Impacto de cloud computing en la gestión de la seguridad de información
Páginas: 5 (1012 palabras)
Publicado: 3 de noviembre de 2011
IMPACTO DEL CLOUD COMPUTING EN LOS SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN El Cloud Computing implica una nueva forma de contratación provisión y entrega de los servicios TI. En consecuencia, supone una innovación del ámbito de negocio más que una innovación tecnológica. Los elementos tecnológicos que posibilitan estas formas de entrega tienen dentro del mercado presencia y madurezhace años, aunque precisamente apoyados por el crecimiento de los Servicios Cloud evolucionan constantemente. Las ventajas que presenta la contratación de servicios Cloud son relevantes: Reducción de costes Reducción del time-to-market Facilita a las pymes el acceso a tecnologías que de otro modo no tendrían disponibles. Transformación de costes fijos a costes variables. Facilidad de adaptación delas capacidades de las infraestructuras a los ciclos de demanda, sin incurrir en costes derivados de un exceso de capacidad remanente, etc.
Todo ello conlleva que, según diversos encuestas, más de un 40% de los CIO consultados identifiquen la contratación de los servicios Cloud como una prioridad estratégica dentro de los planes de crecimiento inmediatos. Sin embargo, también son los aspectosrelacionados con la Seguridad de la Información tales como: Pérdida de control Garantías de confidencialidad. Garantías en la continuidad de servicio.
los elementos que provocan las mayores reticencias a la hora de adaptarse a los nuevos modelos de contratación y operación de servicios basados en la nube. La forma de mitigar estas reticencias es atender adecuadamente, y desde las primeras fasesdel proyecto de externalización, el impacto que va a tener el nuevo escenario dentro de nuestro Sistema de Gestión de Seguridad de la Información. El resultado de este análisis puede ser decisivo a la hora de seleccionar el Proveedor o el modelo de Cloud que más se adapta a nuestras necesidades de negocio. En particular, la contratación que mejor se adapte al Nivel de Riesgo que, una vezevaluado, nuestro negocio es capaz de asumir.
En ocasiones, el proceso es la mejor ocasión para hacer esa evaluación objetiva de riesgo asumible si no lo habíamos hecho antes. La realización de ese ejercicio es la primera contramedida contra las amenazas existentes y si es la externalización hacia un modelo cloud el hecho que lo motiva, el nuevo modelo de contratación estará desde ese momentoaportando elementos a favor de la seguridad de nuestros datos. El proceso de implantación de un sistema de Seguridad lo podríamos resumir en las siguientes actividades y en el siguiente orden. Inventario de activos de información. Ponderación relativa de la importancia de los mismos en términos de negocio y en base a los tres ejes definitorios de la seguridad: o Confidencialidad o Disponibilidad oIntegridad Inventario de los elementos Hardware, Software, Personas que ‘hospedan’ esa información Relación de las vulnerabilidades inherentes a esos elementos hospedadores. Relación de amenazas capaces de explotar esas vulnerabilidades. Estimación probabilística de la ocurrencia de incidentes de seguridad en base a los dos factores anteriores. Obtención del nivel de riesgo. Decisión de negocio del nivelde riesgo asumible. Aplicación de contramedidas para ubicar el riesgo asumido por debajo del nivel de riesgo asumible. Continuidad, re-evaluación periódica y mejora continua.
-
Como vemos, en el proceso de implantación del sistema, la toma en consideración del servicio prestado por el Proveedor de servicios en la nube es definitiva. El análisis también tiene mucha dependencia del modelo deservicio que pretendamos contratar (Infraestructura como Servicio, Plataforma como Servicio o Software como Servicio), ya que en función del modelo la responsabilidad compartida sobre los diversos aspectos que tienen incidencia sobre la seguridad de la información son muy diferentes. Por último, el tipo de nube que atenderá nuestros procesos TI (Privada, Híbrida, Pública) determina de forma...
Todo ello conlleva que, según diversos encuestas, más de un 40% de los CIO consultados identifiquen la contratación de los servicios Cloud como una prioridad estratégica dentro de los planes de crecimiento inmediatos. Sin embargo, también son los aspectosrelacionados con la Seguridad de la Información tales como: Pérdida de control Garantías de confidencialidad. Garantías en la continuidad de servicio.
los elementos que provocan las mayores reticencias a la hora de adaptarse a los nuevos modelos de contratación y operación de servicios basados en la nube. La forma de mitigar estas reticencias es atender adecuadamente, y desde las primeras fasesdel proyecto de externalización, el impacto que va a tener el nuevo escenario dentro de nuestro Sistema de Gestión de Seguridad de la Información. El resultado de este análisis puede ser decisivo a la hora de seleccionar el Proveedor o el modelo de Cloud que más se adapta a nuestras necesidades de negocio. En particular, la contratación que mejor se adapte al Nivel de Riesgo que, una vezevaluado, nuestro negocio es capaz de asumir.
En ocasiones, el proceso es la mejor ocasión para hacer esa evaluación objetiva de riesgo asumible si no lo habíamos hecho antes. La realización de ese ejercicio es la primera contramedida contra las amenazas existentes y si es la externalización hacia un modelo cloud el hecho que lo motiva, el nuevo modelo de contratación estará desde ese momentoaportando elementos a favor de la seguridad de nuestros datos. El proceso de implantación de un sistema de Seguridad lo podríamos resumir en las siguientes actividades y en el siguiente orden. Inventario de activos de información. Ponderación relativa de la importancia de los mismos en términos de negocio y en base a los tres ejes definitorios de la seguridad: o Confidencialidad o Disponibilidad oIntegridad Inventario de los elementos Hardware, Software, Personas que ‘hospedan’ esa información Relación de las vulnerabilidades inherentes a esos elementos hospedadores. Relación de amenazas capaces de explotar esas vulnerabilidades. Estimación probabilística de la ocurrencia de incidentes de seguridad en base a los dos factores anteriores. Obtención del nivel de riesgo. Decisión de negocio del nivelde riesgo asumible. Aplicación de contramedidas para ubicar el riesgo asumido por debajo del nivel de riesgo asumible. Continuidad, re-evaluación periódica y mejora continua.
-
Como vemos, en el proceso de implantación del sistema, la toma en consideración del servicio prestado por el Proveedor de servicios en la nube es definitiva. El análisis también tiene mucha dependencia del modelo deservicio que pretendamos contratar (Infraestructura como Servicio, Plataforma como Servicio o Software como Servicio), ya que en función del modelo la responsabilidad compartida sobre los diversos aspectos que tienen incidencia sobre la seguridad de la información son muy diferentes. Por último, el tipo de nube que atenderá nuestros procesos TI (Privada, Híbrida, Pública) determina de forma...
Leer documento completo
Regístrate para leer el documento completo.