Primeras consideraciones antes de migrar a la nube
Modelos de servicio SPI (Software, Plataforma e Infraestructura).
Las siglas SPI, se refiere al Software como Servicio (SaaS), Plataforma como Servicio (PaaS) y a Infraestructura como Servicio (IaaS).
Activos para el despliegue en la nube.
De manera pragmática, existen dos tipos de activos que se pueden migrar a la Cloud:
- Datos.
- Aplicaciones / Funciones / Procesos.
Evaluación de Activos
- El primer paso en la evaluación de riesgos para la nube es determinar exactamente qué datos o función está siendo considerada para migrar a la nube. Esto debe incluir los probables usos de los activos una vez que se muevan a la nube para poder evaluar posibles cambios en las necesidades reales del alcance. Los volúmenes de datos y transacciones pueden resultar más altos de lo esperado.
Evaluar el Activo.
- El siguiente paso es determinar la importancia de los datos o la función para la organización. No es necesario llevar a cabo un ejercicio de valoración detallada a menos que la organización cuente con un proceso para esto, pero sí es necesario, al menos, una evaluación aproximada de lo sensible que es un activo, y cuán importante es una función o proceso.
A continuación se muestra una matriz para la evaluación de los activos:
MATRIZ DE EVALUACIÓN DE ACTIVOS |
Nombre del Activo. |
IMPACTO |
Alto |
Medio |
Bajo |
¿Cómo afectaría a la empresa si el activo se hiciera ampliamente público y ampliamente distribuido? |
|
|
|
¿Cómo afectaría a la empresa si un empleado de nuestro proveedor de la nube accede al activo? |
|
|
|
¿Cómo afectaría a la empresa si el proceso o función fueran manipulados por una persona ajena? |
|
|
|
¿Cómo afectaría a la empresa si el proceso o función no proporcionara los resultados esperados? |
|
|
|
¿Cómo afectaría a la empresa si la información o datos se cambian de forma inesperada? |
|
|
|
¿Cómo afectaría a la empresa si el activo no estuviera disponible por un período de tiempo? |
|
|
|
Esencialmente se está evaluando la confidencialidad, integridad, disponibilidad y requisitos necesarios para el activo; así cómo cambios del riesgo en el activo, parcial o totalmente, recaen en la nube. Es muy similar a la evaluación de un posible proyecto de externalización, excepto que con el cloud computing tenemos una gama más amplia de opciones de implementación, incluyendo los modelos internos.
Mapeo del Activo a los posibles modelos de implementación de la nube
Ahora se debe tener una comprensión de la importancia del activo. El siguiente paso es determinar qué modelos de despliegue son más adecuados. Antes de comenzar a estudiar los posibles proveedores, se debe saber si se puede aceptar los riesgos implícitos de los distintos modelos de implementación, a saber: privado, público, comunitario, o híbrido; asimismo, escenarios de alojamiento: internos, externos, o combinados.
Modelos y evaluación de los posibles proveedores de servicios cloud.
En este paso se centra el grado de control que tendrá en cada nivel SPI para implementar cualquier gestión de riesgos requerida. Si se está evaluando una oferta específica, en este momento es posible cambiar a una evaluación del riesgo más completa, en caso de ser necesario.
La atención se debe centrar en el grado de control que se requiere poner en práctica y las medidas de mitigación del riesgo en los diferentes niveles de SPI. Si ya se cuenta con los requisitos específicos (por ejemplo, para el tratamiento de los datos regulados) pueden incluirse en la evaluación.
Mapeo del flujo teórico de los datos
Si se está evaluando una opción de implementación específica, se debe trazar el flujo de datos entre su organización, el servicio en la nube, y todos los clientes u otros nodos. Mientras que la mayoría de estas medidas han sido de alto nivel, antes de tomar una decisión final, es absolutamente esencial entender si los datos pueden moverse dentro y fuera de la nube y cómo.
Si todavía se tiene que decidir sobre una oferta particular, se querrá esbozar el flujo de datos en bruto, de las opciones aceptables de la lista. Esto es para asegurar que en la medida de lo posible se van tomando las decisiones finales adecuadamente, y que se han identificado los puntos de exposición al riesgo.
Conclusiones
Se debe entender ahora la importancia de lo que se está pensando en mudar a la nube, su tolerancia al riesgo (al menos en un nivel alto), y qué combinaciones de modelos de despliegue y de servicios son aceptables. También se debe tener una buena idea de los posibles puntos de exposición de información y operaciones sensibles.
Estas ideas deben servir para dar suficiente contexto en la evaluación para otros controles de seguridad. Para los activos de poco valor que no es necesario el mismo nivel de los controles de seguridad se pueden saltar muchas de las recomendaciones - tales como inspecciones in situ, de descubrimiento, y esquemas de cifrado complejos. Un activo regulado de alto valor podría implicar requisitos de auditoría y de retención de datos. Para otros activos no sujetos a restricciones reguladoras y que no son de alto valor, se podrá centrar más en controles de seguridad de índole técnico. |
