COMPUTACIÓN EN LA NUBE: ESTÁ CONSIDERANDO SU EMPRESA TANTO LOS BENEFICIOS COMO LOS RIESGOS? Toby Merrill, Thomas Kang

Transcripción

1 COMPUTACIÓN EN LA NUBE: ESTÁ CONSIDERANDO SU EMPRESA TANTO LOS BENEFICIOS COMO LOS RIESGOS?

2 COMPUTACIÓN EN LA NUBE: ESTÁ CONSIDERANDO SU EMPRESA TANTO LOS BENEFICIOS COMO LOS RIESGOS? Abril 2014 La computación en la nube es una tecnología que altera el paisaje y que está gozando de crecientes tasas de aceptación que, sin embargo, muchas veces es implementada sin tomar suficientes precauciones de gestión de riesgos. Los gestores de riesgos necesitan tener profundos conocimientos sobre qué es la computación en la nube, y por qué deben estar informados al respecto. A pesar que la adopción de la nube presenta numerosas ventajas, también presenta abundantes riesgos y es imprescindible contar con un amplio plan de gestión de riesgos. I Parte: Qué es computación en la nube, y qué debe preocupar a los gestores de riesgo? La computación en la nube ha llegado a ser, entre otras cosas, un término de moda que prácticamente todos han escuchado, pero que muy pocos realmente entienden. E incluso un menor número de observadores de esta tecnología captan todas sus implicaciones para el futuro principalmente porque aquellos efectos aún no están completamente claros. Esto a la vez podría deberse a que la computación en la nube se encuentra más bien en la fase inicial de su desarrollo: aún es necesario comprender y entender muchos de sus beneficios y riesgos. Sin embargo, lo que está claro es el supuesto que la nube no hará nada menos que redefinir y ocupar el lugar que actualmente tiene la Tecnología de Información (TI), y con esto, la forma en que las compañías realizan sus negocios en todo el mundo. Pero qué es exactamente la computación en la nube, y qué impacto tiene sobre el trabajo de los gestores de riesgos? En lugar de efectuar definiciones demasiado técnicas de la nube, comenzaremos con una definición más amplia de su potencial de impacto transformacional, particularmente como un nuevo servicio. La computación en la nube no sólo tiene el potencial de llegar a ser la tecnología que definirá el siglo veintiuno, sino que el servicio definidor, como fue la electricidad en el siglo veinte. Según señala Nicholas Carr, autor de El Gran Conmutador: Volver a alambrar el mundo desde Edison hasta Google, Lo que sucedió con la generación de energía eléctrica un siglo atrás está sucediendo ahora con el procesamiento de información. Los sistemas privados de computación, construidos y operados por compañías individuales, están siendo suplantados por servicios prestados a través de una malla común el Internet por plantas procesadoras de datos centralizadas. La computación se está transformando en un servicio y nuevamente se están reescribiendo las ecuaciones económicas que determinan la forma en que trabajamos y vivimos. Es importante que los gestores de riesgo reconozcan que, en un futuro no muy lejano, la mayoría de las compañías, tanto grandes como pequeñas, utilizarán la nube en algún aspecto de sus negocios. En efecto, de acuerdo con los datos de los suscriptores de ACE, el 59 por ciento de los suscriptores de Riesgos Profesionales de ACE ya está utilizando la nube en alguna forma. Como señalábamos anteriormente, la nube tiene numerosas definiciones diferentes. En efecto, existe una gran cantidad de terminología que rodea y describe las variaciones de la nube. 1 Sin embargo, debido a que nos hemos focalizado en la gestión de riesgos, nos concentraremos en las principales definiciones que contribuirán a que los profesionales en gestión de riesgos logren tener una idea respecto de sus beneficios y potenciales riesgos. La computación en la nube se refiere a un menú de servicios de alojamiento proporcionados generalmente a través de Internet sobre una base de uso o medida, produciendo al mismo tiempo un efecto multiplicador de la infraestructura compartida por múltiples clientes. Dicho en forma más simple, la computación en la nube comprende la venta de software y hardware computacional como un servicio, lo que significa que una organización ya no necesita comprar ninguno de estos; en cambio los puede arrendar a través de la nube. En tanto, la nube misma es operada y mantenida por proveedores de servicio en la nube (proveedores de la nube) a través de granjas de servidores operadas por la red, que ofrecen a sus