Nuevas guías de la Cloud Security Alliance, ahora centradas en la movilidad y la gestión de datos

compras móviles

 

La CSA ha actualizado su Cloud Control Matrix (CCM), diseñada para ayudar a las organizaciones a revisar las credenciales de seguridad de los proveedores de servicios cloud.

 

CCM proporciona recomendaciones de mejores prácticas para la seguridad de la cloud. Cubre una amplia variedad de áreas, desde el centro de datos, el hardware y la seguridad de aplicaciones, hasta la continuidad de negocio y la evaluación de vulnerabilidades. La tercera versión de CCM incluye guías para cinco nuevas categorías: seguridad móvil; gestión de la cadena de suministro; transparencia y responsabilidad; interoperabilidad y portabilidad; y encriptación y gestión de claves.

La movilidad era un área natural en la cual centrar las nuevas prácticas de seguridad, dado que se está convirtiendo en un caso de uso muy común para la cloud, según Sean Cordero, co-presidente del CCM Working Group que ha ayudado a crear estas nuevas guías. Las mejores prácticas de movilidad cubren no solo cómo se accede a los servicios basados en cloud desde dispositivos móviles, sino también cómo el software como las herramientas de gestión de dispositivos móviles se ofrecen en un modelo SaaS.

Una recomendación, por ejemplo, es tener una política de uso móvil bien definida y garantizar que todo el mundo dentro de la organización está familiarizada con ella. Si bien puede parecer bastante obvio, muchos clientes carecen de políticas básicas para controlar a qué servicios pueden acceder sus usuarios desde sus dispositivos móviles, según Cordero. “Esto se ha extendido debido al crecimiento orgánico de BYOD (bring your own device)”, explica este ejecutivo, también presidente de la consultora en seguridad cloud Cloud Watchmen, añadiendo que cuando “un directivo quiere usar un iPad, de repente surgen múltiples cuestiones”. Una política puede dictaminar cómo se protegen los dispositivos, qué información almacena y a qué datos del dispositivo tiene acceso la empresa. “Ser claro en las normas del juego”, puntualiza Cordero.

Otra nueva categoría es la gestión de la cadena de suministro, la transparencia y la responsabilidad. La CSA recomienda que los clientes tengan una visión clara de cómo el proveedor maneja exactamente los datos. En algunos casos, el suministrador puede estar trabajando con terceros, lo que puede representar un riesgo de seguridad, de acuerdo con el portavoz de la alianza cloud. Por ejemplo, en los despliegues de escritorios virtuales, los clientes pueden contratar a un suministrador y éste, para el back-end, puede estar utilizando la plataforma de almacenamiento de una tercera empresa. Los clientes deberían saber en qué consiste toda la cadena de suministro de sus datos para asegurarse de que está convenientemente protegida en todo el proceso.


Otro escenario cada vez más común es el del mercado de plataformas como servicio (PaaS), añade Cordero. Con frecuencia, PaaS, que es una plataforma de desarrollo de aplicaciones, se ejecuta en una infraestructura subyacente como un servicio (IaaS). Los clientes deberían ser conscientes de los acuerdos de nivel de servicio o SLA y los controles de seguridad no solo de su proveedor PaaS, sino también del proveedor de IaaS.

Seguir las mejores prácticas en seguridad definidas en el CCM es una forma de que los clientes se protejan a sí mismos. El reciente caso con el proveedor de almacenamiento cloud Nirvanix, que apenas informó a sus clientes de que movía los datos de su cloud porque cerraba, ha reforzado la importancia de tener una plan de emergencia de datos y continuidad de negocio.


La CSA – que es una organización sin ánimo de lucro centrada en el la seguridad de la cloud – actualiza regularmente el CCM para garantizar que incorpora los últimos estándares de seguridad aceptados por la industria, como ISO 27001/2. Miembros como Cordero trabajan con los usuarios, asesores y proveedores de servicios cloud para identificar las últimas tendencias en la industria y garantizar que quedan reflejadas en el CCM. Los clientes pueden comprobar la lista completa de especificaciones del CCM descargando aquí una versión PDF.

Por Brandon Butler, NetworkWorld



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper