Table of Contents Table of Contents
Previous Page  59 / 84 Next Page
Information
Show Menu
Previous Page 59 / 84 Next Page
Page Background

zación y cifrado de documentos) o

PAM (gestión de usuarios privilegia-

dos)", comenta. A continuación, de

los servidores e infraestructuras que

se contraten en el

cloud,

hay que

verificar que el proveedor disponga

de servicios de seguridad perimetral.

Los más relevantes y obligatorios son

los de FW en

cloud,

IPS, AntiDDoS en

cloud

y WAF en

cloud.

Estos servicios,

según el directivo, son "un

kit

básico

que se debe exigir y, en la medida de

lo posible, contratar adecuadamente

en el proveedor

cloud".

Por otra parte, el cumplimiento nor-

mativo es otro de los pilares básicos

que hay que tener en cuenta para

potenciar la seguridad en estos entor-

nos. En ese caso, el problema se pre-

senta debido a la falta de transparencia

de estas infraestructuras, por lo que es

muy recomendable que el suscriptor

del servicio se informe claramente de

cómo se gestiona el entorno. Y para

ello existen los contratos de acuerdo de

servicio, los cuales deben de ser revisa-

dos y creados específicamente, deta-

llando los controles, las normativas, las

medidas de protección, los plazos de

recuperación del servicio, etc.

negocio y adecuarse a las distintas pla-

taformas empresariales. Es muy impor-

tante que dicho servicio se integre de

forma segura en las redes móviles y

fijas de la empresa, y que exista un

entorno optimizado para conectar las

infraestructuras

cloud

con servicios de

Internet de las Cosas".

Aparte de todo esto, "un buen pro-

veedor de servicios

cloud

debe dis-

poner de una completa serie de solu-

ciones que ayuden a cada cliente a

establecer sus políticas de seguridad

para hacer frente a los ataques, así

como asesoramiento y consultoría para

facilitarle ese viaje", a juicio del gerente

de Marketing Cloud para empresas en

Telefónica España.

Recomendaciones

Partiendo de esta base, hay una serie

de medidas que se pueden llevar a

cabo para mejora la seguridad

cloud.

Velasco, de Cloud Community Europe,

las resume en dos. En primer lugar,

hay que determinar qué datos se van

a almacenar y gestionar en la nube.

"Una vez identificados y su criticidad,

es importante utilizar tecnologías de

cifrado y gestión como IRM (securi-

Así lo expone González Lezana, de

Telefónica: "Todos los servicios

cloud

deben disponer de soluciones para

garantizar la disponibilidad de servicio,

así como flexibilidad para proporcionar

el servicio desde diferentes centros de

datos, previendo posibles desastres".

Para lograrlo, según el directivo, los

centros de datos deben disponer de

certificaciones como las que ofrece el

Uptime Institute, cuyo máximo expo-

nente es la certificación TIER IV Gold,

que asegura unas instalaciones con

mecanismos y redundancia para garan-

tizar una disponibilidad del 99,995 por

ciento del tiempo. "Adicionalmente, los

datos son críticos para las empresas y

algunos entornos requieren que estos

estén siempre cifrados", agrega.

Y relacionado con esto, Velasco, de

Cloud Community Europe, indica que

es recomendable que "se adquieran

los servicios

coud

a través de un pro-

veedor local en España o afincado en

la Unión Europea", y no en EEUU,

China o Reino Unido, "ya que de esta

forma se garantiza la posesión de la

información y el cumplimiento de las

normativas de protección de datos",

concluye.

Buenas prácticas en seguridad 'cloud' por áreas

ÁREA

RECOMENDACIÓN

Gobernanza

Implantar políticas y estándares en la provisión de servicios

cloud.

Establecer

mecanismos de auditoría y herramientas para que se sigan las políticas de la

organización durante el ciclo de vida.

Cumplimiento

Entender los distintos tipos de leyes y regulaciones y su impacto potencial en

los entornos

cloud.

Revisar y valorar las medidas del proveedor con respecto a

las necesidades de la organización.

Confianza

Incorporar mecanismos en el contrato que permitan controlar los procesos y

controles de privacidad empleados por el proveedor.

Arquitectura

Comprender las tecnologías que sustentan la infraestructura del proveedor para

entender las implicaciones de privacidad y seguridad de los controles técnicos.

Identidad y control de acceso Asegurar las salvaguardas necesarias para hacer seguras la autenticación, la

autorización y las funciones de control de acceso.

Aislamiento de software

Entender la virtualización y otras técnicas de aislamiento que el proveedor

emplee y valorar los riesgos implicados.

Disponibilidad

Asegurarse de que durante una interrupción prolongada del servicio las opera-

ciones críticas se pueden reanudar inmediatamente, y el resto de operaciones,

en un tiempo prudente.

Respuesta a incidentes

Entender y negociar los contratos de los proveedores, así como los procedi-

mientos para la respuesta a incidentes requeridos por la organización.

Fuente: National Institute of Standards and Technologies (NIST).

seguridad en cloud

monográfico

reportaje

red seguridad segundo trimestre 2017 59

1 54 55 56 57 58 59 60 61 62 63 64 65 84  FlippingBook