suscriptores disponibilidad y almacenamiento ilimitado de datos, junto con un acceso ininterrumpido al software, al suministro de aplicaciones y actualizaciones automáticas. Para entender mejor lo que significa todo esto, nos volveremos a referir a nuestra comparación con el servicio de energía eléctrica. Cuando utilizamos cualquier dispositivo que requiere electricidad, sabemos que no sólo contaremos con electricidad, sino que esta será suficiente para hacer funcionar nuestro dispositivo. Lo que no sabemos es de donde y desde qué fuente proviene la electricidad si es de una planta de energía nuclear cercana, una planta hidroeléctrica o un parque eólico. La tecnología de la nube es similar. Sabemos que estará ahí y que será suficiente, pero no sabemos en qué tipo de hardware están almacenados nuestros datos, ni sabemos siempre donde están almacenados. La nube es básicamente una planta de energía computacional, en tanto que los proveedores de la nube como Amazon, Microsoft, Rackspace y Verizon Terremark son empresas de energía computacional. Profundizando un poco más, existen algunas definiciones básicas que necesitan ser conocidas por los gestores de riesgos para gestionar los riesgos presentados por la nube. En primer lugar, una organización puede seleccionar entre varios modelos de distribución y entrega desde la nube. (Ver el apartado Qué es la Nube?). 01

3 Cada modelo de distribución y entrega transfiere más o menos control desde la organización a su proveedor de la nube. Dos de los modelos más comunes de distribución son la nube privada y la nube pública. La nube privada es el modelo más seguro, y consiste de una serie de redes dedicadas, que ofrecen el más alto grado de control a la organización. Este modelo es similar al modelo computacional tradicional; proporciona numerosos beneficios, pero a un costo más alto para la organización. En cambio, la nube pública consiste en una serie de redes que son compartidas entre varias organizaciones, y de este modo transfieren más control al proveedor de la nube, en tanto que ofrecen un mayor ahorro al suscriptor de la nube. De acuerdo con los datos de los asegurados de Riesgo Profesional de ACE, entre los asegurados que utilizan la nube, la proporción entre privada y pública es bastante pareja, puesto que 44 por ciento de los asegurados utiliza la distribución privada de nube y 42 por ciento utiliza la distribución pública de nube. 2 La nube tiene asimismo diferentes modelos de entrega. El modelo de entrega más básico se conoce como infraestructura como servicio (Infrastructure as a Service (IaaS)). Los proveedores de IaaS incluyen a Amazon, Google, Microsoft, AT&T y Verizon Terremark, entre muchos otros. Con este modelo de entrega, la organización mantiene control sobre los datos almacenados en la nube, así como el derecho de acceso y la protección de los datos. Otro modelo de entrega es software como servicio (Software as a Service (SaaS)), en que los proveedores ofrecen una solución de software alojado y administran todos los aspectos de las aplicaciones en nombre de sus clientes. Los proveedores de productos comunes para consumidores que operan como SaaS incluyen Netflix, Dropbox, Gmail, Spotify, Facebook, Linkedin, Instagram y Twitter. Algunos proveedores de productos comunes para negocios que operan como SaaS son Google Docs, Microsoft Office 365 y Salesforce CRM. Con este modelo de entrega, toda la aplicación y el servicio reside en la nube, y esto transfiere un apreciable control global al proveedor de la nube de la organización. Qué es la nube? Los servicios de la nube se dividen en cuatro modelos de distribución y en tres principales categorías de servicios. Modelos de distribución Nube Pública: Los datos son almacenados en servidores compartidos y no son separados del universo general. Facebook y Gmail son ejemplos de servicios en que los datos son almacenados en la nube pública. Es una solución más económica. Nube Privada: Los datos son almacenados en recursos dedicados no en servidores compartidos. Es menos económica, pero muchas veces se elige en presencia de información confidencial. Nube Híbrida: Los datos son almacenados en una combinación de recursos dedicados y compartidos. Nube Comunitaria: Los datos se almacenan en servidores compartidos, pero los clientes son agrupados de acuerdo a cierto nivel de organización. Este tipo de servicio es implementado cuando