Las compañías que buscan garantizar la seguridad de su información sin incurrir en gastos importantes han adoptado la nube para la seguridad como servicio (SecaaS), tendencia que promete bajos costos y alta flexibilidad. Sin embargo, cuando la seguridad de la nube se transforma en una preocupación, los servicios de seguridad a la nube implican una serie importante de riesgos que enfrentar. Un nuevo reporte de ISACA, la asociación mundial de TI, evalúa el impacto de SecaaS en una empresa y plantea 10 preguntas clave que hacer – y responder – antes de implementarla.
De acuerdo con Seguridad como Servicio: Beneficios de Negocio con Perspectivas de Seguridad, Gobierno y Aseguramiento, entre los cuestionamientos más importantes para asegurarse que los riesgos sean gestionados son:
- ¿Qué modelo de servicio de nube es el que mejor satisfice nuestras necesidades?
- ¿Dónde se localizará la información y qué políticas de retención se aplicarán?
- ¿Cómo se protegerá la información (qué controles físicos y lógicos se implementarán)?
- ¿Cómo incluiremos al proveedor y los servicios subcontratados en los planes de continuidad del negocio y de recuperación de desastres?
- ¿Pueden transferirse los datos a otro proveedor si el contrato se termina?
“Las empresas pueden tercerizar servicios de seguridad de la información, pero no pueden tercerizar la responsabilidad de la seguridad”, señaló Patrick Hanrion, CISM, CISSP, CNE, director de Seguridad y Privacidad de McGladery LLP, y autor del reporte. “Responder a estas preguntas ayuda a comprobar que los controles para proteger los activos de información de la empresa se implementen de manera eficiente” agregó.
La guía de ISACA resalta que las compañías que utilizan SecaaS deben continuar con el análisis periódico de la información y activos de TI que sean críticos para ellas así como gestionar los riesgos asociados con usar a un proveedor externo para proteger los mismos.
“Sin la comprensión de estos datos de vital importancia, no hay forma de que la empresa determine qué servicios de seguridad necesita y contra qué amenazas se debe proteger”, indicó Hanrion.
La Seguridad como Servicio define las estrategias para abordar el riesgo, así como las consideraciones clave de gobierno y de aseguramiento basadas en los lineamientos del marco COBIT. El reporte está disponible sin costo en http://www.isaca.org/SecaaS.