No 1 en cuota de mercado de la plataforma de protecci¨®n de aplicaciones nativas en la nube durante 6 a?os consecutivos
El cumplimiento de normativa de la nube es el arte y la ciencia de cumplir con los est¨¢ndares regulatorios del uso de la nube conforme a las directrices de la industria y las leyes locales, nacionales e internacionales. Algunos de los requisitos regulatorios m¨¢s frecuentes son la Ley de portabilidad y responsabilidad de seguros m¨¦dicos (HIPAA), el Payment Card Industry Data Security Standard (PCI-DSS) y la ley Gramm-Leach-Bliley (GLBA).
Una vez que una empresa est¨¢ en la nube, deber¨ªa preocuparse acerca de c¨®mo el proveedor de nube le ayudar¨¢ a mantener el cumplimiento con las layes, como el Reglamento General de Protecci¨®n de Datos (GDPR) de Europa o la HIPAA en EE.?UU. Este debate no debe comenzar una vez que el servicio en la nube se haya establecido, sino que se debe plantear desde el mismo inicio de los an¨¢lisis.
A menudo, las empresas se encuentran en la nube mucho antes de lo que lo planearon y esto complica las cosas. Uno de los principales retos de la nube es aquel que permita una interfaz de autoservicio para que facilite la configuraci¨®n, cambio y salida del cliente de los servicios en la nube.
Sin embargo, lo que no est¨¢ claro es qui¨¦n ser¨¢ el encargado, por parte del cliente, de realizar esto. Hoy en d¨ªa, podr¨ªa ser cualquier persona. Todo lo necesario es una tarjeta de cr¨¦dito corporativa y un departamento puede comenzar por su cuenta a colocar los datos en la nube. El t¨¦rmino para esto no es nuevo, se trata de ?TI en la sombra?. Este t¨¦rmino est¨¢ muy de moda ¨²ltimamente debido a las caracter¨ªsticas de la nube.
La gobernanza es la supervisi¨®n que llevan a cabo los altos ejecutivos y la junta directiva sobre la empresa. La gobernanza en la nube es una extensi¨®n de dicha supervisi¨®n en la nube. La gobernanza es fundamental. Sin ella habr¨ªa demasiadas preguntas sin resolver acerca de las metas y los objetivos de la empresa que har¨ªan la gesti¨®n de la nube y su seguridad sumamente dif¨ªciles.
Antes de que una empresa llegue a la nube, deber¨ªan definirse sus metas y objetivos. Ambos deber¨ªan guiarse por las leyes, regulaciones y contratos aplicables. M¨¢s all¨¢ de los aspectos legales, la gobernanza en la nube dirige a los empleados por el camino correcto con el fin de ayudar a la empresa a alcanzar sus metas y objetivos.
Los errores graves pueden hacer que la nube termine complicando las cosas, haciendo que los usuarios no puedan realizar su trabajo. Los errores incluso podr¨ªan llevar la empresa a los tribunales. La junta directiva y los ejecutivos a cargo de la gesti¨®n de la empresa deben tener prestar atenci¨®n y cuidado a la nube.
El primer punto de cualquier debate de cumplimiento de normativa es la ley. Las empresas y sus abogados deben definir qu¨¦ leyes se deben seguir. Tambi¨¦n deber¨ªan ser claros respecto a las consecuencias de su incumplimiento. Una vez que se identifiquen las leyes, es importante preguntarse qu¨¦ controles de seguridad se deben implantar con el fin de cumplir con las leyes y regulaciones aplicables.
Las regulaciones con el GDPR de la UE requieren un gran trabajo de seguridad respecto a la informaci¨®n personal. El GDPR de la UE tiene restricciones muy espec¨ªficas respecto a d¨®nde se pueden procesar y almacenar los datos bajo el ¨¢mbito de dicha regulaci¨®n. Esto conduce a un posible problema con la nube debido al funcionamiento de la misma. Sin embargo, se pueden adoptar controles con la mayor¨ªa de los proveedores de nube para cumplir con los requisitos del GDPR de la UE.
Los contratos definen un acuerdo formal entre dos o m¨¢s partes. Cuando una empresa celebra un contrato, est¨¢ obligada a estar a la altura de sus t¨¦rminos. Su incumplimiento podr¨ªa suponer graves sanciones econ¨®micas.