los proveedores de la nube necesitan gestionar obligaciones de cumplimiento, por ejemplo HIPAA. Categoría de Servicios Infraestructura como Servicio (Infrastructure as a Service (IaaS)): Los proveedores de IaaS son propietarios del lugar físico de su almacenamiento en la nube. Incluye a proveedores como Amazon, CSC, Microsoft, Rackspace y Verizon Terremark. Los proveedores de IaaS proporcionan recursos de seguridad física, potencia, computación, almacenamiento y conexiones a través de la red. Plataforma como Servicio (Platform as a Service (PaaD)): Los proveedores de PaaS están relacionados con el ambiente de desarrollo de software. No solo proporcionan la infraestructura, sino que el ambiente de desarrollo para crear aplicaciones y, en algunos casos, para alojarlas. Force.com y Microsoft Azure son dos ejemplos de proveedores de PaaS. Software como Servicio (Software as a Service (SaaS)): Los proveedores de SaaS manejan casi todos los aspectos de la infraestructura, plataforma y software. SaaS permite que el cliente utilice la aplicación de software sin desarrollar o mantener la instalación o plataforma misma. Los clientes necesitan tener solamente recursos mínimos de configuración y soporte interno. Los ejemplos de proveedores SaaS incluyen Salesforce.com, Office 365, Google Apps y Yahoo Mail. La siguiente pirámide muestra el Cloud Stack (apilamiento en la nube), que es como muchos técnicos denominan la relación entre los tres modelos de servicios. 17 SOFTWARE PLATAFORMA INFRAESTRUCTURA (Entendiendo el Cloud Computing Stack, Diversity Limited, 2011) 02

4 Qué significa todo esto para los gestores de riesgos? Para comenzar, así como las organizaciones ya no generan su propia electricidad, como hacían las fábricas en el siglo diecinueve, y en cambio acceden a esta a través de proveedores externos, las organizaciones ya no poseerán las partes de software y de hardware que necesitan para sus diferentes funciones comerciales. Dependiendo de los servicios que externalicen hacia la nube, las organizaciones dependerán de los proveedores de la nube, quienes les ofrecerán la última versión de sus aplicaciones de software, almacenarán su información confidencial, respaldarán a sus servidores, y entregarán la información almacenada en la nube a sus dispositivos y a los de sus empleados durante 24 horas al día, los 7 días de la semana. (Ver aparte, BYOD: Traiga su propio Dispositivo). requiere efectuar repetidas inversiones de capital, debido a que el ciclo de obsolescencia se repite infinitamente. La nube puede reducir los costos asociados a la obsolescencia, al transferir algunos de estos costos al proveedor de la nube. Este cambio trae consigo un importante aumento del potencial riesgo que enfrenta cada compañía cuando realiza sus operaciones a través de la nube. Es imprescindible que los gestores de riesgos controlen estrechamente los riesgos existentes y prevengan los riesgos que puede provocar la mayor capacidad de la organización de almacenar, analizar y acceder a sus datos. II Parte: Qué beneficios ofrece la computación en la nube a los negocios? En la I Parte ofrecíamos una visión general de los cambios revolucionarios que posibilita la computación en la nube. En esta parte analizaremos los potenciales beneficios de esta nueva forma de computación y lo que ofrece como servicio útil para los negocios. Aunque la lista de beneficios que permite la computación en la nube es muy amplia, focalizaremos nuestra atención en los más impactantes, por ejemplo, reducción de costos de tecnología, velocidad y escalabilidad, y mayor seguridad y respaldo. Los cinco principales beneficios de la Computación en la Nube Reducción de costos de infraestructura La capacidad computacional es proporcionada a los suscriptores por una fracción de lo que les costaría producirla ellos mismos. Y, al igual que las redes de energía eléctrica, pocas compañías pueden costear la capacidad computacional que ofrece un proveedor de la nube, practicando economías de escala. De esta forma la nube elimina la necesidad de invertir en servidores independientes y software, que requieren una gran inversión de capital, pero la mayor parte del tiempo no son utilizados. La nube puede contribuir además a eliminar o a reducir gastos generales como administración, personal TI, almacenamiento de datos, bienes inmobiliarios, banda ancha y energía eléctrica. Es importante tener