Seguridad it
Páginas: 6 (1251 palabras)
Publicado: 5 de octubre de 2010
IT Seguridad en “la Nube”: ¿cómo controlar lo que no controlas?
Tradicionalmente, la seguridad ha estado presente en los contratos, principalmente, a través del establecimiento de cláusulas generales de confidencialidad y protección de datos de carácter personal. Pero los nuevos modelos de servicio requieren de una mayor especificación y nivel de detalle en materia de seguridad en loscontratos y de una mayor participación de los responsables de seguridad en su confección.
Cloud Computing, Software as a Service, Infrastructure as a Service, Platform as a Service, All as a Service… ¿nuevos términos para viejos modelos? Quizás en algunos casos, pero algo está cambiando en el panorama de IT, y más, si cabe, en lo relativo a seguridad de la información.
La orientación a servicios dela práctica IT es, obviamente, un hecho; no es nada nuevo, pero va a más, está evolucionando, su empuje es imparable y es una clara apuesta del mercado y de las empresas. Sea como fuere, lo cierto es que, de modo creciente, las empresas finales estamos pasando de gestionar software, hardware y personal a gestionar servicios. En consecuencia, estar bien preparados para ello, en lo que respecta aseguridad, no se me antoja algo trivial.
Gestionar servicios, como digo, no es nada nuevo; pero los nuevos modelos de servicios, que persiguen estandarización y “comoditización” convierten a las necesidades de control de las empresas finales y la visibilidad que éstas tienen de los servicios en líneas divergentes. No deja de ser curioso, pero lo cierto es que, por un lado, las empresas tenemos cadavez mayor sensibilidad en lo que respecta a la seguridad de la información, tanto porque la información se ha ido convirtiendo paulatinamente en un activo estratégico de nuestras compañías, como porque las regulaciones son también cada vez mas sensibles y estrictas con su tratamiento; y por otro, en los nuevos modelos de servicio, cada vez disponemos de menor capacidad de visión y control sobrecómo se trata nuestra información.
Tomar las riendas
¿Cómo controlar lo que, por naturaleza, no controlas?, ¿cómo gestionar la seguridad en procesos que acaban por no ser nuestros?
Es anecdótico, pero no es la primera vez que oigo que, simplemente, “es una cuestión de fe”. Además, lo que me dice la experiencia es que los proveedores de servicios, por lo general, son los primeros que noestán suficientemente preparados para ofrecer, de partida, un modelo formal de control que calme nuestras inquietudes.
Dejando la fe aparte, considero que, desde un primer momento, se deben “tomar las riendas” en la definición y alcance de lo que se espera de un servicio en “la nube”, SaaS, IaaS… en materia de seguridad de la información.
En mi modesta opinión, esta “toma de riendas” sematerializa a través de cuatro líneas de acción principales:
1. Formalización de cuerpos normativos, procesos y procedimientos internos de gestión de la seguridad.
2. Incorporación de cláusulas de seguridad en el contrato.
3. Establecimiento de acuerdos de nivel de servicio en materia de seguridad.
4. Negociación.
En lo que respecta a normas, procesos y procedimientos internos, cuantomayor sea la formalización de los mismos, más fácil será “extenderlos” contractualmente a un servicio, permitiéndonos, además, disponer de un modelo de control homogéneo y común a cualquier tipología de servicio e iniciar la negociación de la propuesta de seguridad en el contexto de dicho servicio en base a nuestras necesidades reales.
1. En lo relativo al clausulado de seguridad, ni que decirtiene que lo que no está en el contrato,
sencillamente, no existe. Tradicionalmente, la seguridad ha estado presente en los contratos, principalmente, a través del establecimiento de cláusulas generales de confidencialidad y protección de datos de carácter personal. Los nuevos modelos de servicio requieren de una mayor especificación y nivel de detalle en materia de seguridad en los...
Tradicionalmente, la seguridad ha estado presente en los contratos, principalmente, a través del establecimiento de cláusulas generales de confidencialidad y protección de datos de carácter personal. Pero los nuevos modelos de servicio requieren de una mayor especificación y nivel de detalle en materia de seguridad en loscontratos y de una mayor participación de los responsables de seguridad en su confección.
Cloud Computing, Software as a Service, Infrastructure as a Service, Platform as a Service, All as a Service… ¿nuevos términos para viejos modelos? Quizás en algunos casos, pero algo está cambiando en el panorama de IT, y más, si cabe, en lo relativo a seguridad de la información.
La orientación a servicios dela práctica IT es, obviamente, un hecho; no es nada nuevo, pero va a más, está evolucionando, su empuje es imparable y es una clara apuesta del mercado y de las empresas. Sea como fuere, lo cierto es que, de modo creciente, las empresas finales estamos pasando de gestionar software, hardware y personal a gestionar servicios. En consecuencia, estar bien preparados para ello, en lo que respecta aseguridad, no se me antoja algo trivial.
Gestionar servicios, como digo, no es nada nuevo; pero los nuevos modelos de servicios, que persiguen estandarización y “comoditización” convierten a las necesidades de control de las empresas finales y la visibilidad que éstas tienen de los servicios en líneas divergentes. No deja de ser curioso, pero lo cierto es que, por un lado, las empresas tenemos cadavez mayor sensibilidad en lo que respecta a la seguridad de la información, tanto porque la información se ha ido convirtiendo paulatinamente en un activo estratégico de nuestras compañías, como porque las regulaciones son también cada vez mas sensibles y estrictas con su tratamiento; y por otro, en los nuevos modelos de servicio, cada vez disponemos de menor capacidad de visión y control sobrecómo se trata nuestra información.
Tomar las riendas
¿Cómo controlar lo que, por naturaleza, no controlas?, ¿cómo gestionar la seguridad en procesos que acaban por no ser nuestros?
Es anecdótico, pero no es la primera vez que oigo que, simplemente, “es una cuestión de fe”. Además, lo que me dice la experiencia es que los proveedores de servicios, por lo general, son los primeros que noestán suficientemente preparados para ofrecer, de partida, un modelo formal de control que calme nuestras inquietudes.
Dejando la fe aparte, considero que, desde un primer momento, se deben “tomar las riendas” en la definición y alcance de lo que se espera de un servicio en “la nube”, SaaS, IaaS… en materia de seguridad de la información.
En mi modesta opinión, esta “toma de riendas” sematerializa a través de cuatro líneas de acción principales:
1. Formalización de cuerpos normativos, procesos y procedimientos internos de gestión de la seguridad.
2. Incorporación de cláusulas de seguridad en el contrato.
3. Establecimiento de acuerdos de nivel de servicio en materia de seguridad.
4. Negociación.
En lo que respecta a normas, procesos y procedimientos internos, cuantomayor sea la formalización de los mismos, más fácil será “extenderlos” contractualmente a un servicio, permitiéndonos, además, disponer de un modelo de control homogéneo y común a cualquier tipología de servicio e iniciar la negociación de la propuesta de seguridad en el contexto de dicho servicio en base a nuestras necesidades reales.
1. En lo relativo al clausulado de seguridad, ni que decirtiene que lo que no está en el contrato,
sencillamente, no existe. Tradicionalmente, la seguridad ha estado presente en los contratos, principalmente, a través del establecimiento de cláusulas generales de confidencialidad y protección de datos de carácter personal. Los nuevos modelos de servicio requieren de una mayor especificación y nivel de detalle en materia de seguridad en los...
Leer documento completo
Regístrate para leer el documento completo.