Red de información TI para profesionales ITMedia NetWork

lunes, 25 de mayo de 2020
Actualizado a las 0:19


Búsqueda avanzada

Publicidad

Publicidad

Análisis

INCIBE recomienda hacerse 12 preguntas de seguridad antes de firmar un contrato cloud

06 Marzo 2016por Redacción

Desde la nube «llueven» atractivos servicios: almacenamiento, backup, aplicaciones de oficina, servidores de correo, alojamiento web, gestión de contactos... Con esta oferta irresistible, generalmente en modalidades de pago por uso, las pymes valoran las ventajas que supone para sus economías el poder evitar importantes inversiones en hardware, software y personal técnico propio. Sin embargo, no todo lo que reluce es oro.

Por si fuera poco todo lo anterior, los servicios en la nube aportan interesantes oportunidades para el trabajo colaborativo y ubicuo, ofreciendo también mejoras en la seguridad si los comparamos con la opciones tradicionales, aunque no estén exentos de riesgos.

Unos riesgos que ha valorado el Instituto Nacional de Ciberseguridad (INCIBE) con dos cuestiones clave para las que es preciso encontrar respuesta antes de contratar: ¿Cómo podemos distinguir entre las distintas opciones del mercado las más seguras? ¿Qué aspectos de seguridad del cloud debemos considerar antes de contratar?

Más en detalle, la Guía de seguridad en cloud para pymes de la Agencia Europea de Seguridad (ENISA) propone estas doce preguntas que debemos plantear al proveedor:

  1. Para el servicio que quiero contratar, ¿Cómo gestiona el proveedor los riesgos de seguridad de la información? - Como clientes tendremos que tener una idea de la eficacia de la gestión de la seguridad del proveedor. Una buena respuesta tendría, entre otros aspectos, un punto de contacto para incidentes de seguridad, la política de seguridad del proveedor y sus dependencias con terceros, si a su vez externalizan; los informes de auditoría o sus certificaciones, como la ISO27001, que incluyan el servicio en el alcance; informes de cumplimiento o adherencia a estándares de buenas prácticas.
  2. ¿Qué tareas de seguridad hace el proveedor?, ¿qué tipo de incidentes de seguridad son mitigados por él? y ¿cuáles permanecen bajo nuestra responsabilidad? - Cada servicio cloud es diferente, como señala la «Guía para empresas: Seguridad y Privacidad del Cloud Computing» de INCIBE, y también lo será el reparto de responsabilidades y obligaciones en cuanto a la seguridad. Pero en el contrato o en los acuerdos de nivel de servicio (SLA) se deben especificar los activos cuya seguridad vigilará el proveedor y los que vigilaremos nosotros; las tareas de seguridad, parcheado, actualización, etc; que realizará el proveedor y las que realizaremos nosotros; una clasificación de incidentes con sus objetivos de tiempos de respuesta o recuperación; y las obligaciones contractuales, por ejemplo compensaciones económicas por pérdidas, etc.
  3. ¿Cómo maneja el proveedor los desastres que afecten a los centros de datos o a las conexiones? ¿De qué datos se hace backup y dónde? - En el caso que un terremoto, tormenta eléctrica o inundación afecten al proveedor tendremos que saber en qué medida el servicio cloud que contratamos permanecerá activo, y cómo y dónde se hacen las copias de seguridad. Para ello tendremos que poder revisar: los planes de recuperación ante desastres y continuidad de negocio del proveedor, los mecanismos de backup, tolerancia a fallos y tiempos de recuperación; y si tienen redundancia sus centros de datos.
  4. ¿Cómo se garantiza la seguridad del servicio cloud en lo que concierne a disputas administrativas y aspectos legales? - Si el proveedor tuviera algún problema administrativo o legal, interno o con terceros, como clientes querremos saber qué ocurrirá con nuestros datos y con la continuidad del servicio. Debemos comprobar que, aún en estos casos, el servicio está garantizado. En los SLA o las cláusulas del contrato se incluirán las que nos garanticen el acceso a los datos y a las copias de seguridad en estos casos.
  5. ¿Nos garantiza que su personal trabaja con medidas de seguridad? - Si vamos a depositar nuestros datos en sus manos tendremos que comprobar que son responsables. Algunas de las formas que tiene el proveedor de demostrar esto es a través de certificados profesionales; con políticas de incorporación y formación de empleados y mediante ataques simulados a sus empleados con mecanismos de ingeniería social.
  6. ¿Cómo se protegen nuestros procesos y datos de los accesos lógicos y físicos no autorizados? - Dado que nuestros datos y procesos estarán en las instalaciones de nuestro proveedor,  debería mostrarnos las medidas de control de acceso físico y lógico (roles, privilegios,…) que tiene implantados; los mecanismos de autenticación en uso;su cumplimiento con criterios de buenas prácticas.
  7. ¿Cómo asegura la seguridad del software? y ¿qué software permanece bajo nuestra responsabilidad? - Como clientes tendremos que conocer cómo el proveedor garantiza la seguridad del software, en particular solicitaremos informes de escaneos de vulnerabilidades; procedimientos de parcheado y actualización y auditorías externas del software.
  8. ¿Cómo se protege el acceso a los interfaces de usuario y de programación de aplicaciones? y ¿existen medidas adicionales para los perfiles con privilegios y administradores? - Para acceder a los servicios cloud el cliente -y los administradores- utilizan interfaces web. La protección de estos interfaces es clave pues a través de ellos se puede llegar a nuestros datos y procesos. En este caso el proveedor debe proporcionarnos los detalles técnicos de los interfaces y sus protecciones, como métodos de autenticación, restricciones de acceso y privilegios.
  9. ¿Cómo podemosmonitorizar el servicio, qué registros de actividad (logs) se toman y cómo podemos obtenerlos cuando necesitemos analizar un incidente? - Desde nuestras instalaciones tendremos que poder acceder a cuadros de mandos en los que monitorizar el rendimiento, las alertas y todo lo relativo a la seguridad del servicio. Igualmente en los SLA se podrá incluir una cláusula para poder recuperar los logs en caso de incidente, de manera que podamos saber qué ocurrió y depurar responsabilidades.
  10. ¿Es el servicio cloud portable e interoperable? - Como nada es para siempre y ante la posibilidad de tener que migrar, en el futuro, a otro proveedor o si quisiéramos integrar el servicio con otras aplicaciones, el proveedor del servicio cloud debería proporcionarnos los detalles técnicos del software instalado los interfaces, formatos de datos, máquinas virtuales y formatos de exportación de datos.
  11. ¿Cómo se gestionan picos de uso y cuáles son los costes asociados? - La elasticidad del uso de los recursos es la base de los servicios cloud en los que se paga por uso. Como clientes querremos saber cómo se va a gestionar los aumentos de demanda (disponibilidad) y cuánto van a costarnos. Los SLA deben incluir cláusulas que lo definan, escenarios y forma de calcular los costes; y podremos solicitar datos del rendimiento de estos mecanismos.
  12. ¿Qué legislación nacional aplica? - Los proveedores cloud trabajan desde centros de datos fuera de nuestras fronteras, lo que pueden ocasionar fricciones entre legislaciones nacionales. Un ejemplo reciente es lo ocurrido con el puerto seguro en materia de protección de datos personales. Como clientes debemos asegurarnos de qué legislación aplica en cada caso y, para ello, solicitaremos esta información al proveedor, en particular si recabamos datos personales de nuestros usuarios, tratamos con productos con propiedad intelectual y si realizamos actividades de comercio electrónico.