presente que la rebaja de costos puede variar de acuerdo con la distribución y con el modelo de entrega seleccionado. Por ejemplo, los ahorros en infraestructura son generalmente superiores cuando se multiplica la implementación de la nube pública comparados con la implementación de la nube privada. Otro ahorro se produce en el área de la actualización. Cuando los recursos computacionales quedan obsoletos necesitan ser reemplazados, a fin de asegurar la eficiencia operacional. Otros ahorros se producen por el hecho que los proveedores de la nube absorben los gastos asociados con las actualizaciones de software, actualizaciones de hardware y reemplazo de redes y dispositivos de seguridad obsoletos. La mantención de una infraestructura computacional Es importante que los gestores de riesgos reconozcan que, en un futuro no muy lejano, la mayoría de las grandes y pequeñas empresas utilizará la nube en algún aspecto de sus actividades comerciales. Capacidad, escalabilidad y velocidad Tres beneficios clave adicionales de la nube son su aptitud de distribuir capacidad, escalabilidad y velocidad. Los suscriptores de la nube no necesitan adquirir más capacidad computacional que la necesaria en determinado momento, puesto que la nube es exponencialmente escalable. Un ejemplo de lo anterior se puede encontrar en la industria minorista. Al comenzar la época de festividades en 2013, el tráfico en línea de los minoristas aumentó 200 por ciento en el uso de escritorio y 400 por ciento en uso móvil. 3 Mantener este nivel de capacidad computacional durante todo el año sería muy caro e innecesario. En efecto, el exceso de capacidad que experimentó Amazon después que desarrolló su propia red en la nube fue uno de los principales motivos que se transformara en proveedor de la nube. 4 La computación desde la nube permite aumentar la capacidad durante períodos de actividad máxima, y disminuirla hasta niveles apropiados durante el resto del año. 03

5 Al igual que el servicio de electricidad, la nube se puede aumentar y disminuir según las necesidades del suscriptor. Y al incrementar los efectos de la nube, las empresas ya no necesitan invertir tiempo en la compra e instalación de hardware, software y otros recursos necesarios para expandir los servicios existentes, o desarrollar nuevos servicios. Al poder disponer de los recursos de la nube de acuerdo a la necesidad, es posible hacer funcionar nuevas configuraciones dentro de pocas horas. Esto es especialmente importante puesto que, independientemente del tamaño de la empresa, la innovación es el resultado de una constante experimentación y de la capacidad de probar nuevas ideas. Los recursos de la nube proporcionan los medios para innovar sin necesidad de realizar grandes inversiones en tecnología computacional. Además proporcionan la libertad de expandir los servicios existentes sin temor a desperdiciar recursos por exceso de capacidad o de tener insuficiente capacidad para enfrentar las exigencias comerciales. Seguridad y respaldo La computación en la nube pública se basa en el principal elemento de seguridad de información, combinado con redundancia geográfica para su máxima disponibilidad. Para asegurar ambos, los proveedores de la nube invierten fuertemente en seguridad física y de información. La mayoría de las empresas se sentirían muy presionadas si quisieran reproducir Toby los Merrill, equipos de Thomas seguridad física, organizativa Kang y técnica empleados por los principales proveedores de la nube. Y la mayoría de las empresas no tendría la capacidad de instalar equipos de seguridad en múltiples lugares para proporcionar redundancia. En efecto, la primera incursión de numerosas empresas en la computación de la nube consistía en incrementar los efectos del almacenamiento en la nube a través de soluciones de replicación de datos o de respaldos encriptados. Debido a que los proveedores de la nube mantienen numerosos centros de datos y tecnología de alta disponibilidad, tienen mucho más capacidad para proporcionar estos servicios que una empresa individual. Disponibilidad, geografía y movilidad Un importante impulsor del uso de la nube es su disponibilidad ubicua. La tecnología de la nube ofrece acceso, a través de Internet, a cualquier cosa almacenada en la nube en cualquier momento y desde cualquier lugar en otras palabras, cualquier cosa, en cualquier momento. Las aplicaciones de los