Ocultos en la nube

Por norma general, las empresas disponen de un catálogo dónde se describen los servicios que ofrecen a sus clientes. Sin embargo, no siempre se dispone de un catálogo de servicios interno que detalle los servicios que cada departamento / área presta al resto de la organización. Definir y documentar este segundo catálogo aporta múltiples ventajas que facilitan la gestión de dichos servicios.

Si tratamos de acotar el catalogo de servicios que ofrece el Área de Sistemas de Información (o Departamento de Informática, según cómo se quiera nombrar) veremos que es mucho más amplio de lo que en principio cabría esperar. Resulta complicado documentar este catálogo y también lo es mantenerlo actualizado.

Supongamos que el catálogo de servicios “estándar” incluye: correo electrónico, unidad de almacenamiento en red, acceso a internet, herramientas ofimáticas, ERP corporativo, acceso a la intranet, antivirus, etc. Estos servicios están “bajo el control” del área SI pero debido a la proliferación de los servicios en la nube, es posible que algunas áreas de la organización haga uso de servicios TI sin que el área SI esté al corriente. Este escenario se puede dar con mayor frecuencia de la que pensamos: imaginemos por ejemplo que el área de Marketing decide hacer uso de un servicio de almacenamiento en la nube para el intercambio de documentación relacionada con las funciones del área. Es posible que para hacer uso de este servicio no se requiera instalar ninguna aplicación cliente en la estación de trabajo o que algunos miembros de dicha área hayan instalado dicha aplicación en su dispositivo móvil personal. Al área de SI le resultará complicado detectar este tipo de servicios ocultos en la nube. De hecho, seguramente no conozcan de la existencia de dicho servicio hasta que un empleado del área Marketing reporte una incidencia indicando que ha perdido los folletos con las promociones de la campaña navideña que había dejado en el repositorio nombre_desconocido_por_el_área_TI.

Hacer uso de servicios cloud sin el conocimiento del área SI puede suponer un importante riesgo para la organización. Ésta es una de las cuestiones tratadas en el artículo Technology is not enough: Taking a holistic view for information assurance (Guy Bunker – CTO ExcecIA LLP, United Kindom) publicado en la revista Information Security Technical Report. Además, el artículo incluye una serie de consideraciones a tener en cuenta si se decide hacer uso de servicios en la nube. Aunque se trata de unas recomendaciones de carácter general, creo que pueden resultar interesantes. Aprovecho para desarrollarlas en lo que resta de entrada.

Punto 1: Formación y concienciación

Es posible que la Dirección haya aprobado una nueva la política permitiendo el uso de servicios en la nube, pero esto no significa que se pueda hacer un uso indiscriminado de este tipo de servicios. Es importante trasladar a los usuarios las implicaciones derivadas de la nueva política y sobretodo se deben comunicar cuáles son los procedimientos a seguir para solicitar acceso a estos servicios.

Punto 2: Establecer procesos para la adopción rápida y segura de servicios en la nube

El área de sistemas de información debe definir e implantar un proceso formal que agilice la adopción de servicios en la nube. Las unidades de negocio que optan a este tipo de servicios necesitan poder hacer uso de los mismos “ya” (no dentro de cuatro meses). Es importante sistematizar la evaluación de riesgos para que el área TI pueda dar una respuesta rápida a las demandas / necesidades del resto de áreas de la organización. En la medida en la que se logre dar una respuesta eficiente, se evitará que el resto de áreas busquen “atajos” o vías alternativas para saltar las restricciones de seguridad marcadas por el área SI.

Punto 3: Proveedores homologados y servicios susceptibles de ser llevados a la nube

Puede resultar conveniente mantener una relación de proveedores de confianza así como una lista de los servicios que, en un momento determinado, podrían ser provistos desde la nube. En relación a los proveedores, los criterios para confeccionar la lista pueden ser muy amplios, por ejemplo, considerar las certificaciones en materia de seguridad que disponga el proveedor, estudiar el “tipo” de cloud (ej: equipos ubicados en territorio nacional o en territorio europeo), etc. En lo que respecta a la lista de servicios, se deben considerar tanto los requisitos legales como otros criterios de negocio. Por ejemplo, no se externalizarán los servicios que traten datos de carácter personal a proveedores si su cloud se encuentra ubicado en países cuya legislación no sea equiparable a la de la Unión Europea; no se externalizarán los servicios que traten información de las líneas de I+D+i por tratase de una información estratégica de la organización, etc.

Punto 4: Cambios en el DRP y BCP

Es posible que al llevar un servicio a la nube sea necesario actualizar los Planes de Recuperación ante Desastres o el Plan de Continuidad de Negocio especialmente en lo que a las estrategias de recuperación se refiere. Si el servicio en cuestión es poco relevante para la organización quizás no sea necesario modificar dichos planes. Probablemente estas cuestiones ya estén recogidas en el plan de mantenimiento del propio del BCP (puede que no se haga referencia explícita a servicios en la nube pero sí se tendrá en consideración los cambios en los sistemas de información y las dependencias que existan con terceras partes) pero en cualquier caso, es un aspecto importante que no podemos pasar por alto.

Punto 5: Consideraciones sobre la gestión de activos (Gest. Configuración)

Se deben revisar los procesos y procedimientos asociados a la gestión de la configuración para comprobar que tienen en consideración los servicios en la nube. ¿Quién es el propietario del servicio?, ¿quién es el responsable de los activos asociados? Estas son algunas de las cuestiones que debemos plantearnos a la hora de definir y asignar las responsabilidades en relación a este tipo de servicios.

Punto 6: Auditoría

Verificar que los procedimientos de auditoría tienen en consideración los servicios en la nube. De no ser así, las auditorías podrían reflejar una falsa situación de cumplimiento cuando en realidad existen riesgos relevantes que no se están teniendo en cuenta.

Punto 7: Gestión de accesos

Se deben adecuar los procedimientos de gestión de accesos para que contemplen los servicios en la nube así mismo, también es necesario disponer de medios para revocar los permisos otorgados en caso de que el empleado abandone la empresa o bien se decida retirar el servicio.

Llegado a este punto, podemos pensar que la gestión del cloud no deja de ser la gestión de servicios externalizados y aunque es cierto que comparten muchas similitudes pero a su vez, hay ciertas particularidades a las que debemos prestar especial atención. Por ejemplo, tal y como se ha mostrado en el ejemplo del área de Marketing, los servicios cloud están al alcance de todos y es posible que se queden fuera del alcance del área SI. Por este motivo, creo conveniente dedicar un poco de tiempo para valorar las recomendaciones anteriores y así prevenir las consecuencias derivadas de tener servicios y/o riesgos ocultos en la nube.

[Sobre el autor]