El cloud computing o cómputo en la nube es un modelo para permitir el acceso de red ubicuo, conveniente y bajo demanda a un grupo compartido de recursos informáticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que se pueden aprovisionar y liberar rápidamente con un mínimo esfuerzo de administración o interacción con el proveedor de servicios.
Este modelo de nube se compone de cinco características esenciales (Autoservicio bajo demanda, amplio acceso a la red, puesta en común de recursos, elasticidad y servicio medido), tres modelos de servicio (software como servicio, plataforma como servicio e infraestructura como servicio) y cuatro modelos de implementación (nube privada, nube comunitaria, nube pública y nube híbrida).
Requerimientos de seguridad para el cloud computing o cómputo en la nube
Pero ¿cómo proteger la confidencialidad, integridad y disponibilidad de nuestra información almacenada, procesada y transmitida en el cloud computing o cómputo en la nube? ¿Cómo cumplir con requerimientos legales, contractuales u organizacionales en una infraestructura que no se encuentra físicamente en nuestra organización o depende del internet para su uso?
Para lo anterior es necesario considerar las normas ISO 27017 e ISO 27018 que nos ayudarán a implementar controles de seguridad de la información en la nube y cumplir con requerimientos legales y regulatorios asociados con nuestra información, estas normas están diseñadas para facilitar su implementación a través de las guías de seguridad establecidas en la ISO 27002 lo que para los oficiales de seguridad de la información no será materia desconocida.
Previamente se deberá contar con una evaluación de riesgos y un análisis de impactos a la información personal, actividades que nos ayudarán a implementar los controles y medidas de seguridad adecuadas para la protección de la información basadas estas decisiones sobre el costo beneficio para la organización.
Ya sea que el cloud computing o cómputo en la nube se realice en una nube pública o privada, deben existir roles y responsabilidades definidas así como políticas y procedimientos establecidos para dirigir las actividades del personal conforme a los objetivos de la organización, la preservación o creación de valor empresarial debe estar siempre presente al momento de elegir la mejor opción de cómputo en la nube.
Actualmente, el cómputo en la nube es una opción empresarial viable que otorga beneficios para la misma como la reducción de costos derivados de la operación tecnológica en un esquema “on premise” y la reducción de personal operativo (en el caso de nubes públicas) y la facilidad de acceso desde cualquier ubicación a los recursos tecnológicos de la organización (para el caso de nubes públicas y privadas).
Ahora bien, si el acceso a los recursos tecnológicos de la organización se brinda desde cualquier ubicación física donde se encuentre el usuario, la protección de la información de amenazas en un entorno con un bajo o nulo control corporativo cobra mayor relevancia ¿estás preparado(a) para enfrentar ese reto?
Acércate a CYNTHUS y descubre cómo podemos ayudarte.
Conoce al autor del artículo
JORGE LUNA
Profesional de TI, Especialista en Seguridad de la Información. Gestión de Riesgos y Continuidad del Negocio
También te puede interesar: “Consideraciones para migrar a Tecnologías de Nube”