6 preguntas que deben hacer a su equipo de TI sobre seguridad de los datos en la nube

Por: Dan Mannion, Director de Estrategia de Nube en Sector Público
Antes de recibir los beneficios de una nube nacional – ahorro en costos, entrega de servicio mejorada, sustentabilidad – necesitan saber que su estrategia de privacidad y seguridad es a prueba de balas. ¿Cómo será compartida y protegida la información sensible? ¿Quién debería tener acceso a ella y a quién se le puede confiar? Para asegurarse que sus necesidades de privacidad y seguridad serán cumplidas, pregunten estas seis preguntas a su equipo de TI.
1. ¿Hemos documentado las reglas y regulaciones que están vigentes en nuestro país?
Su equipo de TI necesita entender a la perfección los requerimientos alrededor del uso, seguridad y privacidad de su información. Por ejemplo, los gobiernos podrían aplicar restricciones sobre qué tipo de datos pueden ser almacenados fuera de sitio o fuera de sus propias instalaciones físicas. Tal vez necesiten realizar una evaluación de riesgos de sus datos. ¿Son de misión crítica? ¿Hay implicaciones de privacidad personal o de seguridad nacional? ¿Es considerado registro público? Comiencen aquí para que puedan identificar el modelo de nube que aplique a sus necesidades.
2. ¿Los estándares internacionales de privacidad/seguridad aplican en su país?
Algunos gobiernos se adhieren a estándares internacionales como ISO 27001 o SSAE 16, que certifican que su organización sigue un sistema reconocido de controles para administrar información. Si esos estándares son mandatorios en su país, estos influenciarán su enfoque a un modelo de nube nacional.
3. ¿Hemos documentado de manera formal nuestro ambiente operativo?
Basándose en las respuestas que obtengan de las primeras dos preguntas, necesitan establecer qué tipos de servicios de nube pueden implementar, qué tipos de información requieren medidas de protección (comentamos ya clasificación de datos y aplicaciones para nubes híbridas en otro texto), y cuáles de sus agencias de gobierno se ven afectadas por esos estándares.
4. ¿Sabemos si nuestro proveedor de servicio de nube puede cumplir nuestros requerimientos específicos?
No sólo su líder interno de TI debe entender sus obligaciones para privacidad y seguridad. Estén preparados para verificar y documentar que su proveedor de servicio de nube - sea local o fuera del país – comprende las reglas y regulaciones de su país, y que puede diseñar y administrar un servicio de nube que cumpla con sus requerimientos.
5. ¿Entendemos a la perfección los términos del contrato que nos propone nuestro proveedor de servicio?
Asegúrense de saber a lo que está obligado a entregar su proveedor de servicio. Es vital que sepan esto antes de que ocurra un apagón o una brecha de seguridad. Identifiquen las medidas que realizará el proveedor del servicio, como auditorías de terceros, para asegurar que está al tanto de esas obligaciones y pónganlo por escrito.
6. ¿El proveedor de servicio está equipado técnicamente para proteger nuestros datos?
Evalúen las capacidades de su proveedor de servicio para proveer encriptación que proteja las conexiones de datos, así como el tráfico entre el cliente y el proveedor de servicio, entre el proveedor de servicio y el centro de datos, e incluso para tráfico en reposo. No se detengan ahí. ¿El proveedor de servicio puede mantener sus datos separados en un ambiente de nube pública? ¿Les pueden asegurar que tendrán un fácil acceso a su información, y que sus datos se mantendrán en su país? Busquen un proveedor que tome la seguridad tan en serio como ustedes, y que vaya más allá para ofrecerla.
Como siempre, hacer las preguntas correctas al momento incrementa la posibilidad de un entorno exitoso. Esto es en especial cierto para una implementación de nube nacional. Las respuestas que escuchan – o no les dirán si están listos para moverse a una nube nacional, y guiarán su estrategia para asegurar la privacidad y seguridad de sus datos una vez que lleguen ahí.