Confianza en los servicios de la nube Hoy en día los servicios de la nube o también conocidos como Cloud Computing (del inglés, computación en la nube) no son un hecho nuevo e incluso son algo muy común para aquellos usuarios que suelen estar a la vanguardia de la tecnología móvil. Sin embargo, cuando una organización se encuentra interesada en este tipo de servicios para mejorar sus procesos de negocio, debe estar al tanto de los riesgos a los que se expone y al mismo tiempo conocer qué opción de servicio se adapta más a sus necesidades, considerando que un proveedor de servicios de nube (CSP – Cloud Service Provider, por sus siglas en inglés) puede ofrecer: Infraestructura como servicio (IaaS, por sus siglas en inglés): ofrece servicios de almacenamiento. Es importante que el CSP obtenga una certificación por parte de un ente externo que demuestre la efectividad de los controles diseñados. Esto representará su mejor carta de presentación y un aval para el consumidor, quien debe validar que dicha certificación esté alineada con el servicio que consume. procesamiento, redes, entre otros recursos donde el cliente puede ejecutar sus componentes lógicos. Plataforma como servicio (PaaS, por sus siglas en inglés): ofrece servicios de infraestructura donde los clientes puedan controlar el despliegue y la configuración de sus aplicaciones. Software como servicio (SaaS, por sus siglas en inglés): permite a los clientes utilizar las aplicaciones del CSP que se ejecutan sobre una infraestructura de nube. Adicionalmente, algunas gerencias, por miedo a los riesgos que implica la nube, no se deciden a emplear estas soluciones para apoyar el cumplimiento de sus objetivos estratégicos. Sin embargo, los profesionales de tecnología de información (TI) pueden convertir estos miedos en oportunidades de enfrentar nuevos retos de seguridad y privacidad. Entonces, ¿Cómo podemos confiar en los servicios que nos ofrece la nube? Para responder esta pregunta, es importante que las empresas tomen consciencia en los siguientes tres (3) objetivos: Diseño de confianza: queda de parte del consumidor y el CSP la responsabilidad de establecer controles de nube que permitan salvaguardar y proteger los activos informáticos, abordando las áreas claves de riesgo y aquellos factores de riesgo del entorno. Confianza en los servicios de la nube Ejecución de confianza: una vez que el diseño de los controles se ha verificado, es responsabilidad del CSP dicha ejecución mientras que el consumidor verifica su cumplimiento. Certificación de confianza: si bien es cierto que el consumidor verifica los controles diseñados para la entrega del servicio contratado, no basta solo con esto. Es importante que el CSP obtenga una certificación por parte de un ente externo que demuestre la efectividad de los controles diseñados. Esto representará un aval para el consumidor, quien debe validar que dicha certificación esté alineada con el servicio que consume. Cada día son más las compañías de servicios que ofrecen servicios de nube, y por lo tanto, para estar en una posición competitivamente fuerte, deben lograr que el consumidor confíe que sus activos de información estarán adecuadamente resguardados. Una vez que el consumidor decida emplear servicios de nube, bien sea tercerizado o construyendo su propia infraestructura de cloud computing es importante que Una vez que el consumidor decida emplear servicios de nube, bien sea tercerizado o construyendo su propia infraestructura de cloud computing, es importante que conozca y asuma el reto de diseñar e implementar los controles requeridos por dicha infraestructura conozca y asuma el reto de diseñar e implementar los controles requeridos por dicha infraestructura tecnológica. tecnológica. Actualmente, organismos internacionales líderes en la seguridad informática y gobierno de TI, han adaptado prácticas y técnicas globalmente conocidas a los servicios de la nube. Por ejemplo, ISACA ha publicado diferentes guías basadas en el marco Cobit 5 para la implementación de controles y aseguramiento de la nube. Asimismo, ISO 27001 actualmente cuenta con la versión borrador (ISO/IEC 27017) que sirve de orientación sobre los elementos de seguridad de la información para la computación en nube, incluyendo recomendaciones para la aplicación de los controles de seguridad específicos. En este sentido, el cambio organizacional es continuo, lo cual involucra factores ambientales externos y para que las empresas se mantengan al día y se antepongan a las necesidades de su negocio, deben evaluar las múltiples opciones que ofrecen los avancen tecnológicos sin descuidar la seguridad y privacidad de su información, teniendo en cuenta el análisis costo-beneficio que implica incurrir en cualquier inversión. Zelandia Carvajal Senior, Risk