-
-
-
-
URL copied!
Al igual que ocurre con otras tecnologías, el Cloud Computing no es inherentemente bueno ni malo, sino que depende del tipo de uso que hagamos del mismo. Es común escuchar en diversos ámbitos la pregunta “¿es seguro ir a la nube?”. La respuesta a esta pregunta podemos resumirla en una única palabra: Depende.
Las ventajas que la nube tiene asociadas a nivel corporativo son enormes, pero también lo son algunos de sus riesgos asociados. Por esta razón, al momento de definir si la organización contratará algún servicio en la nube, es fundamental conocer qué información de la compañía es necesaria para que dicho servicio funcione en forma adecuada y cuáles son las medidas de seguridad que debemos cumplir. Por ejemplo, si por cuestiones de negocio trabajamos con datos personales sensibles, los mismos deben almacenarse cifrados en función de los diversos requerimientos de Leyes y regulaciones aplicables. Por lo tanto, si vamos a llevar datos de este nivel a la nube, debemos asegurarnos que los mínimos controles exigidos se mantengan de la misma manera que se mantendrían dentro de la organización.
En un caso como este, una alternativa válida podría ser la migración a una nube privada, donde podamos tener más control sobre la ubicación de los datos y las medidas de seguridad que se apliquen a nuestra información. En este modelo la infraestructura puede estar dentro de la organización o fuera de ella, pero la administración de aplicaciones y servicios suelen estar a cargo de la propia organización. Para más información consultar la guía de Cloud Computing de la Cloud Security Alliance: http://www.slideshare.net/cloudsa_arg/csa-recomendaciones-de-seguridad-en-cloud-computing-para-empresas
|
Modelo |
Descripción |
|
Nube Pública |
Es aquel modelo de Nube en el cual la infraestructura y los recursos lógicos que forman parte del entorno se encuentran disponibles para el público en general o un amplio grupo de usuarios. Suele ser propiedad de un proveedor que gestiona la infraestructura y los servicios ofrecidos.Ejemplo: Servicio de GoogleApps. |
|
Nube Privada |
Es aquel modelo en el cual la infraestructura se gestiona únicamente por una organización. La administración de aplicaciones y servicios puede estar a cargo de la misma organización o de un tercero. La infraestructura asociada puede estar dentro de la organización o fuera de ella.Ejemplo: Cualquier servicio de nube propio de la organización o contratado a un proveedor pero cuyos recursos sean exclusivos para dicha organización. |
|
Nube Comunitaria |
Es aquel modelo donde la infraestructura es compartida por diversas organizaciones y su principal objetivo es soportar a una comunidad específica que posea un conjunto de preocupaciones similares (misión, requisitos de seguridad o de cumplimiento normativo, etc.). Al igual que la Nube Privada, puede ser gestionada por las organizaciones o bien por un tercero y la infraestructura puede estar en las instalaciones propias o fuera de ellas.Ejemplo: El servicio app.goc (www.apps.gov) del gobierno de EEUU, el cual provee servicios de cloud computing a las dependencias gubernamentales. |
|
Nube Híbrida |
Es aquel modelo donde se combinan dos o más tipos de Nubes (Pública, Privada o Comunitaria) que se mantienen como entidades separadas pero que están unidas por tecnologías estandarizadas o propietarias, que permiten la portabilidad de datos y aplicaciones. |
El problema surge cuando no es posible identificar la información involucrada en cada servicio y menos aún, conocer su nivel de criticidad. Por lo tanto, podemos ver que al momento de definir la migración de un servicio a la nube, es necesario realizar un análisis donde identifiquemos los distintos niveles de criticidad de la información involucrada y los requisitos de seguridad que se deberían cumplir. Este proceso conoce como Clasificación de la Información.
Clasificación de la Información
El proceso permite a las organizaciones identificar la información utilizada por el negocio, conocer cuál es su impacto y su valor, y de esta manera establecer los controles de seguridad que permitan protegerla en forma adecuada.
Para llevar adelante este proceso es de vital importancia contar con la colaboración de las distintas áreas de negocio, ya que son sus miembros los que tienen el conocimiento de la información que utilizan diariamente, y nadie mejor que ellos para identificar qué datos son críticos para el normal desarrollo de las actividades de la compañía. Por esta razón, usualmente al responsable de cada unidad de negocio se lo denomina Dueño de Datos, quién es el encargado de identificar la información a su cargo como así también definir el nivel de sensibilidad de la misma.
A modo de resumen, a continuación mencionaremos cuales son los pasos que nos permitirán Clasificar la Información de nuestra compañía.
• Identificar y formalizar a los Dueños de Datos.
• Identificar la información utilizada por cada área de negocio.
• Definir el valor y el nivel de sensibilidad de la información.
• Definir los controles de seguridad necesarios para proteger la información en función de su nivel de sensibilidad.
• Revisar la Clasificación de la Información en forma regular (anualmente).
Dado que este proceso brinda información muy valiosa para la compañía pero puede ser complejo en su desarrollo (dependiendo de su tamaño, cultura y otros factores), les recomendamos ampliar la información expuesta con estos documentos del NIST (National Institute of Standards and Technology). Si bien están orientados a cumplir con requerimientos establecidos por el gobierno de Estados Unidos, las recomendaciones planteadas son adaptables a cualquier organización:
• FIPS PUB 199: Standards for Security Categorization for Federal Information and Information Systems
• FIPS PUB 200: Minimum Security Requirements for Federal Information and Information Systems
Top Insights
Escribiendo User Stories en Agile
AutomotiveCommunicationsConsumer and RetailFinancial ServicesHealthcareManufacturing and IndustrialMediaTechnology
What is TM Forum Frameworx and how to...
UncategorizedAutomotiveCommunicationsConsumer and RetailFinancial ServicesHealthcareManufacturing and IndustrialMediaTechnology
Impact Mapping en Metodologías ágiles
AutomotiveCommunicationsConsumer and RetailFinancial ServicesHealthcareManufacturing and IndustrialMediaTechnologyTop Authors
Sr Developer
Solution Architect
Solution Architect
Engineering Manager
Delivery Director, Finance & Commerce
Blog Categories
Trabajemos juntos
Contenido Relacionado
5 razones por las que tu proyecto necesita un Business Analyst
Contar con un Business Analyst (BA) en tu equipo no solo te ayudará a delegar tareas más operativas, sino que también potenciará al equipo de desarrollo y contribuirá significativamente al éxito de tu proyecto de desarrollo de software.
Conocer más
7 claves para ser un miembro de un equipo efectivo
Un gran desarrollador necesita trabajar tanto en sus habilidades técnicas como en sus habilidades blandas, ya que estas forman la base para cualquier profesional que quiera ser una pieza efectiva e inspirar un cambio positivo en su equipo y organización. He recopilado una serie de recomendaciones que considero básicas y de vital importancia para trabajar … Continue reading La importancia de saber qué información subir a la nube →
Conocer más
Share this page:
-
-
-
-
URL copied!