consumidores como Dropbox e icloud son buenos ejemplos de cuán útiles y populares han llegado a ser estas aplicaciones siempre activas y disponibles. Por otra parte, las aplicaciones del software Customer Relationship Management (CRM), como ser Salesforce y Microsoft CRM, demuestran que incrementando los efectos de la nube en este caso a través de tecnología móvil se beneficia a las organizaciones. Las aplicaciones SaaS como estas han llegado a ser vitales para los proveedores de ventas y en un tiempo relativamente breve. Cumplimiento de las normativas Otro de los importantes beneficios de la nube pública es el hecho que muchas de las exigencias de seguridad de los marcos regulatorios son atributos normales de los proveedores de la nube. Por ejemplo, los respaldos de datos, junto con la redundancia de energía, las pruebas del sistema, el monitoreo de la red y las pruebas de penetración, son operaciones estándar de los proveedores de la nube. Además, muchos proveedores de la nube tienen ofertas que ayudan a los clientes a cumplir las exigencias reglamentarias o industriales, como la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard (PCI DSS)) o la Ley de Portabilidad y Responsabilidad del Seguro de Salud (Health Insurance Portability and Accountability Act (HIPAA)). BYOD: Trae tu propio dispositivo al trabajo Trae tu propio dispositivo, o BYOD, se refiere a políticas económicas y amigables para los empleados adoptadas por algunas compañías, que permiten a sus empleados traer sus propios teléfonos inteligentes, tabletas y laptops al trabajo, y utilizarlos para acceder a información confidencial y aplicaciones de la empresa. Deben existir buenas razones para que una compañía permita esto. Los dispositivos electrónicos de propiedad de los empleados son muchas veces más nuevos y más avanzados que los equipos distribuidos por los departamentos TI. Y las empresas pueden ahorrar dinero si no tienen que comprar y arrendar segundos o terceros dispositivos para sus empleados (por ejemplo teléfonos inteligentes además de computadores de escritorio, o teléfonos inteligentes y laptops además de computadores de escritorio). Por supuesto, las compañías deben considerar las implicaciones de riesgo cuando permiten el acceso de sus empleados a la información de la empresa a través de sus dispositivos personales sobre los cuales la empresa ejerce poco o ningún control. Antes de implementar una política BYOD 18, es necesario considerar cinco riesgos específicos. Acceso De Terceros Desconocidos A Través De Aplicaciones Móviles: Cuando los empleados descargan aplicaciones móviles para su uso personal, también permiten el acceso de terceros que no están sujetos a reglamentos a cualquier información de la empresa almacenada en sus dispositivos. Estas aplicaciones móviles pueden ser infectadas con malware que puede extraer información confidencial de la empresa desde sus dispositivos. Falta De Control: Las empresas desearán tener el mayor control posible sobre los dispositivos BYOD lo que incluye captar la divulgación y el uso de información. El resultado es una constante tensión entre la privacidad del empleado y las medidas de contención de riesgos de la compañía que registran y monitorean datos en uso y datos en tránsito. Gestión De Dispositivos: Esta tensión empleado-compañía es especialmente evidente en relación con las políticas de gestión de los dispositivos. Estas políticas pueden alcanzar desde limitar los dispositivos soportados hasta determinar si los dispositivos BYOD están sujetos a un programa de gestión de dispositivos, y exigir el uso de contraseñas y medidas de seguridad adicionales. Además, las empresas pueden determinar que es necesario utilizar la capacidad de borrado a distancia, en circunstancias que un inicio de sesión incorrecto puede significar la eliminación instantánea de toda la información personal del empleado no sólo la de la compañía. Gestión De Datos Y Cumplimiento: Las compañías sujetas a obligaciones de cumplimiento podrían considerar que no sólo es difícil convencer a los auditores que sus datos están adecuadamente protegidos, sino que también es difícil proporcionar validación con evidencia. Como resultado, los equipos de seguridad de información necesitan una lista documentada de políticas de gestión de datos, junto con una lista de terceros y de sus dispositivos para el almacenamiento de datos. Fusión Del Tiempo Personal Con El Tiempo De La Compañía: Los empleados que dependen de sus propios dispositivos en el trabajo tienden a acceder frecuentemente a su correo electrónico personal y a aplicaciones, aumentando de esta forma la posibilidad de realizar actividades personales durante las horas de trabajo. 04

