Newsletters

Noviembre 2012

Cloud Computing y Estrategia de Riesgos

 
Volver a Newsletter
Antonio Castilla, Aecnder Consultores

CONTACTO

José Taba,
Socio Líder Risk Consulting
logo-Acender-consultores

Coronel Pereira #72 · Piso 11
Las Condes · Santiago · Chile
Teléfono: + (56-2) 2912 0000
E-mail: jose.taba@acender.cl

Resulta clave definir los posibles riesgos que emergen de la implementación del cloud Computing en las organizaciones para desarrollar en forma exhaustiva el mapa de riesgos y estrategias para su administración.

Clave, ya que este “estilo de computación escalable y elástico en donde las capacidades TI son provistas como servicios a clientes externos utilizando tecnologías basadas en internet” va en aumento. Se espera que los ingresos globales por servicios de Cloud Computing tengan un crecimiento desde los 40,7 billones de dólares a 241 billones de dólares para el año 20120.

Cifras no menores para un recurso que presenta muchas oportunidades, pero también diversos riesgos que van de acuerdo a los “servicios” que subamos a la nube. Es en este sentido que podemos visualizar seis grandes áreas de riesgo a ser considerados:

  • Autenticación, corresponde al riesgo de que usuarios no autorizados puedan acceder como usuarios válidos. Si existe un alto porcentaje de recursos de información de la organización en la nube, este riesgo puede ser importante y significativo.
  • Seguridad y privacidad de datos, al externalizar los datos e información en los proveedores de Cloud Computing, se hace exigible que los mismos cumplan con estándares de protección de datos. El riesgo de pérdida de datos puede ser alto en la medida que no se implementen estrategias de seguridad de la información para la nube.
  • Interfase con sistemas internos, la mayoría de organizaciones no puede externalizar todos los sistemas en la nube. Es por ello que se hace necesario la construcción de interfaces para estos sistemas y la nube, estos nuevos elementos incrementan el riesgo de integridad de datos e interoperabilidad de los sistemas.
  • Continuidad de negocios, la continuidad de negocios en la nube depende del proveedor de servicios y debemos estar preparados para resolver la pregunta “¿Qué pasa si el proveedor desaparece mañana?”. El riesgo se centra en la viabilidad del proveedor de servicios y se deben considerar factores como: riesgo país en donde residen las instalaciones, cibercrimen, fusiones y adquisiciones entre otros.
  • Propiedad de los contenidos y requerimientos legales, al externalizar los sistemas, datos e infraestructura en la nube surgen algunas preguntas como:
  • Propiedad de los contenidos y requerimientos legales, al externalizar los sistemas, datos e infraestructura en la nube surgen algunas preguntas como:
    -¿Podemos traer de vuelta los datos si el proveedor desaparece?
    -En caso de disputas o desacuerdos, ¿cuál es la jurisdicción legal que resolverá las mismas?
    -¿Quién es el dueño de las aplicaciones y que derechos tiene la organización?

La panorámica es clara, resulta relativamente fácil identificar los riesgos que emergen de la implementación del Cloud Computing, este es el primer paso y debemos comenzar a desarrollar el mapa de riesgos y las estrategias para la administración de los mismos. Para ello es clave, la definición de una serie de service level agreement (SLA) relacionados con la administración de los riesgos identificados en la nube. Es importante desarrollar los distintos escenarios de riesgo y conversarlos con el proveedor de servicios para entender como puede cubrir cada uno de ellos y en la medida de lo posible, realizar auditorías externas al proveedor para tener seguridad razonable que los controles en la nube se encuentran operando.

 
 

Copyright © 1992-2012 Acender Consultants | Todos los derechos reservados. www.acender.cl