Es responsabilidad de las compañías que desean acceder a Cloud Computing, determinar qué información es crítica para las operaciones de la empresa. Por tal motivo deberá ser clasificada y definirse los grados adecuados de confidencialidad, integridad y disponibilidad.
Un punto de inicio para la generación de estrategias de Seguridad de la Información, es saber qué está siendo procesada.
Como primer punto se deben definir los activos de información resultantes de los procesos, es decir la información de mayor importancia para las operaciones institucionales, como son:
- Bases de datos de clientes.
- Equipos de computación.
- Software especializado.
- Detalles de balances.
- Flujos de caja.
- Planes estratégicos cuyo robo o pérdida o indisponibilidad generaría un alto impacto a las operaciones de la empresa.
Una vez definidos los activos se dará una tasación que servirá en términos de:
Estos valores servirán posteriormente para definir las medidas de seguridad que se debe pedir al proveedor de servicios.
Cuando se haya identificado los activos más valiosos la empresa estará en la facultad de definir qué información es más crítica y valiosa, con lo cual podrá empezar a realizar un análisis de riesgos de subir dicha información a la nube.
El análisis de riesgos deberá realizárselo conjuntamente con la Alta Gerencia, para determinar:
- Vulnerabilidades: control de acceso, seguridad de recursos humanos, desarrollo de aplicaciones, fuga de datos, gestión de comunicaciones y operaciones, etc.
- Amenazas: naturales, Tecnológicas, Procesos Operativos, Humanos, Sociales, Instalaciones.
Una vez identificadas las amenazas y vulnerabilidades de la información de operaciones de la empresa se podrá identificar los posibles efectos o riesgos, lo cual dará un valor del activo y las estrategias a seguir para asegurar la información a ser procesada por servicios en la nube, desde su generación, tránsito, procesamiento y almacenamiento.
El cálculo del riesgo en base a la probabilidad, en que una amenaza puede explotar una vulnerabilidad, ayudará a definir los impactos al negocio expresado en pérdidas.
El cálculo del riesgo se define mediante los factores de amenaza, impacto económico y probabilidad de ocurrencia, por lo cual el primer paso será en evaluar el impacto económico de la amenaza utilizando para ello una escala de 1 (bajo) a 5 (alto), con la misma escala se pesará la ocurrencia de la amenaza y el tercer paso será el cálculo del riesgo al multiplicar estos dos factores, asignando en base a los mismos la prioridad del riesgo.
Por último en de la tasación de riesgos, se identificará la clasificación de la información basándonos en términos de:
- Información confidencial: acceso a personas autorizadas.
- Restringida: acceso a ciertas personas o grupos.
- Pública: sin restricción de acceso.
Con los mismos criterios se dfinirán las características de seguridad de la información sea está menor o mayor, la cual será la estrategia a solicitar a los proveedores de servicios en la nube.
Las plantillas de relevamiento y clasificación de la información, deben ser asociadas al segmento de la empresa, lo cual dará una idea de que información se puede migrar o no a la nube considerándose que en un inicio será preferible procesar los datos menos críticos y así ir incrementando los servicios hacia la nube.
Resumen de la metodología
Create your own infographics
Fuente: Juan Carlos Mejía Prieto, Escuela de posgrados maestría de gerencia de sistemas y tecnologías de la información, Universidad de las Américas.
Adaptado por la División consultoría de EvaluandoCloud.com