

© 2011 Elsevier Inc. Todos los derechos reservados. Impreso con permiso de Syngress, un sello editorial de Elsevier. Copyright 2011. "Asegurar la nube" por Vic (J.R.) Winkler. Para obtener más información sobre este título y otros libros similares, visite elsevierdirect.com.

Contenido relacionado

• Informática en nube: Diseñar la arquitectura de una nube de Microsoft privado
• Nube de seguridad: Compartirlo con seguridad soluciones
• Microsoft Forefront: Acceso seguro a sus servicios de Cloud