D’una banda, forma part del procés de creació de noves expectatives que tota indústria a de crear, però d’altre es molt més la pressió de les grans consultores que marquen el camí a seguir, i que posteriorment cobren per fer el recorregut.
Veiem una sèrie de punts a tenir en conte al optar per una aplicació Cloud:
- Desaparició de la segregació xarxa interna/externa
- Dispositius mòbils
- Legislació a aplicar / LOPD
- Test d'intrussió / Penetration Test
- Segregació d'accessos i limitació d'exportació de dades.
- Contractació sense coneixement de IT
- Continuïtat de negoci (SCO, DRP, BCP,...)
- Portabilitat de les dades.
- Obsolescència i dret a morir digitalment
Desaparició de la segregació Xarxa interna / Externa:
Conforme incrementem l’ús de aplicacions Cloud que requeriran accés a la nostre xarxa interna (validació d’usuaris, control d’accessos, assignació de costos d’ús,...) més i més personal, xarxes i dispositius, tindran accés a la nostra xarxa interna sense un control directe.Dispositius mòbils
Una de les grans avantatges que es venen amb les aplicacions cloud son la seva disponibilitat per a dispositius mòbils, que gestiona, adapta i fa evolucionar una empresa externa.Sota aquest paraigües podem trobar empreses realment especialitzades, juntament a petites empreses que han fet un rentat de cara a part de les seves funcionalitats front-end.
La gran quantitat de dispositius mòbils i versions existents al mercat dificultarà a la empresa que ens esta gestionant l’aplicació el manteniment de la seguretat.
Legislació a aplicar.
Un dels punts més importants a tractar en la contractació d’un proveïdor Cloud es la legislació a aplicar. Encara més si tenim en comte que teòricament les teves dades poden ser mogudes a un altre país o fins i tot a un altre continent. Així que cal preguntar-se:- Les meves dades esta sotmeses a legislació que limiti la exportació de dades?
- Hi han prous proteccions tècniques i jurídiques que redueixin els riscos?
Algunes recomanacions que es fan:
- incloure avisos amb checkbox obligatori que forcin al usuari a acceptar les polítiques de la companyia.
- Formació periòdica
- Revisió de clàusules de subcontractació.
- Indicar quan va ser el darrer accés –login- per a ajudar a detectar intrusions.
Llei de protecció de dades.
Un cas particular respecte a la legislació general es la legislació específica de protecció de dades personals. Existeix directives de la EU que impedeixen el moviment de dades personals fora de la EU sense les proteccions adients, per exemple, estan aprovades a Israel, Uruguai, Canada, etc...- Sota quina legislació esta emparades les dades personals?
- Si el meu proveïdor esta ubicat fora (que acostuma a ser Europa del Est o Asia) han de complir la regulació local?
- Tenen una legislació equivalent?
- Hi ha regulació que m’impedeix ubicar-ho en alguns països?
- Es legal la nova estructura organitzativa si la gestió i les dades estan ubicades fora?
- Respon aquesta estructura als requeriments normatius locals?
Pots veure alguns comentaris més a la meva entrada Cloud Computing i Dades Personals
Test de intrusió: Penetration Test.
Quan tota la gestió es interna es factible, especialment si estem a una gran empresa, la gestió de test de intrusió.- Com fer-ho quan la teva porta d’entrada son múltiples aplicacions cloud?
- Està inclòs al contracte aquesta possibilitat?
- Podem estar tranquils que no estan entrant per una aplicació “segura perquè es cloud”?
Segregació d’accessos i limitació d’exportació de dades.
Si al hosting tradicional la limitació del accés, el principi de mínims privilegis, i la revisió i control de rols i perfils es molt important, encara ho es més en un entorn Cloud sense barreres físiques, d’accés ni de dispositiu.Cal tenir en compte també les possibilitats d’exportació i reenviament de dades a altres dispositius, comptes de correu, USB, DropBox, etc.... i limitar-les a qui realment requereixi d’aquestes opcions.
Contractació sense coneixement de IT.
La majoria de serveis cloud poden contractar-se a nivell personal, i per tant, la intervenció de IS es inexistent.- Qui assessora als departaments?
- Que impedeix que els usuaris / departaments no gestionin el seu propi espai a DropBox, Google, Amazon,...?
Continuïtat de negoci (Service Continuity, DRP, BCP,...).
Al concentrar les dades i el servei al Núvol i reduir el personal intern de gestió, estic reduint també el coneixement i augmentant el risc.- Estan aquests riscos contemplats?
- Tinc un pla de continuïtat en cas de caiguda?
- Es conscient el negoci de les implicacions?
- Es revisa aquest paràmetre periòdicament?
- I més formalment per les auditories,...Hi ha un procediment que ho contempli?
Portabilitat de les dades.
Una de les avantatges que es venen a la contractació del emmagatzemament o aplicacions en Cloud es la flexibilitat de contractació; però es real aquesta flexibilitat?Si es complicat en un entorn de hosting / aplicació habitual, encara ho es més amb un proveïdor en Cloud, on ets un client més d’una llarga llista, i on el hosting pot estar subcontractat.
- Hi han costos per l’exportació massiva de les dades?
- Costos de exportació amb connectors cap a altres aplicacions?
- Es factible tècnicament la migració a un altre proveïdor?
Obsolescència i el dret a morir digitalment.
Un dels punts que darrerament s’està posant de moda, des de que gent que va posar perfils en aplicacions públiques ha mort, es el “dret a morir” digitalment. Això realment, forma part d’un concepte més ampli sobre el control de la vigència de les dades – data retention-.- Quina vigència tenen les dades que es queden al Cloud?
- Hi ha previst un procés de destrucció en arribar a una data?
- Es necessari emmagatzemar totes les dades eternament o puc destruir –purge- dades que son obsoletes?
- Qui defineix el calendari de destrucció?
- Hi ha legislació o normativa que defineixi una conservació de les dades durant un temps específic?
Enllaços relacionats:
CEB - Executive board
LegalToday.com
Financial Times - Business (ft.com)
Cloud Computing i Dades Personals
No hay comentarios:
Publicar un comentario