Recomendaciones sobre privacidad en la nube (parte 3): ¿Qué deben considerar los profesionales al elegir servicios de nube?

recomendaciones-3

Desafíos Multinube y de Privacidad

Uno de los más grandes desafíos actualmente para profesionales de la privacidad es cómo implementar distintos requerimientos de conformidad de privacidad a través de múltiples plataformas, tecnologías, proveedores externos, geografías, usuarios internos de información y clientes.

A diario, organizaciones alrededor del mundo enfrentan el riesgo de tener fallas de seguridad y filtraciones de datos. Tomando eso en consideración, las empresas deben entender cómo brindar experiencias de usuario multiplataformas a la vez que comparten información del cliente y de la industria de manera segura a través de distintos ambientes de aplicación.

Mudarse a la nube puede modernizar las capacidades de las TI de una organización para expandirla más allá del modelo de servicio de outsourcing tradicional, pero elegir y construir una solución multinube puede ser una labor desafiante y compleja.

LOS BENEFICIOS DE LA NUBE

Mudar datos y cargas de trabajo a la nube puede tener grandes beneficios a su negocio; en especial cuando se trata de sistemas y aplicaciones que simultáneamente administran procesos de negocios y generan ingresos. El rápido crecimiento de las opciones de computación en la nube permite que las compañías crezcan y provean almacenamiento de datos y potencia de cómputo “a la medida” de una manera mucho más conveniente desde el punto de vista económico.

En la práctica, cuando se implementa de manera correcta, la nube puede ofrecer ciertos beneficios, como pueden ser los siguientes:

  • velocidad, potencia, escalabilidad, agilidad y confiabilidad par las soluciones en línea de la organización
  • mayor eficiencia, pues acelera el time to market
  • mayor seguridad de la infraestructura, aplicaciones y datos
  • acceso a expertos en la nube que las organizaciones no suelen tener en su nómina
  • herramientas y características que las organizaciones no pueden desarrollar internamente
  • un enfoque centralizado para la nube y la posibilidad de salir de una shadow IT
  • acuerdos de nivel de servicio para lidiar con la disponibilidad

El proveedor de nube correcto puede brindar experiencia, conocimientos y las capacidades necesarias a lo largo del rango de sus modelos de implementación de nube e infraestructura, lo que a su vez permitirá que su personal de TI se enfoque en lo que más importa de su negocio.

MODELOS DE SERVICIO DE NUBE Y DESAFÍOS A LA PRIVACIDAD

Cuando se trata de utilizar servicios de la nube, no hay uno que se adapte a todas las necesidades. Las organizaciones deben ser capaces de poner sus aplicaciones, cargas de trabajo y datos en donde mejor encajen. Esto es aun más importante cuando se trata de privacidad. La manera en que las organizaciones utilizan la nube es relevante cuando se trata de la privacidad y la seguridad de información personal.

Dependiendo del tipo de servicios de nube utilizados (Saas, PaaS o IaaS), los roles y responsabilidades relacionadas con la seguridad y privacidad de la información pueden variar. Estos modelos de servicio reparten la responsabilidad por riesgo y capacidad de mitigar filtraciones de datos de una manera completamente distinta. La responsabilidad de la información y la mitigación del riesgo de los datos pueden recaer en los dueños de la información y múltiples proveedores de nube.

Por tanto, es imperante que los profesionales de la privacidad entiendan esto:

  • la interacción entre los distintos modelos de servicio de nube utilizados por su organización
  • la arquitectura y topología de nube: pública, privada, híbrida y nube administrada
  • la infraestructura subyacente y proveedores externos involucrados en los servicios de nube
  • cómo se transmite la responsabilidad de su información a lo largo de la cadena conformada por los distintos proveedores
  • cómo se dividen los roles y responsabilidades entre el equipo interno de TI y los distintos proveedores de nube
  • el impacto, si es que existe, de la interoperabilidad de una internube.

Entender la nube y saber qué tipo de información enviará su organización a la nube puede ayudar a los profesionales de la privacidad a lidiar con requisitos específicos de conformidad de privacidad.

CONSIDERACIONES DE PRIVACIDAD CUANDO SE CONSTRUYE UNA ESTRATEGIA DE NUBE

Los usuarios de nube necesitan asegurarse de que la información personal sea almacenada, procesada y protegida de manera adecuada. Al combinar distintos modelos de implementación de nube, las organizaciones puede tener un mejor manejo de las preocupaciones sobre privacidad en la nube. Elegir el modelo adecuado de implementación de nube –y los proveedores adecuados– es un componente fundamental para asegurar una estrategia de privacidad para la nube exitosa y a largo plazo.

SOLUCIONES IN SITU Y EX SITU

Si comparamos una implementación in situ, almacenar datos e implementar soluciones de TI en una nube ex situ puede resultar una mejor solución para la privacidad de la información personal.

Una solución in situ puede proveer algunas ventajas, pero también puede exponer la información a un riesgo mayor si una organización no tiene suficiente seguridad, recursos y experiencia para protegerla 24x7x365. Es probable que exista un riesgo significativamente mayor a la privacidad de la información en una solución in situ que cuando las organizaciones almacenan los datos en una nube lejana a sus instalaciones. Las soluciones in situ exigen espacio dedicado en servidores, hardware, sistemas de enfriamiento, y redundancia de sistemas para asegurar la disponibilidad e integridad de la información. Las organizaciones necesitan crear una infraestructura segura en un edificio seguro y lidiar con fallas y glitches y parches y mejoras y monitoreos. Asimismo, las implementaciones in situ exigen de una inversión cuantiosa por parte de las empresas, pues una organización debe tener espacio dedicado, soluciones redundantes, hardware, software y experiencia humana para operarlas. Al utilizar a un proveedor de nube confiable y de buena reputación, las organizaciones pueden hacerse cargo de esas necesidades de una manera más segura y más eficiente económicamente.

Los proveedores de nube de buena reputación tienen estándares de seguridad de datos elevados, así como gran experiencia en mantener y asegurar infraestructuras de nube. En muchos casos, los negocios no pueden darse el lujo de construir sus propios centros de datos con seguridad, software, infraestructura y herramientas de punta, así como a expertos de tecnología que puedan operarla.

PASOS CLAVES PARA UNA ESTRATEGIA DE PRIVACIDAD EN LA NUBE

Entender la nube es el único paso del proceso de transformación de las TI. Uno de los pasos más importantes para construir la estrategia de privacidad de una organización es entender su panorama de información, qué es lo que está comprando de un proveedor de nube determinado, y qué roles y responsabilidades se comparten en la administración de la infraestructura, aplicaciones y datos.

Planear una migración a la nube con estas cuatro fases es obligatorio para abordar de manera adecuada requerimientos de privacidad e implementar las políticas y procedimientos de privacidad de su organización a través de todas sus nubes.

1. Evalúe la disposición de su organización para la nube

Es vital que los profesionales de la privacidad inicien su evaluación de disposición para saltar a la nube antes de migrar su información a esa misma nube. Una evaluación adecuada puede dar pie a una migración rica en información y a un entendimiento de los controles de seguridad necesarios para proteger de manera adecuada los datos y para abordar los requerimientos de conformidad. En esta fase, los profesionales de la privacidad necesitan hacer mancuerna con expertos de seguridad y TI, así como con sus socios de negocios internos (tales como los equipos de liderazgo, legal y conformidad) para evaluar y entender las metas, intereses, puntos de conflicto y objetivos de negocio de su organización.

Al momento de determinar qué modelo de implementación de nube utilizar para cada carga y cada bloque de datos, los profesionales de la privacidad deben evaluar lo siguiente:

  • las necesidades de negocio y las metas de su organización al migrar a la nube
  • el panorama de datos de su organización y control de la información
  • el tipo de datos que su organización enviará a la nube
  • el flujo de datos; de dónde proviene la información y en dónde la procesarán y almacenarán
  • cualquier requerimiento de privacidad, seguridad y conformidad que necesite satisfacerse de acuerdo a los tipos de datos
  • cualquier restricción para transferir información personal a otro país
  • el perfil de riesgo y quién puede mitigarlo
  • cómo su organización puede implementar medidas organizacionales y de seguridad particulares para proteger información personal
  • la capacidad técnica in situ de su organización para lidiar con distintas cargas de trabajo en la nube por sí mismos
  • si serán necesarios múltiples proveedores de nube para cargas de trabajo específicas
  • la capacidad para implementar medidas de seguridad técnicas y organizacionales a través de las soluciones in situ y ex situ de la organización
  • el modelo de servicio y soporte que provee un proveedor de nube en potencia

Al llevar a cabo una evaluación de disposición para la nube y luego de investigar suficientemente para encontrar proveedores de nube confiables y experimentados, las organizaciones pueden hacer un mejor escalamiento, liberar recursos internos e implementar modelos de nube más eficientes en cuanto a costos, a la vez que se hacen cargo de la privacidad, seguridad y disponibilidad de su información. Una evaluación adecuada puede ayudar a identificar y mitigar los riesgos en distintos modelos de nube.

