Recomendaciones para minimizar los riesgos de la nube
La adopción de cloud aporta beneficios en flexibilidad, escalabilidad y agilidad que ya pocos discuten, pero también introduce riesgos que hay que saber afrontar con prudencia para no poner en peligro el negocio.
A fin de minimizar tales riesgos, MetricStream ofrece las siguientes recomendaciones:
• Los responsables TI han de ser conscientes de que los proveedores de servicios en la nube son una extensión de su departamento TI interno. Y los mismos riesgos que se corren dentro lo sufren los proveedores fuera. La diferencia clave es que para los departamentos TI internos es más fácil validar, aplicar y administrar los controles necesarios para gestionar dichos riesgos.
• Elegir un proveedor cloud que pueda demostrar la validación de los controles que utiliza en cuanto a datos, accesibilidad, seguridad del centro de datos, encriptación de la información y certificación SSAE 16.
• Optar por una nube privada, o por una nube privada virtual, donde los sistemas son virtualmente separados entre sí a través de un entorno encriptado dentro de una nube pública.
• Analizar qué aplicaciones de las ya existentes son más apropiadas para la nube.
• Pedir al proveedor que disponga de un plan de recuperación de desastres. Una estrategia reversible interna ayudará además a pasar rápidamente a un modelo de servicio TI alternativo.
• Efectuar regularmente backups de activos cloud críticos y proteger los datos con encriptación fuerte.
• Exigir el envío de alertas de eventos de seguridad especialmente sobre activos de misión crítica.
• Realizar auditorías independientes de los proveedores de servicios para conseguir una mayor transparencia y comprobar el cumplimiento de las certificaciones clave de la industria como ISO 27001 y 27002, ISO 31000 y Payment Card Industry Data Security Standard (PCI DSS).
• Añadir medidas de seguridad adicionales como acceso de firma única (single sign-on) a múltiples aplicaciones en la nube y emplear además marcos de seguridad como ITIL o ITSM.
Fortaleciendo los procesos de gobernanza TI y estableciendo controles fiables, las empresas podrán conseguir ventajas realmente competitivas de las soluciones cloud. Los CIO y responsables TI deberían ver la cuestión desde la perspectiva de un análisis de controles más que como un análisis de riesgos en general.