6 Beneficios ocultos En una competitiva economía global, las ventajas del mercado son aprovechadas por las organizaciones que tienen un fuerte liderazgo técnico aquellas que están multiplicando los recursos tecnológicos más recientes. Pero la mayoría no considera dos beneficios adicionales de la nube. El primero es que libera tiempo a sus ejecutivos de TI para que estos se focalicen en el incremento de los negocios con ideas y acciones estratégicas, en lugar de cargar con la responsabilidad de vigilar diariamente el mantenimiento de la tecnología interna.5 El segundo beneficio es que, a pesar que la migración de sistemas de datos es uno de los aspectos más complicados en una fusión de empresas, los sistemas basados en la nube facilitan esta migración y la hacen más expedita. III Parte: Cuáles son los riesgos de la computación en la nube? Hemos analizado los innovadores cambios que permite la computación en la nube, junto con los importantes beneficios que ofrece a las actividades comerciales, sin embargo ahora nos referiremos a los riesgos que presenta esta nueva tecnología. A modo de ilustración, los teléfonos inteligentes que nos permiten acceder a correos electrónicos, enviar mensajes de texto, acceder a Facebook y navegar por Internet se han transformado en extensiones virtuales de nosotros mismos, Toby de Merrill, nuestra vida Thomas personal y laboral, Kang nos permiten efectuar en segundos una amplia gama de tareas que antiguamente requerían mucho más tiempo y esfuerzo físico. Pero si este teléfono inteligente se pierde o es robado, no sólo perdemos el teléfono, sino que una llave esencial para todas las áreas de nuestras vidas nuestro portal hacia el mundo accesible en línea. Dicho esto, si se produce una interrupción de servicio, el acceso a Amazon con su teléfono inteligente no tiene las mismas consecuencias para usted que para una empresa que depende de la nube para acceder a sus datos y mantener su seguridad. Para usted significa una molestia y un inconveniente. Un apagón de la nube o una interrupción de la información puede significar un desastre para una empresa; el costo podría ser considerable para las actividades comerciales. Como resultado, las medidas de estar consciente de los potenciales riesgos y practicar la debida diligencia cuando se contrata a un proveedor de la nube, no sólo son recomendables sino que esenciales. Los cinco principales riesgos cuando se trabaja con Proveedores de servicio de la Nube Contratos Uno de los riesgos más significativos de la computación en la nube, pero que frecuentemente no es tomado en cuenta, son los contratos sesgados ofrecidos por algunos proveedores de la nube. Los gestores de riesgos trabajan tradicionalmente con sus departamentos legales para negociar que los términos de los contratos con proveedores de servicios sean menos amigables para el distribuidor a fin de mitigar las pérdidas ocasionadas por dichos proveedores de servicios, al responsabilizarlos financieramente. Sin embargo los proveedores de la nube no están dispuestos a ofrecer indemnizaciones, limitaciones de responsabilidad y otras condiciones habituales especialmente en relación con la privacidad y la seguridad de información. Los proveedores de la nube esgrimen una serie de razones, pero las más corrientes son que estos deberes y obligaciones adicionales amenazan el modelo de bajo costo de la computación de la nube, y puesto que los proveedores de la nube no saben lo que almacenan sus suscriptores de la nube, no pueden ser considerados responsables de segregar y asegurar la información de los suscriptores. Cualquiera sea el motivo, muchos proveedores de la nube no sólo no están dispuestos a hacerse cargo contractualmente de los riesgos financieros, sino que transfieren dichos riesgos a sus suscriptores. Algunas condiciones desfavorables de los contratos de la nube pueden aumentar el riesgo de los clientes. Las principales definiciones que incluyen, por ejemplo, la definición de incidente de seguridad posiblemente no son suficientemente amplias como para gatillar las obligaciones adecuadas a los