2. Planee su migración a la nube

No migre su información fundamental sin hacer previamente la tarea. ¡Todo lleva planeación! Cuando las organizaciones construyen y diseñan un entorno multinube, necesitan tener en mente que todas las aplicaciones de TI son un ecosistema complejo. Es necesario entender la infraestructura y en dónde se conecta. También se requiere entender quién utiliza la aplicación, cómo la utiliza y con qué frecuencia.

Como mencionamos en el blog post anterior (Consideraciones de privacidad en la nube (parte 2) – Vivimos en un mundo de múltiples nubes: la importancia de los servicios en la nube y los modelos de implementación en cuestiones de privacidad), es necesaria una evaluación adecuada de cómo la tecnología, distintos proveedores, gente y procesos interactúan en la nube para implementar una infraestructura de negocio en línea más segura. Esto permite que las organizaciones pongan las bases para la estrategia de privacidad en la nube.

Una planeación adecuada puede asegurar que la solución correcta, desde el proveedor adecuado hasta el perfil de riesgo adecuado, sea aquella que se diseñe e implemente.

Cuando planean una migración a la nube, los profesionales de la privacidad necesitan:

  • involucrar a los expertos adecuados para que lleven a cabo una diligencia debida basada en el portafolio de aplicaciones, los tipos de datos, los requerimientos de conformidad y las necesidades de negocio de la organización
  • entender los puntos de conexión entre nubes de los sistemas, software e infraestructuras externas
  • implementar un plan robusto de recuperación de desastres, redundancia y respaldo de datos
  • identificar quién será responsable de los distintos aspectos de protección y seguridad de datos

Con esta evaluación y planeación fundamental, las organizaciones pueden designar una solución de nube ideal basada en su panorama de datos, requerimientos de conformidad de privacidad, y recursos disponibles. Tener este análisis puede ayudar a que los profesionales de la privacidad creen un mapa de ruta para el recorrido multinube de su organización. Asimismo, puede ayudarles a elegir la solución de nube adecuada con los controles adecuados en cada lugar, tales como una seguridad, monitoreo, redundancia, soporte y tiempo de respuesta adecuados.

3. Diseñe su solución de nube con la privacidad en mente

La fase de diseño de su camino hacia la nube permitirá a su organización integrar sus políticas de privacidad con la tecnología. Cuando diseñan sus implementaciones en la nube, las organizaciones deben considerar sus capacidades internas para soportarlas, así como las capacidades de sus proveedores en potencia.

Asegurarse de que los profesionales de la privacidad provean un análisis sobre los requerimientos de privacidad en esta fase puede ayudar a definir objetivos claros y a implementar medidas adecuadas para proteger información personal y satisfacer los criterios de conformidad.

La elección de cuál modelo de implementación sea el mejor para una organización dependerá de los requerimientos específicos de una organización.

La solución con frecuencia es un enfoque multinube, una combinación de nube privada y pública. La nube pública –es decir, la nube tradicional con hospedaje de múltiples inquilinos– es algo que puede ser de utilidad para todos los negocios para una parte de su infraestructura, aplicaciones e información, pero esto podría no ser necesariamente lo más adecuado para todos los componentes de su negocio.

Por tanto, la primera pregunta que los profesionales de la privacidad necesitan responder al diseñar su implementación de nube es si utilizar la nube pública es lo adecuado para el tipo de datos que tienen.

  • Flexibilidad multinube: lo beneficios en privacidad de las nubes privadas e híbridas

Con la flexibilidad multinube de la actualidad, una organización puede construir un ambiente que satisfaga sus necesidades empresariales a la vez que los requisitos de conformidad y privacidad.

La nube pública es ideal para una escalabilidad veloz, implementación rápida y modelos de facturación de utilidad pero algunas aplicaciones y datos exigen infraestructura dedicada y hospedaje de un solo inquilino, principalmente, todas aquellas que tienen relación con privacidad, seguridad y conformidad.

Los servidores dedicados y la nube privada pueden ser personalizadas para dar un mejor desempeño a las organizaciones, mayor seguridad y control de sus configuraciones de servidores y hardware.

Por tanto, la infraestructura dedicada y la nube privada son un componente fundamental del ecosistema de nube, al proveer mayor control del ambiente y mayor seguridad de las cargas de trabajo clave. Con el proveedor adecuado, las soluciones de nube pueden ser construidas para escalar de una nube privada y dedicada a una nube pública.

