12 preguntas de seguridad antes de contratar los servicios cloud

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

12 preguntas sobre seguridad que deberías hacerte antes de contratar los servicios cloud

12 preguntas sobre seguridad que deberías hacerte antes de contratar los servicios cloud

cloud

Cloud

Existen muchos servicios cloud que son muy atractivos para las organizaciones como puede ser: almacenamiento, backup, aplicaciones de oficina, servidores de correo, alojamiento web, gestión de contacto, etc. Con esta oferta de servicios las pymes valoran todas las ventajas que le supone para su economía el poder evitar importantes inversiones en software, hardware y personal técnico propio. Sin embargo, deben estar muy seguras de lo que contratan.

Los servicios cloud ofrecen interesantes oportunidades para realizar trabajos colaborativos, ya que ofrecen mejoras en la seguridad si lo comparamos con las opciones tradicionales, aunque no se encuentran exentos de riesgos.

Los riesgos que ha valorado el Instituto Nacional de Ciberseguridad (INCIBE) se pueden clasificar como dos cuestiones clave que necesitan obtener una respuesta antes de contratar un servicio en la nube: ¿Cómo podemos distinguir entre las diferentes opciones del mercado? ¿Cuál es la más segura? ¿Qué aspectos de seguridad del cloud debemos considerar antes de contratar?

En más detalle, la Guía de seguridad en cloud para pymes de la Agencia Europea de Seguridad (ENISA) propone estas doce preguntas básicas que debemos plantear al proveedor:

Para el servicio que se quiere contratar, ¿cómo gestiona el proveedor los riesgos en cuanto a la seguridad de la información?

El cliente debe tener una idea de eficacia de la gestión de la seguridad del proveedor. Una buena respuesta debe incluir aspectos como, un punto de contacto para incidentes de seguridad, la política de seguridad del proveedor y sus dependencias a terceros, si a su vez externalizan; los informes de las auditorías o su certificados, lo mejor sería que esté certificado bajo ISO 27001, informes de cumplimento o adherencia a estándares de buenas prácticas.

¿Qué tareas de seguridad realiza el proveedor? ¿Qué tipo de incidentes de seguridad mitiga? ¿Cuáles permanecen bajo nuestra responsabilidad?

Cada servicio cloud es diferente, como señala la “Guía para empresas: Seguridad y Privacidad del Cloud Computing” de INCIBE, y también lo será el reparto de responsabilidades y obligaciones en cuanto a la seguridad. Pero en el contrato o en los acuerdos de nivel de servicio se tiene que especificar los activos cuya seguridad vigilará el proveedor y los que vigilaremos nosotros; todas las tareas de seguridad, realizando actualizaciones, etc. que deben ser realizadas por el proveedor y las que realizaremos nosotros como será una clasificación de los incidentes con los tiempos de respuesta necesarios y las obligaciones económicas por pérdidas.

¿Cómo maneja el proveedor los desastres que afecten a los centros de datos o a las conexiones? ¿De qué datos se hace backup y dónde?

En el caso de que suceda un terremoto, tormenta eléctrica o inundación afecten al proveedor tendremos que saber en qué medida el servicio cloud que hemos contratado o queremos contratar permanecerá activo, cómo y dónde se hacen las copias de seguridad. Para ellos debemos revisar todos los planes de recuperación ante desastres y la continuidad de negocio que tengan implantada el proveedor, además de los mecanismos backup, la tolerancia a fallos y los tiempos de recuperación.

¿Cómo se garantiza la seguridad del servicio cloud en cuanto a disputas administrativas y aspectos legales?

Si el proveedor tuviera algún problema administrativo o legal, interno o con terceros, como clientes, debemos conocer qué ocurrirá con nuestros datos y con la continuidad del negocio. Debemos comprobar que, aún en estos casos, el servicio se encuentre garantizado. Las cláusulas del contrato se incluyen las que nos garanticen el acceso a los datos y a las copias de seguridad en estos casos.

¿El proveedor nos garantiza que su personal trabaja con medidas de seguridad?

Vamos a depositar nuestros datos en manos de personas que debemos comprobar que sean responsables. Alguna de las formas que tiene el proveedor de demostrarse es mediante certificados profesionales, políticas de incorporación y formación de empleados, además puede realizar ataques simulados a sus trabajadores para comprobar los mecanismos utilizados en la ingeniería social.

¿Cómo se protegen nuestros procesos y datos de los accesos lógicos y físicos no autorizados?

Como nuestros datos y procesos se encontrarán en las instalaciones de nuestro proveedor, debería mostrarnos las medidas de control de acceso físico y lógico que tienen implementados, los mecanismos de autenticación y el cumplimiento de los criterios de buenas prácticas.

¿Cómo asegura la seguridad del software? ¿Qué software permanece bajo nuestra responsabilidad?

Como clientes tendremos que conocer cómo garantiza la seguridad del software nuestro proveedor, por lo que debemos solicitar informes de vulnerabilidad, procedimientos de actualización y auditorías externas del software.

¿Cómo se protege el acceso a los interfaces de usuario y de programación de aplicaciones? ¿Existen medidas adicionales para los perfiles con privilegios y administradores?

Para acceder a los servicios cloud del cliente se utilizan diferentes interfaces web. La protección dichos interfaces es la clave, ya que desde ellos se puede llegar a los datos y procesos del cliente. En este caso el proveedor tiene que proporcionar ciertos detalles técnicos de los interfaces y sus protecciones, como métodos de identificación, restricciones de acceso y privilegios.

¿Cómo se puede monitorizar el servicio, qué registros de actividad se toman y cómo podemos obtenerlos cuando necesitemos analizar un incidente?

Desde las instalaciones debemos acceder a los cuadros de mando en los que se monitoriza el rendimiento, las alertas y todo lo relativo a la seguridad del servicio. De igual forma se puede incluir una cláusula para recuperar los datos en caso de incidente, de manera que podamos conocer lo que ocurrió y depurar las responsabilidades.

¿El servicio cloud es portable?

Como nada dura para siempre y puede darse la posibilidad de que deba migrar, en el futuro, a otro proveedor o se quiera integrar el servicio con otras aplicaciones, el proveedor del servicio cloud debe facilitar los detalles técnicos del software instalado los interfaces, formatos de datos, máquinas virtuales y formatos de exportación de datos.

¿Cómo se gestionan los picos de uso y cuáles son los costes asociados?

La elasticidad del uso de los recursos será la base de los servicios cloud en los que se paga por uso. Como clientes queremos conocer cómo se van a gestionar el incremento de demanda y que inversión deberemos realizar.

¿Qué legislación nacional supone?

Los proveedores de cloud trabajan desde centros que se encuentran fuera de nuestras fronteras, lo que puede ocasionar fricciones con la legislación de nuestra zona. Por lo que debemos asegurarnos de qué legislación se aplica en cada caso.

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001 2013 en Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
Cargando...

Loading Facebook Comments ...