La importancia de saber qué información subir a la nube

diciembre 20, 2012

share

Archived

Al igual que ocurre con otras tecnolog√≠as, el Cloud Computing no es inherentemente bueno ni malo, sino que depende del tipo de uso que hagamos del mismo. Es com√ļn escuchar en diversos √°mbitos la pregunta ‚Äú¬Ņes seguro ir a la nube?‚ÄĚ. La respuesta a esta pregunta podemos resumirla en una √ļnica palabra: Depende.

Las ventajas que la nube tiene asociadas a nivel corporativo son enormes, pero tambi√©n lo son algunos de sus riesgos asociados. Por esta raz√≥n, al momento de definir si la organizaci√≥n contratar√° alg√ļn servicio en la nube, es fundamental conocer qu√© informaci√≥n de la compa√Ī√≠a es necesaria para que dicho servicio funcione en forma adecuada y cu√°les son las medidas de seguridad que debemos cumplir. Por ejemplo, si por cuestiones de negocio trabajamos con datos personales sensibles, los mismos deben almacenarse cifrados en funci√≥n de los diversos requerimientos de Leyes y regulaciones aplicables. Por lo tanto, si vamos a llevar datos de este nivel a la nube, debemos asegurarnos que los m√≠nimos controles exigidos se mantengan de la misma manera que se mantendr√≠an dentro de la organizaci√≥n.

En un caso como este, una alternativa válida podría ser la migración a una nube privada, donde podamos tener más control sobre la ubicación de los datos y las medidas de seguridad que se apliquen a nuestra información. En este modelo la infraestructura puede estar dentro de la organización o fuera de ella, pero la administración de aplicaciones y servicios suelen estar a cargo de la propia organización. Para más información consultar la guía de Cloud Computing de la Cloud Security Alliance:  http://www.slideshare.net/cloudsa_arg/csa-recomendaciones-de-seguridad-en-cloud-computing-para-empresas

Modelo

Descripción

Nube P√ļblica

Es aquel modelo de Nube en el cual la infraestructura y los recursos l√≥gicos que forman parte del entorno se encuentran disponibles para el p√ļblico en general o un amplio grupo de usuarios. Suele ser propiedad de un proveedor que gestiona la infraestructura y los servicios ofrecidos.Ejemplo: Servicio de GoogleApps.

Nube Privada

Es aquel modelo en el cual la infraestructura se gestiona √ļnicamente por una organizaci√≥n. La administraci√≥n de aplicaciones y servicios puede estar a cargo de la misma organizaci√≥n o de un tercero. La infraestructura asociada puede estar dentro de la organizaci√≥n o fuera de ella.Ejemplo: Cualquier servicio de nube propio de la organizaci√≥n o contratado a un proveedor pero cuyos recursos sean exclusivos para dicha organizaci√≥n.

Nube Comunitaria

Es aquel modelo donde la infraestructura es compartida por diversas organizaciones y su principal objetivo es soportar a una comunidad específica que posea un conjunto de preocupaciones similares (misión, requisitos de seguridad o de cumplimiento normativo, etc.). Al igual que la Nube Privada, puede ser gestionada por las organizaciones o bien por un tercero y la infraestructura puede estar en las instalaciones propias o fuera de ellas.Ejemplo: El servicio app.goc (www.apps.gov) del gobierno de EEUU, el cual provee servicios de cloud computing a las dependencias gubernamentales.

Nube Híbrida

Es aquel modelo donde se combinan dos o m√°s tipos de Nubes (P√ļblica, Privada o Comunitaria) que se mantienen como entidades separadas pero que est√°n unidas por tecnolog√≠as estandarizadas o propietarias, que permiten la portabilidad de datos y aplicaciones.

El problema surge cuando no es posible identificar la informaci√≥n involucrada en cada servicio y menos a√ļn, conocer su nivel de criticidad. Por lo tanto, podemos ver que al momento de definir la migraci√≥n de un servicio a la nube, es necesario realizar un an√°lisis donde identifiquemos los distintos niveles de criticidad de la informaci√≥n involucrada y los requisitos de seguridad que se deber√≠an cumplir. Este proceso conoce como Clasificaci√≥n de la Informaci√≥n.

Clasificación de la Información
El proceso permite a las organizaciones identificar la información utilizada por el negocio, conocer cuál es su impacto y su valor, y de esta manera establecer los controles de seguridad que permitan protegerla en forma adecuada.

Para llevar adelante este proceso es de vital importancia contar con la colaboraci√≥n de las distintas √°reas de negocio, ya que son sus miembros los que tienen el conocimiento de la informaci√≥n que utilizan diariamente, y nadie mejor que ellos para identificar qu√© datos son cr√≠ticos para el normal desarrollo de las actividades de la compa√Ī√≠a. Por esta raz√≥n, usualmente al responsable de cada unidad de negocio se lo denomina Due√Īo de Datos, qui√©n es el encargado de identificar la informaci√≥n a su cargo como as√≠ tambi√©n definir el nivel de sensibilidad de la misma.

A modo de resumen, a continuaci√≥n mencionaremos cuales son los pasos que nos permitir√°n Clasificar la Informaci√≥n de nuestra compa√Ī√≠a.
‚Äʬ†¬† ¬†Identificar y formalizar a los Due√Īos de Datos.
‚Äʬ†¬† ¬†Identificar la informaci√≥n utilizada por cada √°rea de negocio.
‚Äʬ†¬† ¬†Definir el valor y el nivel de sensibilidad de la informaci√≥n.
‚Äʬ†¬† ¬†Definir los controles de seguridad necesarios para proteger la informaci√≥n en funci√≥n de su nivel de sensibilidad.
‚Äʬ†¬† ¬†Revisar la Clasificaci√≥n de la Informaci√≥n en forma regular (anualmente).

Dado que este proceso brinda informaci√≥n muy valiosa para la compa√Ī√≠a pero puede ser complejo en su desarrollo (dependiendo de su tama√Īo, cultura y otros factores), les recomendamos ampliar la informaci√≥n expuesta con estos documentos del NIST (National Institute of Standards and Technology). Si bien est√°n orientados a cumplir con requerimientos establecidos por el gobierno de Estados Unidos, las recomendaciones planteadas son adaptables a cualquier organizaci√≥n:

‚Äʬ†¬† ¬†FIPS PUB 199: Standards for Security Categorization for Federal Information and Information Systems
‚Äʬ†¬† ¬†FIPS PUB 200: Minimum Security Requirements for Federal Information and Information Systems