Es muy probable que una organizaci¨®n que procesa o almacena informaci¨®n de tarjetas de cr¨¦dito tenga un acuerdo con empresas de tarjetas de cr¨¦dito que les obliguen a implementar elementos espec¨ªficos del Payment Card Industry Data Security Standard (PCI-DSS).
Para procesar tarjetas de cr¨¦dito, una empresa firma un acuerdo mediante el que se compromete a cumplir con los 12?requisitos de seguridad del est¨¢ndar. El nivel en el que se deben implementar los requisitos depende del n¨²mero de transacciones procesadas al a?o.
Asimismo, una empresa tambi¨¦n deber¨ªa analizar si alguno de sus contratos con sus clientes estipula lo que puede o no realizar con la nube. ?Hay alguna repercusi¨®n en el cumplimiento de normativa si utiliza una nube de alg¨²n tipo, como p¨²blica, privada, comunitaria, etc.?
Numerosas empresas utilizan est¨¢ndares como los ISO 27001 o NIST SP 800-53 como base para la implementaci¨®n de controles de seguridad. Si una empresa ha decidido utilizar la ISO 27001 como su est¨¢ndar, debe formar a sus empleados para que se implementen los controles adecuados. Esto se ampl¨ªa a la nube. De hecho, ISO ha aislado los controles espec¨ªficos para la nube y los ha abordado en la ISO 27017.
Una forma de evaluar el nivel de cumplimiento de las leyes, regulaciones y contratos es realizar una auditor¨ªa. Las auditor¨ªas pueden ser internas o externas. Una auditor¨ªa interna, llevada a cabo por auditores de la propia empresa, proporciona una autoevaluaci¨®n para determinar su nivel de cumplimiento. Sin embargo, los resultados de una auditor¨ªa interna se pueden llegar a considerar como sesgados dado que los auditores podr¨ªan considerarse parciales en sus conclusiones.
Para proporcionar una opini¨®n m¨¢s objetiva, es posible elegir una empresa de auditor¨ªas externa e independiente para que realice una auditor¨ªa de la compa?¨ªa. Las auditor¨ªas que analizamos aqu¨ª respecto a la nube son aquellas realizadas por el proveedor de nube.
La mayor¨ªa de los proveedores de nube no ver¨ªan con buenos ojos que clientes de sus datacenters realicen su propia auditor¨ªa, por lo que nos basaremos en auditor¨ªas realizadas por empresas externas e independientes.
El resultado de una auditor¨ªa se encuentra en el informe de la misma. Los informes est¨¢n estandarizados por el American Institute of Certified Public Accountants (AICPA). Todas las empresas deber¨ªan solicitar el informe de auditor¨ªa SOC 2?. El informe SOC 2? est¨¢ destinado para las organizaciones de servicio, como los proveedores de nube. Muestra el cumplimiento con los controles definidos en la ISO 27001 o en el Marco de ciberseguridad (CSF) del NIST, por ejemplo. Los controles se eval¨²an frente a los cinco criterios de servicios de confianza del AICPA, que son:
Estos informes podr¨ªan ser de tipo?1 o de tipo?2. Un informe de tipo?1 muestra el estado de los controles en un momento espec¨ªfico y que los mismos est¨¢n dise?ados e instalados en un nivel de adecuaci¨®n. Un informe de tipo?2 muestra la efectividad operativa de los controles a lo largo de un periodo de tiempo, por ejemplo, de seis meses.
Un cliente de nube deber¨ªa solicitar estos informes, pero es posible que el proveedor de nube no est¨¦ dispuesto a proporcionarlos debido a que pueden contener informaci¨®n confidencial sobre sus actividades. Otra opci¨®n es un SOC 3?, destinado como un informe de uso general. Contiene muy poca informaci¨®n respecto a la actividad del proveedor de nube. Sin embargo, proporciona eficazmente al cliente el sello de aprobaci¨®n (o no) del proveedor de nube por parte del auditor.
Cloud Security proporciona una protecci¨®n con base en plataforma, gesti¨®n de riesgos y detecci¨®n y respuesta multinube, a la vez que potencia la seguridad desde los datacenters hasta los workloads en la nube, aplicaciones y arquitectura nativa en la nube.
Art¨ªculos relacionados
Investigaciones relacionadas