Respuestas
Respuesta:
Explicación:
Desde «la nube» nos «llueven» atractivos servicios: almacenamiento, backup, aplicaciones de oficina, servidores de correo, alojamiento web, gestión de contactos, etc. Con esta oferta irresistible de servicios de «pago por uso», las pymes valoran las ventajas que supone para sus economías el poder evitar importantes inversiones en hardware, software y personal técnico propio.
Por si fuera poco, estos servicios en la nube aportan interesantes oportunidades para el trabajo colaborativo y ubicuo. Los servicios en la nube, cloud, también ofrecen muchas mejoras en la seguridad si los comparamos con la opción tradicional aunque no están exentos de riesgos.
Pero: ¿cómo podemos distinguir entre las distintas opciones del mercado las más seguras?, ¿qué aspectos de seguridad del cloud debemos considerar antes de contratar?
La reciente Guía de Seguridad en Cloud para pymes (en inglés) de la Agencia Europea de Seguridad (ENISA) propone estas doce preguntas que debemos plantear al proveedor:
Para el servicio que quiero contratar: ¿cómo gestiona el proveedor los riesgos de seguridad de la información?
Como clientes tendremos que tener una idea de la eficacia de la gestión de la seguridad del proveedor. Una buena respuesta tendría:
un punto de contacto para incidentes de seguridad;
la política de seguridad del proveedor y sus dependencias con terceros (si a su vez externalizan);
los informes de auditoría o sus certificaciones (como ISO27001) que incluyan el servicio en el alcance;
los informes de cumplimiento o adherencia a estándares de buenas prácticas.
¿Qué tareas de seguridad hace el proveedor?, ¿qué tipo de incidentes de seguridad son mitigados por él? (y qué tareas e incidentes permanecen bajo nuestra responsabilidad)
Cada servicio cloud es diferente y también lo será el reparto de responsabilidades y obligaciones en cuanto a la seguridad. Pero en el contrato o en los acuerdos de nivel de servicio (SLA) se debe especificar:
los activos cuya seguridad vigilará el proveedor y los que vigilaremos nosotros;
las tareas de seguridad (parcheado, actualización,…) que realizará el proveedor y las que realizaremos nosotros;
una clasificación de incidentes con sus objetivos de tiempos de respuesta o recuperación;
las obligaciones contractuales, por ejemplo compensaciones financieras por pérdidas, etc.
¿Cómo maneja el proveedor los desastres que afecten a los centros de datos o a las conexiones? y ¿de qué datos se hace backup y dónde?
En el caso que un terremoto, una tormenta eléctrica o una inundación afecten al proveedor tendremos que saber en qué medida el servicio cloud que contratamos permanecerá activo, y cómo y dónde se hacen las copias de seguridad. Para ello tendremos que poder revisar:
los planes de recuperación ante desastres y continuidad de negocio del proveedor (revisa este post);
los mecanismos de backup, tolerancia a fallos y tiempos de recuperación;
si tienen redundancia de sus centros de datos.
¿Cómo se garantiza la seguridad del servicio cloud en lo que concierne a disputas administrativas y aspectos legales?
Si el proveedor tuviera algún problema administrativo o legal (bancarrota, embargo, denuncias…) interno o con terceros, como clientes querremos saber qué ocurrirá con nuestros datos y con la continuidad del servicio. Debemos comprobar que aún en estos casos el servicio está garantizado. En los SLA o las cláusulas del contrato se incluirán las que nos garanticen el acceso a los datos y a las copias de seguridad en estos casos.
¿Cómo asegura que su personal trabaja con medidas de seguridad?
Si vamos a depositar nuestros datos en sus manos tendremos que comprobar que son responsables. Algunas de las formas que tiene el proveedor de demostrar esto es:
con certificados profesionales;
con sus políticas de incorporación y formación de empleados;
mediante ataques simulados a sus empleados con mecanismos de ingeniería social.
¿Cómo se protegen nuestros procesos y datos de los accesos lógicos y físicos no autorizados?
Nuestros datos y procesos estarán en sus instalaciones. El proveedor debería mostrarnos:
las medidas de control de acceso físico y lógico (roles, privilegios,…) que tiene implantados;
los mecanismos de autenticación en uso;
su cumplimiento con criterios de buenas prácticas.
¿Cómo asegura la seguridad del software? y ¿qué software permanece bajo nuestra responsabilidad?
Como clientes tendremos que conocer cómo el proveedor garantiza la seguridad del software, en particular solicitaremos:
informes de escaneos de vulnerabilidades;
procedimientos de parcheado y actualización;
auditorías externas del software.
¿Cómo se protege el acceso a los interfaces de usuario y de programación de aplicaciones?, y ¿existen medidas adicionales para los perfiles con privilegios y administradores?
este es el documento de entrevistas de aprendo en casa para que todos se puedan guiar espero les ayude, a mi me ayudo :3
si te ayude dame coronita y sígueme en tik tok como : nanitiktok
#devuelvofollow
: