La importancia de saber qué información subir a la nube

diciembre 20, 2012

share

Archived

Al igual que ocurre con otras tecnologías, el Cloud Computing no es inherentemente bueno ni malo, sino que depende del tipo de uso que hagamos del mismo. Es común escuchar en diversos ámbitos la pregunta “¿es seguro ir a la nube?”. La respuesta a esta pregunta podemos resumirla en una única palabra: Depende.

Las ventajas que la nube tiene asociadas a nivel corporativo son enormes, pero también lo son algunos de sus riesgos asociados. Por esta razón, al momento de definir si la organización contratará algún servicio en la nube, es fundamental conocer qué información de la compañía es necesaria para que dicho servicio funcione en forma adecuada y cuáles son las medidas de seguridad que debemos cumplir. Por ejemplo, si por cuestiones de negocio trabajamos con datos personales sensibles, los mismos deben almacenarse cifrados en función de los diversos requerimientos de Leyes y regulaciones aplicables. Por lo tanto, si vamos a llevar datos de este nivel a la nube, debemos asegurarnos que los mínimos controles exigidos se mantengan de la misma manera que se mantendrían dentro de la organización.

En un caso como este, una alternativa válida podría ser la migración a una nube privada, donde podamos tener más control sobre la ubicación de los datos y las medidas de seguridad que se apliquen a nuestra información. En este modelo la infraestructura puede estar dentro de la organización o fuera de ella, pero la administración de aplicaciones y servicios suelen estar a cargo de la propia organización. Para más información consultar la guía de Cloud Computing de la Cloud Security Alliance:  http://www.slideshare.net/cloudsa_arg/csa-recomendaciones-de-seguridad-en-cloud-computing-para-empresas

Modelo

Descripción

Nube Pública

Es aquel modelo de Nube en el cual la infraestructura y los recursos lógicos que forman parte del entorno se encuentran disponibles para el público en general o un amplio grupo de usuarios. Suele ser propiedad de un proveedor que gestiona la infraestructura y los servicios ofrecidos.Ejemplo: Servicio de GoogleApps.

Nube Privada

Es aquel modelo en el cual la infraestructura se gestiona únicamente por una organización. La administración de aplicaciones y servicios puede estar a cargo de la misma organización o de un tercero. La infraestructura asociada puede estar dentro de la organización o fuera de ella.Ejemplo: Cualquier servicio de nube propio de la organización o contratado a un proveedor pero cuyos recursos sean exclusivos para dicha organización.

Nube Comunitaria

Es aquel modelo donde la infraestructura es compartida por diversas organizaciones y su principal objetivo es soportar a una comunidad específica que posea un conjunto de preocupaciones similares (misión, requisitos de seguridad o de cumplimiento normativo, etc.). Al igual que la Nube Privada, puede ser gestionada por las organizaciones o bien por un tercero y la infraestructura puede estar en las instalaciones propias o fuera de ellas.Ejemplo: El servicio app.goc (www.apps.gov) del gobierno de EEUU, el cual provee servicios de cloud computing a las dependencias gubernamentales.

Nube Híbrida

Es aquel modelo donde se combinan dos o más tipos de Nubes (Pública, Privada o Comunitaria) que se mantienen como entidades separadas pero que están unidas por tecnologías estandarizadas o propietarias, que permiten la portabilidad de datos y aplicaciones.

El problema surge cuando no es posible identificar la información involucrada en cada servicio y menos aún, conocer su nivel de criticidad. Por lo tanto, podemos ver que al momento de definir la migración de un servicio a la nube, es necesario realizar un análisis donde identifiquemos los distintos niveles de criticidad de la información involucrada y los requisitos de seguridad que se deberían cumplir. Este proceso conoce como Clasificación de la Información.

Clasificación de la Información
El proceso permite a las organizaciones identificar la información utilizada por el negocio, conocer cuál es su impacto y su valor, y de esta manera establecer los controles de seguridad que permitan protegerla en forma adecuada.

Para llevar adelante este proceso es de vital importancia contar con la colaboración de las distintas áreas de negocio, ya que son sus miembros los que tienen el conocimiento de la información que utilizan diariamente, y nadie mejor que ellos para identificar qué datos son críticos para el normal desarrollo de las actividades de la compañía. Por esta razón, usualmente al responsable de cada unidad de negocio se lo denomina Dueño de Datos, quién es el encargado de identificar la información a su cargo como así también definir el nivel de sensibilidad de la misma.

A modo de resumen, a continuación mencionaremos cuales son los pasos que nos permitirán Clasificar la Información de nuestra compañía.
•    Identificar y formalizar a los Dueños de Datos.
•    Identificar la información utilizada por cada área de negocio.
•    Definir el valor y el nivel de sensibilidad de la información.
•    Definir los controles de seguridad necesarios para proteger la información en función de su nivel de sensibilidad.
•    Revisar la Clasificación de la Información en forma regular (anualmente).

Dado que este proceso brinda información muy valiosa para la compañía pero puede ser complejo en su desarrollo (dependiendo de su tamaño, cultura y otros factores), les recomendamos ampliar la información expuesta con estos documentos del NIST (National Institute of Standards and Technology). Si bien están orientados a cumplir con requerimientos establecidos por el gobierno de Estados Unidos, las recomendaciones planteadas son adaptables a cualquier organización:

•    FIPS PUB 199: Standards for Security Categorization for Federal Information and Information Systems
•    FIPS PUB 200: Minimum Security Requirements for Federal Information and Information Systems