Hace pocos años era muy extraño escuchar el termino “Cloud Computing” o “Computación de Nube”, pero poco a poco se fueron introduciendo en el argot tecnológico, más aun desde la crisis económica que comenzó en el año 2009, donde gran parte de las organizaciones tuvieron que mudar sus servicios y aplicaciones a la nube.
Pero, las organizaciones al mudar sus centros de datos a la nube, también mudaron (muchos sin saberlo) los riesgos vulnerabilidades y amenazas, incluyendo un factor más a la ecuación, que es la responsabilidad que tiene nuestro proveedor.
Esta situación llamo la atención de un grupo de personas a finales del año 2008 y estos crearon la Cloud Security Alliance, esta es una organización si fines de lucro formada para promover el uso de las mejores practicas para garantizar la seguridad de la información dentro de la Computación de Nube. entre sus objetivos principales tenemos:
- Promover un nivel común de entendimiento entre los consumidores y los proveedores de la Computación de Nube, con respecto a los requisitos de seguridad.
- Promover la investigación independiente sobre las mejores practicas de seguridad en la Computación de Nube.
- Crear listas sobre temas para consenso y brindar orientación de seguridad en la Nube.
Guía para la Seguridad en Áreas Criticas de atención en Cloud Computing:
Este es un documento creado con la intención de orientar e inspirar a las personas y/o a las organizaciones en las nuevas oportunidades y retos de seguridad que trae la Computación de Nube.
La última versión del documento es la 2.1, la cual puede descargarse aquí, y como era de imaginarse esta en idioma ingles; aunque hay una versión resumida, denominada versión 2.0 la cual se puede descargar aquí, lo cual fue un trabajo de traducción por parte del ISMS Forum Spain, donde tratan los puntos más Importantes del documento original.
Pero, ¿Qué contiene esta guía?
Sección I – Arquitectura de la Nube
- Dominio 1 – Marco de la arquitectura de la Computación de Nube
Sección II – Gobierno de la Nube.
- Dominio 2 – Gobierno y gestión de riesgo de las empresas.
- Dominio 3 – Cuestiones legales y eDiscovery
- Dominio 4 – Cumplimiento normativo y auditoría
- Dominio 5 – Gestión del ciclo de vida de la información
- Dominio 6 – Portabilidad e interoperabilidad
Sección III – Nivel Operativo en la Nube
- Dominio 7 – Seguridad tradicional, continuidad del negocio y recuperación ante desastres
- Dominio 8 – Operaciones del centro de datos
- Dominio 9 – Respuesta ante incidentes, notificación y subsanación
- Dominio 10 – Seguridad de las aplicaciones
- Dominio 11 – Cifrado y gestión de claves
- Dominio 12 – Gestión de acceso e identidades
- Dominio 13 – Virtualización
En resumen, la Sección I describe (como su nombre lo indica) los aspecto de arquitectura tecnológica que definen la Computación de Nube; en la Sección II se cubre lo relacionado a la parte gobierno de tecnología de la información, enfocado a la Nube, esta sección es de gran utilidad para la generación de políticas de seguridad de la información en las organizaciones que empleen la Computación de Nube; y la Sección III indica un conjunto de buenas practicas desde el punto de vista operativo para la gestión de la Computación de Nube.
Para finalizar, quisiera recalcar que la CSA, aunque es conocida normalmente por este documento, la misma es mucho más que esto.
Mas información acá.
–
Carlos A. Solís S.
