¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores

A pesar de que los proveedores cloud ofrecen cada vez más información sobre la seguridad de sus servicios de almacenamiento en la nube, es necesario como clientes entender también cuáles son nuestras oportunidades y riesgos cuando contratamos servicios en la nube.

La Guía de Seguridad en la nube para PyME de la Agencia Europea de Seguridad (ENISA) propone estas doce preguntas que debemos plantear al proveedor de servicios de almacenamiento en la nube.

1- Para el servicio de almacenamiento en la nube que quiero contratar: ¿Cómo gestiona el proveedor los riesgos de seguridad de la información?

Como clientes tendremos que tener una idea de la eficacia de la gestión de la seguridad del proveedor . Una buena respuesta contendría:

  • Un punto de contacto para incidentes de seguridad.
  • La política de seguridad del proveedor y sus dependencias con terceros (si a su vez externalizan).
  • Los informes de auditoría o sus certificaciones (como ISO 27001) que incluyan el servicio en el alcance.
  • Los informes de cumplimiento o adherencia a estándares de buenas prácticas.

2- ¿Qué tareas de seguridad hace el proveedor? ¿Qué tipo de incidentes de seguridad son mitigados por él y qué tareas e incidentes permanecen bajo nuestra responsabilidad?

Cada servicio de almacenamiento en la nube es diferente y también lo será el reparto de responsabilidades y obligaciones en cuanto a la seguridad. Pero en el contrato o en los acuerdos de nivel de servicio (SLA) se debe especificar:

  • Los activos cuya seguridad vigilará el proveedor y los que vigilaremos nosotros.
  • Las tareas de seguridad (parcheado, actualización, … ) que realizará el proveedor y las que realizaremos nosotros.
  • Una clasificación de incidentes con sus objetivos de tiempos de respuesta o recuperación.
  • Las obligaciones contractuales, por ejemplo compensaciones financieras por pérdidas, etc.

3- ¿Cómo maneja el proveedor los desastres que afecten a los centros de datos o a las conexiones? y ¿De qué datos se hace el backup y dónde?

En el caso que un terremoto, una tormenta eléctrica o una inundación afecten al proveedor tendremos que saber en qué medida el servicio de almacenamiento en la nube que contratamos permanecerá activo, y cómo y dónde se hacen las copias de seguridad. Para ello tendremos que poder revisar:

  • Los planes de recuperación ante desastres y continuidad de negocio del proveedor.
  • Los mecanismos de backup, tolerancia a fallos y tiempos de recuperación.
  • Si tienen redundancia de sus centros de datos.

4- ¿Cómo se garantiza la seguridad del servicio de almacenamiento en la nube en lo que concierne a disputas administrativas y aspectos legales?

Si el proveedor tuviera algún problema administrativo o legal (bancarrota, embargo, denuncias u otros ) interno o con terceros, como clientes queremos saber qué ocurrirá con nuestros datos y con la continuidad del servicio. Debemos comprobar que:

  • Aún en estos casos el servicio está garantizado.
  • En los SLA o las cláusulas del contrato se incluirán las que nos garanticen el acceso a los datos y a las copias de seguridad en estos casos.

5- ¿Cómo asegura que su personal trabaja con medidas de seguridad?

Si vamos a depositar nuestros datos en sus manos tendremos que comprobar que son responsables. Algunas de las formas que tiene el proveedor de demostrar esto es:

  • Con certificados profesionales.
  • Con sus políticas de incorporación y formación de empleados.
  • Mediante ataques simulados a sus empleados con mecanismos de ingeniería social.

6- ¿Cómo se protegen nuestros procesos y datos de los accesos lógicos y físicos no autorizados?

Nuestros datos y procesos estarán en sus instalaciones. El proveedor debería mostrarnos:

  • Las medidas de control de acceso físico y lógico (roles, privilegios) que tiene implantados.
  • Los mecanismos de autenticación en uso.
  • Su cumplimiento con criterios de buenas prácticas.

7- ¿Cómo asegura la seguridad del software? ¿Qué software permanece bajo nuestra responsabilidad?

Como clientes tendremos que conocer cómo el proveedor garantiza la seguridad del software de almacenamiento en la nube, en particular solicitaremos:

  • Informes de escaneos de vulnerabilidades.
  • Procedimientos de parcheado y actualización.
  • Auditorías externas del software.

8- ¿Cómo se protege el acceso a las interfaces de usuario y de programación de aplicaciones? ¿Existen medidas adicionales para los perfiles con privilegios especiales y administradores?

Para acceder a los servicios de almacenamiento en la nube, los clientes y administradores utilizan interfaces web. La protección de estos interfaces es clave pues a través de ellos se pueden llegar a nuestros datos y procesos. En este caso el proveedor debe proporcionarnos los detalles técnicos de los interfaces y sus protecciones (métodos de autenticación, restricciones de acceso, privilegios)

9- ¿Cómo podemos monitorizar el servicio de almacenamiento en la nube, qué registros de actividad (logs) se toman y cómo podemos obtenerlos cuando necesitemos analizar un incidente?

Desde nuestras instalaciones tendremos que poder acceder a cuadros de mandos desde los que se puedan monitorizar el rendimiento, las alertas y todo lo relativo a la seguridad del servicio. Igualmente en los SLA se podrá incluir una cláusula para poder recuperar los logs en caso de incidente, de manera que podamos saber qué ocurrió y depurar responsabilidades.

10- ¿Es el servicio de almacenamiento en la nube portable e interoperable?

Como nada es para siempre y ante la posibilidad de tener que migrar, en el futuro, a otro proveedor o si quisiéramos integrar el servicio con otras aplicaciones, el proveedor del servicio de almacenamiento en la nube debería proporcionarnos los detalles técnicos del software instalado como las interfaces, formatos de datos, máquinas virtuales formatos de exportación de datos.

11- ¿Cómo gestionan picos de uso y cuáles son los costos asociados?

La elasticidad del uso de los recursos es la base de los servicios en la nube en los que se paga por uso. Como clientes queremos saber cómo se va a gestionar los aumentos de demanda (disponibilidad) y cuánto van a costamos. Los SLA deben incluir cláusulas que lo definan, escenarios y forma de calcular los costes. Podremos solicitar datos del rendimiento de estos mecanismos.

12- ¿Qué legislación nacional o de otras naciones aplica?

Hay proveedores de servicio en la nube que trabajan desde centros de datos fuera de nuestras fronteras, lo que pueden ocasionar fricciones entre legislaciones nacionales. Un ejemplo reciente es lo ocurrido con el puerto seguro en materia de protección de datos personales. Como clientes debemos asegurarnos de qué legislación aplica en cada caso. Para ello solicitaremos esta información al proveedor, en particular si recabamos datos personales de nuestros usuarios, tratamos con productos con propiedad intelectual y si realizamos actividades de comercio electrónico.

Fuente: INCIBE – Cloud Computing, una guía de aproximación para el empresario.

Adaptado por la División Consultoría de EvaluandoSoftware.com

 

¿Qué Software es apto para su empresa?

Acceda a nuestros evaluadores