Els sistemes informàtics basats en núvol compleixen funcions importants en gairebé totes les empreses modernes. Les empreses, sense ànim de lucre, els governs i fins i tot les institucions educatives utilitzen el núvol per expandir l'abast del mercat, analitzar el rendiment, gestionar recursos humans i oferir serveis millorats. Naturalment, la governança de seguretat en núvol efectiva és essencial per a qualsevol entitat que vulgui obtenir els beneficis de les TI distribuïdes.
Com tot el domini de TI, la informàtica en núvol té problemes de seguretat únics. Encara que la idea mateixa de mantenir les dades segures en el núvol ha estat considerada una contradicció impossible, les pràctiques generals de la indústria revelen nombroses tècniques que ofereixen una seguretat eficaç en el núvol. Com que els proveïdors de núvols comercials com Amazon AWS han demostrat mantenint el compliment de FedRAMP, la seguretat eficaç en el núvol és viable i pràctica en el món real.
$config[code] not foundS'està traçant un mapa de ruta de seguretat impactant
Cap projecte de seguretat de TI pot funcionar sense un pla sòlid. Les pràctiques que impliquen el núvol han de variar d'acord amb els dominis i les implementacions que busquen protegir.
Per exemple, suposem que una agència governamental local institueix una política de dispositius propis o BYOD. Pot ser que hagi de promulgar controls de supervisió diferents del que seria si simplement impedia als seus empleats accedir a la xarxa organitzativa utilitzant els seus telèfons intel·ligents personals, ordinadors portàtils i tauletes. De la mateixa manera, una empresa que vol fer que les seves dades siguin més accessibles als usuaris autoritzats per emmagatzemar-la al núvol probablement haurà de prendre diferents passos per controlar l'accés que si mantingués les seves pròpies bases de dades i servidors físics.
Això no vol dir, com alguns han suggerit, que mantenir amb seguretat el núvol és menys probable que mantenir la seguretat en una LAN privada. L'experiència ha demostrat que l'eficàcia de les diferents mesures de seguretat en el núvol depèn de la seva adequació a certes metodologies provades. Pel que fa als productes i serveis en núvol que utilitzen dades i actius del govern, aquestes bones pràctiques es defineixen com a part del Programa federal de gestió de riscos i autorització o FedRAMP.
Quin és el programa federal de gestió de riscos i autorització?
El Programa Federal de Gestió d'Riscos i Autoritzacions és un procés oficial que les agències federals utilitzen per jutjar l'eficàcia dels serveis i productes informàtics en el núvol. En el seu cor es troben els estàndards definits per l'Institut Nacional d'Estàndards i Tecnologia, o NIST, en diverses publicacions especials, o SP, i Federal Information Processing Standard, o FIPS, documents. Aquests estàndards se centren en la protecció efectiva basada en núvol.
El programa proporciona directrius per a moltes tasques comunes de seguretat en el núvol. Aquests inclouen manejar adequadament els incidents, utilitzant tècniques forenses per investigar infraccions, planificar contingències per mantenir la disponibilitat de recursos i gestionar riscos. El programa també inclou protocols d'acreditació per a les organitzacions d'acreditació de tercers, o 3PAO, que avaluen les implementacions del núvol cas per cas. Mantenir el compliment de la certificació 3PAO és un signe segur que un integrador o proveïdor de TI està preparat per mantenir la informació segura al núvol.
Pràctiques de Seguretat Efectives
Llavors, com les empreses mantenen les dades segures amb els proveïdors de núvols comercials? Tot i que hi ha innombrables tècniques importants, cal destacar alguns:
Verificació del proveïdor
Les relacions laborals fortes es basen en la confiança, però aquesta bona fe ha d'originar-se en algun lloc. No importa el ben establert que sigui un proveïdor de núvol, és important que els usuaris autentiquin el seu compliment i pràctiques de govern.
Les normes governamentals de seguretat de TI solen incorporar estratègies d'auditoria i puntuació. Verificar el rendiment passat del proveïdor del núvol és una bona manera de descobrir si són dignes del vostre negoci futur. Les persones que tenen.gov i.mil adreces de correu electrònic també poden accedir als paquets de seguretat de FedRAMP associats amb diferents proveïdors per corroborar les seves reclamacions de compliment.
