A inicio de 2018 se confirmó que una firma de datos políticos (Cambridge Analytica) obtuvo la información personal de 50 millones de usuarios de Facebook a través de una app desarrollada por un tercero. La misma vendió los datos a políticos estadounidenses sin el consentimiento de los usuarios. Aunque solo 270,000 personas realmente instalaron la aplicación, las políticas de intercambio de datos de Facebook en ese momento permitieron vulnerar millones de cuentas.
Bajo esta perspectiva se hace crítico en organizaciones que cuentan con servicios en la nube generar estrategias de seguridad para sus operaciones. Aunque este trabajo parece abrumador se pueden seguir 4 consideraciones básicas como punto de partida para generar el marco operativo de seguridad:
Una estrategia de seguridad no son solo controles y políticas
Una estrategia de seguridad inicia con la contratación del servicio. Es necesario identificar los puntos que deben establecerse dentro de un contrato. ¿Cómo puedo hacer las auditorías? ¿Con qué periodicidad? ¿Dónde van a estar almacenados los datos? ¿Tengo acceso o no a las instalaciones? ¿Tienen los proveedores una certificación? Una estrategia es, precisamente, prepararnos para iniciar un camino.
Establecer un equipo de Cloud Computing
Este no es solo un equipo de tecnología, sino un equipo en que se integra personal de departamentos de legal y de recursos humanos, para que trabaje sobre temas regulatorios. El equipo deberá velar porque el proveedor cumpla todas estas normativas y regulaciones, y porque las transacciones se mantengan seguras al amparo de estas.
La estrategia de seguridad en la nube no es diferente a una estrategia de seguridad actual.
Lo único que cambia es el ambiente en donde estamos desarrollando la estrategia. Es importante identificar qué controles de seguridad diferentes a los tradicionales se deben implementar. Para esto, es necesario apegarse a las regulaciones existentes, revisar las modificaciones a las normas ISO, así como otros controles en diferentes instancias.
Establecer una estrategia de administración del cambio
Es importante ayudar a la gente del negocio a entender que, al irnos a la nube no estamos poniendo en riesgo nuestra información. Si bien es cierto que, si existe un nivel de riesgo, este puede ser mitigado a través de la primera recomendación, que es la implementación de los controles.