A pesar de que los proveedores cloud cada vez ofrecen más información sobre la seguridad de sus servicios, es necesario como clientes entender también cuáles son nuestras oportunidades y riesgos cuando contratamos servicios en la nube.

Por su parte la Comisión Europea intenta eliminar las barreras existentes en el marco de la estrategia europea de cloud computing, con el objetivo de que las pymes adopten el cloud aprovechando las ventajas que ofrece, pero con seguridad. Más información en www.incibe.es

ShareThis

Publicidad

Publicidad

Publicidad

Opinión

Werner Vogels, CTO de Amazon y de AWS

Amazon supera los grandes desafíos del Big Data con Galaxy, el data lake de su red logística

En 2019, Amazon decidió crear Galaxy, un data lake capaz de dar soporte a toda su red logística, una de las mayores del planeta. Werner Vogels, CTO de Amazon.com, nos revela los retos de aplicar el Big Data en las empresas y lo que resuelve el aplicar un lago de datos, similares a los que se enfrenta la propia Amazon

Soluciones

Seresco participa en el proyecto CIP - Olive para el cultivo eficiente de olivares en Egipto

Seresco participa, junto a empresas españolas y de Egipto, en el proyecto CIP - Olive de agricultura de precisión, financiado por el CDTI y el ITIDA egipcio, que contempla el desarrollo de un sistema integrado de IoT basado en la nube y que permitirá controlar los principales problemas que se presentan en los olivares, como son plagas e infecciones

techWEEK info

TechWEEK forma parte de la red de información TI para profesionales de IDG Communications.


Sitios especializados de ITMedia NetWork: IT CIO.es, IT PYMES.es, IT SEGURIDAD.es, Strategic Partner, NUEVAempresa.com.

ITMedia NetWork. © 2006 - 2020 Information Technology & Media S.A. (CIF A-84950211). Todos los derechos reservados.

Envío de artículos por email de techWEEK.es

Por favor, introduzca la siguiente información











Cerrar

Envío de artículos por email de techWEEK.es

Procesando envíos...

Envío de artículos por email de techWEEK.es

Email enviado. Cerrar

Envío de artículos por email de techWEEK.es

Error en el envio. Pulse aqui para cerrar.Cerrar