Assumeixi un rol proactiu
Encara que els serveis com Amazon AWS i Microsoft Azure professen la seva adhesió als estàndards establerts, la seguretat integral en núvol porta més d'una part. Segons el paquet de serveis en núvol que compreu, és possible que hàgiu de dirigir la implementació del vostre proveïdor de determinades funcions clau o avisar-los que necessiten seguir procediments de seguretat específics.
Per exemple, si vostè és fabricant d'un dispositiu mèdic, lleis com la llei de portabilitat i responsabilitat de l'assegurança mèdica, o HIPAA, poden obligar a prendre mesures addicionals per protegir les dades de salut dels consumidors. Aquests requisits sovint existeixen independentment del que el proveïdor ha de fer per mantenir la certificació Federal de Riscos i Autoritzacions de Gestió.
Amb un mínim, serà responsable únicament de mantenir pràctiques de seguretat que cobreixin la vostra interacció organitzativa amb sistemes de núvol. Per exemple, haureu d'introduir polítiques de contraseña segura per al vostre personal i clients. La caiguda de la bola al final pot comprometre la implementació de seguretat del núvol més eficaç, així que assumiu la responsabilitat ara.
El que fa amb els serveis del vostre núvol, en última instància, afecta l'eficàcia de les seves característiques de seguretat. Els vostres empleats poden participar en pràctiques informàtiques a l'ombra, com ara compartir documents a través de Skype o Gmail, per raons de conveniència, però aquests actes aparentment innocus podrien obstaculitzar els vostres plans de protecció ennuvolats amb cura. A més de capacitar al personal sobre com utilitzar correctament els serveis autoritzats, haureu d'ensenyar-los com evitar els esculls que impliquen fluxos de dades no oficials.
Compreneu els termes del vostre servei Cloud per controlar el risc
L'allotjament de les dades al núvol no necessàriament li atorga les mateixes bonificacions que tindrà inherentment amb emmagatzematge propi. Alguns proveïdors conserven el dret d'arrossegar el vostre contingut perquè puguin publicar anuncis o analitzar-ne l'ús dels seus productes. D'altres poden necessitar accedir a la vostra informació en el curs de proporcionar assistència tècnica.
En alguns casos, l'exposició a dades no és un problema enorme. Tanmateix, quan es tracta d'informació del consumidor personal o de dades de pagament, és fàcil veure com l'accés de tercers podria provocar desastres.
Pot ser impossible evitar totalment l'accés a un sistema o base de dades remot. No obstant això, treballar amb proveïdors que publiquen registres d'auditoria i registres d'accés al sistema us permeten saber si les vostres dades es mantenen de manera segura. Aquest coneixement fa un llarg camí per ajudar a les entitats a mitigar els impactes negatius de qualsevol incompliment que es produeixi.
Mai assumeixi la seguretat és un assumpte únic
La majoria de les persones intel·ligents canvien les seves contrasenyes personals periòdicament. No hauria de ser tan diligent sobre la seguretat informàtica basada en núvol?
Independentment de la freqüència amb què l'estratègia de compliment del vostre proveïdor dicti que realitzen auditories d'autoavaluació, cal definir o adoptar el vostre propi conjunt de normes per a les avaluacions rutinàries. Si també està obligat per requisits de compliment, convindria que promulgui un règim estricte que asseguri que pot complir amb les seves obligacions, fins i tot si el proveïdor del núvol no ho fa de manera coherent.
Creació d'implementacions de seguretat en núvol que funcionen
La seguretat eficaç en el núvol no és una ciutat mística que resideix per sempre més enllà de l'horitzó. Com a procés ben establert, està ben a l'abast de la majoria dels usuaris i proveïdors de serveis de TI independentment dels estàndards que compleixin.
Mitjançant l'adaptació de les pràctiques descrites en aquest article als seus propòsits, és possible aconseguir i mantenir estàndards de seguretat que mantinguin la seva seguretat segura sense augmentar dràsticament les despeses generals operatives.
Imatge: SpinSys
1 comentari ▼