Tener la flexibilidad para implementar una multinube híbrida para diferentes cargas de trabajo y tipos de datos permite a los negocios alcanzar un mejor desempeño y seguridad sin sacrificar la agilidad que surge de las implementaciones típicas de una nube pública. Además –aun más importante–, esto puede ayudar a que las organizaciones satisfagan requerimientos de conformidad específicos al implementar las medidas organizacionales y técnicas apropiadas internamente y a través de múltiples nubes, basadas en el tipo de datos almacenados en una nube particular.

Implementar la nube híbrida adecuada –conectar una infraestructura privada dedicada a la nube pública– puede permitir a las organizaciones proteger mejor los datos vitales de su negocio con un circuito privado que evita el internet a cambio de la seguridad incrementada de los otros centros de datos y ambientes de nube de la organización.

Cuando diseñe su solución de nube, asegúrese de que sus proveedores de nube puedan ofrecer opciones de nube híbrida que le permitan almacenar su información personal y sensible en una nube privada con capas de servicios de seguridad sobre esa implementación.

Una vez que los modelos y proveedores ideales de implementación de nube fueron elegidos, las organizaciones necesitan trabajar con expertos de migración y seguridad para desarrollar y ejecutar un plan y una arquitectura de migración detallados, y asegurar y operar recursos de nube a través de plataformas de nube privadas e híbridas. El paso crítico en la fase de diseño también es poner a prueba la solución de nube antes de migrar los datos.

  • Encárguese de tener una estrategia de salida a través de todas las implementaciones de nube

Pese a que podría ser incómodo hablar de un divorcio justo cuando está casándose con su proveedor(es) de nube, es importante discutir las estrategias de salida a través de sus nubes al inicio de su relación con múltiples proveedores. Cuando analizan las consideraciones de privacidad en la nube, las organizaciones necesitan entender qué niveles de servicio ofrece el proveedor de la nube, qué sucede al final del contrato y cómo recibirán sus datos al expirar el contrato.

Estos detalles deberán ser establecidos por adelantado para tener en consideración cuál será la situación de su organización cuando cambie de proveedor de servicio y cómo podrá mudar sus datos.

Desde una perspectiva práctica, es importante tener una estrategia de salida si el proveedor de nube no satisface sus compromisos de nivel de servicio o si uno de los proveedores en la cadena de servicio deja de proveer servicios a su organización. Las organizaciones necesitan entender cómo podrán terminar relaciones laborales con un proveedor de servicio y si necesitarán asistencia operacional continua de ese proveedor para migrar la información a otro proveedor.

4. Mantenga su solución de nube

Una vez que eche a andar su ambiente en la nube, su responsabilidad de proteger la información no ha concluido. Las organizaciones deben mantener una postura de seguridad adecuada basada en el tipo de datos, vectores de amenazas, industria y desarrollos regulatorios.

Para asegurarse de que los riesgos de seguridad y privacidad sean tratados de manera adecuada, las organizaciones deberán realizar periódicamente una evaluación de impacto de riesgo y privacidad a través de sus soluciones in situ y ex situ. Las organizaciones deberán probar sus ambientes de manera regular a través de pruebas de carga y desempeño, evaluaciones de penetración y escaneos de vulnerabilidades.

Con el proveedor correcto, los usuarios de nube pueden tener acceso a las más novedosas defensas y actualizaciones de seguridad ante amenazas sin la necesidad de desplegar dispositivos o emplear a expertos in situ que resulten en un costo mayor.

En el próximo blog post de esta serie acerca de Recomendaciones de privacidad, hablaremos acerca de la importancia de la seguridad en la privacidad.

Lo invitamos a conocer todas las soluciones que Aranda Software tiene en la Nube para hacer más fácil y productiva su gestión IT.

 

* Estos artículos abordan consideraciones generales sobre privacidad y no pueden concebirse como una asesoramiento jurídico sobre el cumplimiento con las leyes de privacidad que puedan aplicarse a su negocio. Los usuarios de la nube interesados en seguir cualquiera de las estrategias o directrices provistas en este artículo deberán conseguir el apoyo de personas experimentadas para evaluar los requisitos aplicables a sus ambientes de cómputo en la nube y sus requisitos de cumplimiento de normas.

 

fuente

Dejar un Comentario

tres × 5 =

Empiece a escribir y presione Enter para realizar la búsqueda

Top Contáctanos