Martes, Junio 18, 2013
               
CXO Community
Boletines CXO Community

Riesgos a considerar en una estrategia de Cloud Computing

PDFImprimirE-mail

Escrito por KPMG Chile Viernes, 09 de Julio de 2010 00:00

Blog - Seguridad | Informática

Usar puntuación: / 4
MaloBueno 
AddThis Social Bookmark Button

José Taba

Se espera que los ingresos globales por servicios de Cloud Computing sean de alrededor 148,8 mil millones de dólares para el año 2014.

Para este año se esperan ingresos por MM$68,3, un 16,6% mayor comparado con 2009 en el cual se registraron ingresos por MM$58,6.

Cloud Computing se puede definir como “un estilo de computación escalable y elástica en donde las capacidades de TI son provistas como servicios a clientes externos utilizando tecnologías basada en Internet”.

Las características del Cloud Computing nos presentan muchas oportunidades, pero también diversos riesgos que van de acuerdo a los “servicios” que subamos a la nube. Es en este sentido que podemos visualizar seis grandes áreas de riesgo a ser considerados:

 

Autenticación

Corresponde al riesgo de que usuarios no autorizados puedan acceder como usuarios válidos. Si existe un alto porcentaje de recursos de información de la organización en la nube, este riesgo puede ser importante y significativo.

Seguridad y privacidad de datos

Al externalizar los datos e información en los proveedores de Cloud Computing, se hace exigible que los mismos cumplan con estándares de protección de datos. El riesgo de pérdida de datos puede ser alto en la medida que no se implementen estrategias de seguridad de la información para la nube.

Interfase con sistemas internos

La mayoría de organizaciones no puede externalizar todos los sistemas en la nube. Es por ello que se hace necesario la construcción de interfaces para estos sistemas y la nube, estos nuevos elementos incrementan el riesgo de integridad de datos e interoperabilidad de los sistemas.

Disponibilidad de sistemas

Los negocios cada vez dependen más de la disponibilidad de los sistemas, es por ello que los servicios de la nube deben contemplar estrategias y mecanismos que puedan asegurar la misma mediante el respaldo de datos, redundancia y monitoreo de los servicios.

Continuidad de negocios

La continuidad de negocios en la nube depende del proveedor de servicios y debemos estar preparados para resolver la pregunta “¿Qué pasa si el proveedor desaparece mañana?”. El riesgo se centra en la viabilidad del proveedor de servicios y se deben considerar factores como: riesgo país en donde residen las instalaciones, cibercrime, fusiones y adquisiciones entre otros.

Propiedad de los contenidos y requerimientos legales

Al externalizar los sistemas, datos e infraestructura en la nube surgen algunas preguntas como:

  • ¿Podemos traer de vuelta los datos si el proveedor desaparece?
  • En caso de disputas o desacuerdos, ¿cuál es la jurisdicción legal que resolverá las mismas?
  • ¿Quién es el dueño de las aplicaciones y que derechos tiene la organización?

De modo general, es relativamente fácil identificar los riesgos que emergen de la implementación del Cloud Computing, este es el primer paso y debemos comenzar a desarrollar el mapa de riesgos y las estrategias para la administración de los mismos. Para ello es clave, la definición de una serie de service level agreement (SLA) relacionados con la administración de los riesgos identificados en la nube.

Es importante desarrollar los distintos escenarios de riesgo y conversarlos con el proveedor de servicios para entender como puede cubrir cada uno de ellos y en la medida de lo posible, realizar auditorías externas al proveedor para tener seguridad razonable que los controles en la nube se encuentran operando.

< Prev   Próximo >

El autor KPMG Chile es miembro desde el Jueves, 08 Julio 2010.

Otros artículos del autor...

Comentarios  

 
0 #1 13-07-2010 12:38
Sin duda para que los esqumas basados en "Cloud Computing" sea algo "confiable y viable" para los usuarios que deben "subir" información sensible, hay que contar con algún "elemento físico" como llaves tipo HARDkey para lograr por lo menos una autenticación fuerte por 2 factores, "algo que tengo" la llave, y "algo que conozco", su PIN.

Y existen soluciones muy accesibles ( hardkey.net/.../... ) como para no aprovecharlas, y dejar todo librado a un simple USUARIO y PASSWORD.

Saludos, Carlos Muller.
 

No tiene permisos para añadir comentarios. Por favor, ingrese al portal o regístrese.

Ingresa con:


Google Buscador

FacebookLinkedinTwitterYoutubeSlideShareMySpace

Próximas Jornadas

IV Jornada de Data Center y Continuidad del Negocio

Jornada ONLINE

Te recomendamos volver a ver
IV Seguridad Pública 4/6
Jornadas Ejecutivas x Ustream
CSO Business Advisor ICIO2: I know it

Capacitación

Documentos

File Icon Identificación Social en la Era Digital (Eduardo Thill) (3)
(Tecnologías - Infraestructura)
File Icon Enemigo Interno (3)
(Management)
File Icon Casos Judiciales Mediáticos vinculados con Tecnología (10)
(Metodologías y Legislación)
File Icon Tendencia de Seguridad IT (Check Point) (4)
(Seguridad - Informática)
File Icon Herramientas Forense Informáticas de código abierto ¿Cómo ganar un juicio con inteligencia? (27)
(Seguridad - Forense)
(*) Para poder realizar la descarga de los Documentos debe iniciar su sesión en el sitio.

Visitas

mod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_countermod_vvisit_counter
mod_vvisit_counterHoy1801
mod_vvisit_counterAyer10655
mod_vvisit_counterEsta semana12456
mod_vvisit_counterUltima semana67625
mod_vvisit_counterEste mes173794
mod_vvisit_counterUltimo mes180787
mod_vvisit_counterTodos los días11249987
Online 129
Hoy: Jun 18, 2013