Junto con excitantes nuevas oportunidades, la computación en la nube presenta nuevos retos tanto para los profesionales de TI como para los responsables de negocio. Los primeros tienen que cambiar su mentalidad de proveedor de servicios internos a uno externos y los últimos tienen que considerar los aspectos de seguridad en su decisión de moverse a la nube.

Pero ambas partes comparten algo: una debida diligencia (due diligence) en la selección del servicio.

La debida diligencia ayudará a las organizaciones al clarificar su perfil de riesgo y elegir el servicio en la nube que mejor cumpla sus necesidades evitando sorpresas más adelante.

Sin embargo, el proceso de debida diligencia no es fácil. Debemos considerar las medidas de seguridad implantadas por el proveedor, pero también los acuerdos de nivel de servicio, el cumplimiento con diferentes regulaciones y otros aspectos críticos relacionados con el potencial proveedor - estabilidad financiera, estrategia a largo plazo, experiencia en el sector, políticas de recursos humanos, garantías en caso de fusiones o adquisiciones, etc. Estos aspectos contribuyen a construir la confianza necesaria para establecer una relación a largo plazo con el proveedor.

Ninguna de las herramientas que tenemos para llevar a cabo este proceso son perfectas. Las certificaciones de seguridad están relacionadas con el proceso, no con el nivel de seguridad real que el proveedor tiene y el alcance puede ser completamente exógeno a nuestros intereses. Las auditorías, por otro lado, son específicas y concretas, pero los proveedores normalmente no están dispuestos a permitir que clientes potenciales les auditen para cubrir cada necesidad específica (los informes SSAE pueden ser una buena aproximación).

Por tanto, la debida diligencia necesita de herramientas ágiles que permitan a los profesionales de TI, a los gestores de riesgo, a los CIOs y a los responsables de negocio comparar de manera rápida y fácil los niveles de riesgo que suponen diferentes servicios en la nube, permitiéndoles tomar decisiones acertadas en línea con los objetivos de sus organizaciones.

En este escenario, podemos aplicar una herramienta que ha sido usada durante más de un siglo en los mercados financieros: la calificación. Aparte de las críticas relativas al papel de las agencias de calificación crediticia en la actual crisis financiera, la calificación ha demostrado ser una buena herramienta para los inversores. Todos nosotros continuamos creyendo y confiando en las auditorías, a pesar de casos como Enron (una correcta implementación de una idea no significa que la idea sea mala).

A diferencia de la calificación crediticia, la calificación de seguridad debe considerar, al menos, tres dimensiones de la seguridad para cubrir el apetito por el riesgo de la organización en tres vectores: confidencialidad, integridad y disponibilidad (una organización podría tener requerimientos muy fuertes en confidencialidad y no así en disponibilidad, por ejemplo).

La calificación de seguridad debería considerar las medidas de seguridad implantadas por los proveedores, así como los aspectos generales como estabilidad financiera y estrategias a largo plazo, mencionadas anteriormente.

Finalmente, la calificación de seguridad debería considerar si el proveedor detenta certificaciones de seguridad, y si realiza periódicamente auditorías exhaustivas.

Lo que puede ser de mayor ayuda es que la calificación de seguridad sea específica del servicio, considerando solo los aspectos relevantes a dicho servicio y ayudar así a las organizaciones a tomar las decisiones acertadas.

En nuestra opinión, gestionando los elementos problemáticos de las agencias de calificación - básicamente, transparencia y competencia -, pueden ser de una gran ayuda para todos nosotros a la hora de tener que elegir el mejor proveedor de servicios para nuestro negocio.

Cross-posted from ISACA blog

Puedes seguirnos en twitter.com/leet_security

28 de marzo de 2012