30 septiembre 2010

Seguridad en las nubes

Después de algún tiempo inactivo vuelvo a la carga, con la esperanza de poder mantener un ritmo de publicación más normal. Y qué mejor que retomar la actividad del blog reseñando un estupendo artículo de Juan Cobo, publicado en la Revista SiC nº 91, titulado Seguridad en "la nube": ¿Cómo controlar lo que no controlas? acerca de qué medidas mínimas se deberían adoptar para mantener bajo control los servicios externalizados en la nube.

Como el artículo está a disposición de todo el que lo quiera leer, me voy a limitar a resumir los aspectos a mi juicio más destacables a la hora de poder gestionar la seguridad de unos servicios externalizados, de acuerdo con dicho artículo:
  • Tendremos que extender nuestros procedimientos y normas de gestión de la seguridad al prestador de servicios, "obligándole" a que las adopte como mínimos exigibles.
  • Deberíamos conseguir que el prestador de servicios se comprometa a aplicar internamente unas medidas de seguridad técnicas, organizativas y operativas mínimas (dicho de otra forma, exigirle que gestione su seguridad).
  • El proveedor deberá comprometerse a ser auditado periódicamente y a corregir las desviaciones que se detecten en las auditorías, poniendo a nuestra disposición los informes de auditoría.
  • Deberemos reservarnos el derecho de ser nosotros mismos quienes auditemos al proveedor, tanto a nivel técnico como a nivel de gestión.
  • El proveedor deberá comprometerse a gestionar formalmente sus incidentes de seguridad, y a informarnos acerca de ellos y de las acciones adoptadas para su corrección.
  • Tendríamos que conseguir que el proveedor de servicios designe un responsable de seguridad que centralice su interlocución con nosotros en dicha materia, manteniéndonos informados periódicamente.
  • Tendremos que reservarnos el derecho de cancelar el contrato a causa de una seguridad deficiente.
  • Deberíamos establecer SLAs sobre los aspectos de seguridad organizativa y técnica más relevantes para el servicio subcontratado: bastionado, gestión de cambios y parches, gestión de incidentes de seguridad, resultados de las auditorías, etc.
  • Por último, también sería conveniente que estableciésemos penalizaciones económicas, aparte de los SLAs, en caso de que se produzca algún incidente grave de seguridad que nos perjudique (sobre todo los relacionados con divulgación de nuestra información).
En resumidas cuentas, un estupendo compendio de condiciones que deberíamos incluir en nuestros contratos a la hora de subcontratar servicios, y más en aquellos casos en los que la nube no nos deja ver el funcionamiento real de los prestadores de servicios. ¿Cuántos de estos condicionantes incluís en vuestros contratos?

2 comentarios:

Anónimo dijo...

Y eso sin contar con los problemas para negociar las condiciones con grandes proveedores (lo tomas o lo dejas, pero la letra pequeña la ponen ellos) como telecos.... y los lios con los que no estan sujetos al sistema legal español, ni tan siquiera el europeo de modo que no hay nada que hacer por la via legal para hacer cumplir las condiciones.

salu2
Kike

Joseba Enjuto dijo...

Veo que te ha tocado "pegarte" con proveedores... Me temo que, como siempre, la realidad es más dura que cualquier "guía de buenas prácticas". Al final, toca poner en un plato de la balanza el nivel de servicio que ofrece el proveedor y en la otra el nivel de "protección jurídica" que tenemos ante problemas con ese nivel de servicio, ponderado por la probabilidad de que incumpla los niveles comprometidos... ¿Cuál es el "nivel de riesgo" resultante? ;-)