Un recurso que se debe considerar importante en las empresas que desean incorporar tecnologías de información y comunicaciones en modalidad Cloud Computing en sus operaciones, es que la alta dirección, se encuentre comprometida y tenga conocimiento de las herramientas o software especializado que puede aportar en la automatización de sus procesos.
Partiendo de esta introducción las empresas deberán considerar que se requieren inversiones preliminares, cuyos costos varían en acceder por una tecnología tradicional o, en el caso del presente artículo por servicios en la nube, por lo cual lo más aconsejable es iniciar validando a los proveedores, soluciones existentes en el mercado y la madurez de los ambos.
Una vez definido el modelo que se va a seguir se deberá realizar un estudio de la situación actual de la empresa en temas de procesos y flujos de información.
Clasificación de la Información, determinación de procesos críticos, determinación de plantillas y metodología
Activos de información
Es responsabilidad de las empresas que desean acceder a Cloud Computing, determinar qué información es crítica para las operaciones de la empresa por tal motivo deberá ser clasificada y en base del mismo definirse los grados adecuados de confidencialidad, integridad y disponibilidad.
Como primer punto se deben definir los activos de información resultantes de los procesos es decir la información de mayor importancia para las operaciones institucionales, como son las bases de datos de clientes, equipos de computación, software especializado, detalles de balances, flujos de caja, planes estratégicos cuyo robo o pérdida o indisponibilidad generaría un alto impacto a las operaciones de la empresa.
Una vez definidos los activos de información se dará una tasación que servirá en términos de:
Estos valores servirán posteriormente para definir las medidas de seguridad que se deben pedir al proveedor de servicios.
Criticidad de la información
Cuando se hayan identificado los activos más valiosos la empresa se estará en facultad de definir qué información es más crítica y valiosa para la compañía con lo cual podrá empezar a realizar un análisis de riesgos de subir dicha información a la nube.
El análisis de riesgos deberá realizarlo conjuntamente a la alta gerencia, en la cual se determinará:
Una vez identificadas las amenazas y vulnerabilidades de la información de operaciones de la empresa se podrá identificar los posibles efectos o riesgos, lo cual dará un valor del activo y las estrategias a seguir para asegurar la información a ser procesada por servicios en la nube, desde su generación, tránsito, procesamiento y almacenamiento.
El cálculo del riesgo en base a la probabilidad, en que una amenaza puede explotar una vulnerabilidad, ayudará a definir los impactos al negocio expresado en pérdidas.
El cálculo del riesgo se define mediante los factores de amenaza, impacto económico y probabilidad de ocurrencia, por lo cual el primer paso será en evaluar el impacto económico de la amenaza utilizando para ello una escala de 1 (bajo) a 5 (alto), con la misma escala pesará la ocurrencia de la amenaza y el tercer paso será el cálculo del riesgo al multiplicar estos dos factores, asignando en base a los mismos la prioridad del riesgo.
Por último en de la tasación de riesgos, se identificará la clasificación de la información basándonos en términos de:
- Información confidencial: acceso a personas autorizadas.
- Restringida: acceso a ciertas personas o grupos.
- Pública: sin restricción de acceso.
En base a lo mismo se definirán las características de seguridad de la información sea ésta menor o mayor, la que constituirá la estrategia a solicitar a los proveedores de servicios en la nube.
Las planillas de relevamiento y clasificación de la información deben ser asociadas al segmento de la empresa, lo cual dará una idea de qué información se puede migrar o no a la nube considerándose que, en un inicio será preferible procesar los datos menos críticos y así ir incrementando los servicios hacia la nube.
Como resumen de esta fase la metodología será:
- Definir los procesos y flujos de información.
- Definir los activos de información relacionados con los procesos críticos del negocio.
- Asociar los activos de información en términos de confidencialidad, integridad y disponibilidad.
- Identificar amenazas y vulnerabilidades.
- Realizar un análisis de riesgos en base a la probabilidad ocurrencia e impacto económico (asociados a las amenazas y vulnerabilidades).
- Identificar la clasificación de la información en base a criticidad y sensibilidad de la información resultante considerando los siguientes niveles:
Riesgos de disponibilidad
Algunos de los riesgos que sobre los cuales se puede analizar las matrices de riesgo en temas de disponibilidad son los que se enumeran a continuación.
Dependencia del Proveedor
Al incursionar en temas de Cloud Computing la información está predispuesta a las estrategias de continuidad y planes de recuperación que tengan estipulados los proveedores de servicio.
Ubicación de Datos e Información
Acceso a información ubicada internamente o de manera externa a la empresa, dependiendo adicionalmente de que el proveedor de servicios puede estar geográficamente fuera del país, por lo cual deberá considerarse el establecimiento de temas legales sobre propiedad de la información local y trasmisión de información.
Ataques externos
La información que se encuentra en la empresa puede estar sujeta a ataques de ciber delincuentes al igual que en el proveedor de servicios, un ataque orientado a un proveedor de servicios Cloud puede consistir a denegación de servicios, o robo de información.
Riesgos de información
Considerando lo expuesto, algunos de los riesgos sobre los cuales se puede analizar una matriz de riesgo se detallan a continuación:
Acceso a la nube
Cloud Computing se caracteriza por ser multi tenancy lo cual facilita que varias personas accedan a servicios y procesos sobre los mismos recursos del proveedor. La información de los clientes pueden ser comprometidos por el propio proveedor o por un tercero que ha ganado acceso no autorizado.
Responsabilidad de las partes
Debe existir un contrato que defina adecuadamente las responsabilidades de las partes en el tratamiento y procesamiento de la información, así como las responsabilidades y consecuencias al comprometerse dicha información.
Confidencialidad de la información
Va en relación al tratamiento de la información por parte del proveedor pues la información circula en redes externas a la empresa, por lo cual es importante que el proveedor mantenga estrategias como encriptación, así como borrados seguros en caso de solicitud del cliente ante finalización de contratos y firmas de acuerdos de confidencialidad que perduren a lo largo del tiempo.
Riesgos empresariales
Otros riesgos que tienen influencia no solo en modelos de Cloud Computing sino que se presentan a nivel empresarial son los siguientes:
Personal
Sujetos a Ingeniería Social o personal que se encuentra disgustado con la empresa, el riesgo se presenta en robo o pérdida de información.
Borrado Seguro de Información
No existen estrategias de borrado y eliminación segura de los proveedores o empresas por lo cual la información se encuentra en muchos casos sin la adecuada supervisión siendo de fácil acceso para personal no autorizado.
Intercepción de datos en tránsito
Deben quedar establecidos en contratos con el proveedor temas de encripción y transmisión de información de la información a través de redes públicas, pues la intercepción de un tercero puede ser fácilmente realizable.
Monitoreo y auditoría de los servicios en Cloud
El proveedor debe estar sujeto a cualquier auditoría de los servicios ofrecidos para verificar en todo momento la integridad de los datos e información que se encuentra almacenada o procesada en el proveedor.
Fuente: Fermín D. Rico Peña, Sistemas ERP. Metodologías de Implementación y Evaluación de Software, Facultad de Ciencias Económicas, Universidad de A Coruña.
Adaptado por la División Consultoría de EvaluandoCloud.com