incidentes y para abordar las disposiciones reglamentarias del cliente. La mayoría de los proveedores de la nube se resisten a la exigencia de los clientes de tomar medidas contractuales específicas de seguridad, o incluso normas más generales de seguridad razonable. Por otra parte los clientes podrían desear que se limite contractualmente a los subcontratistas (y proveedores sub nube ) utilizados por el representante de la nube para almacenar o procesar la información del cliente. De no existir estas limitaciones, el cliente podría enterarse que sus datos han sido trasladados dos o tres pasos más allá del proveedor primario de la nube. También es riesgoso no negociar una enérgica respuesta a un incidente y evaluar la seguridad y los derechos legales. En este contexto, los proveedores de la nube deberían ser considerados como una extensión del ambiente TI del cliente, y el cliente debería tratar de obtener el mayor control contractual posible. Si un proveedor de la nube sufre una violación que afecta la información del cliente, pero dicho proveedor no tiene el deber contractual de notificar, remediar y cooperar a la solución de dicha violación, el cliente no podrá reducir su riesgo legal ni podrá cumplir las obligaciones reglamentarias. 05

7 Finalmente, si no se cuenta con una significativa capacidad de negociación o ventaja competitiva, es muy difícil lograr que los proveedores de la nube acepten una indemnización y una responsabilidad ilimitada en casos de violación de confidencialidad y de información. Los contratos con proveedores de la nube comienzan normalmente con una limitación de la responsabilidad (tanto en la forma de límite monetario como de daños emergentes) que con frecuencia es inadecuada para cubrir las potenciales pérdidas de un cliente como resultado de la violación de información por parte del proveedor de la nube. Sin los adecuados recursos contractuales, los clientes pueden ser afectados por la total responsabilidad de la violación de información que técnicamente no sucedió por culpa de ellos. Estar conscientes de todos los potenciales riesgos, y practicar la debida diligencia cuando se contrata a proveedores de la nube, no sólo son pasos recomendables sino que esenciales. Pérdida de Control Otro riesgo significativo que presenta la computación en la nube es la pérdida general de control sobre los datos transferidos a la nube y de disponibilidad de la red externalizada a la nube. Por ejemplo, en una configuración TI más tradicional, las organizaciones tienen la capacidad de evaluar y ajustar sus sistemas de modo que cumplan con las normas y reglamentos vigentes. Por ejemplo, una organización que envía datos a un proveedor de la nube localizado en un país miembro de la Unión Europea (UE) debe cumplir las exigencias de la Directiva sobre Protección de Datos de la UE (95/646/EC). 6 Pero se podría considerar que una organización está en incumplimiento si sus datos son transferidos hacia una jurisdicción que viola esta norma. Y debido a que muchos proveedores de la nube utilizan almacenes de datos ubicados en múltiples jurisdicciones, el cumplimiento representa un riesgo creciente. Además, el panorama reglamentario siempre cambiante aumenta el riesgo de violación. 7 Recientes eventos ocurridos en la Agencia Nacional de Seguridad (NSA) y la inquietud en el extranjero respecto del almacenamiento de información de residentes fuera de los EE.UU. por empresas norteamericanas de tecnología, ha contribuido a aumentar el potencial riesgo. 8 Otro riesgo de control que es amplificado en la nube es el análisis forense de datos. Si un sistema fuera objeto de una violación, es importante poder determinar legalmente qué datos podrían estar comprometidos, pero la nube presenta una serie de inconvenientes para realizar ese esfuerzo. En primer lugar, el proveedor de la nube puede limitar el acceso, o simplemente no permitir el acceso de examinadores forenses al ambiente de la nube. Segundo, en una nube pública sus datos pueden ser entremezclados con datos de otras compañías, dificultando una simple investigación. Tercero, el acceso a los datos podría provocar dificultades legales adicionales debido a que sus datos pueden haber sido compartidos con una organización (u organizaciones) que impide el acceso a terceros. Un elemento clave para limitar los riesgos legales y las operacionales asociados con violaciones de datos por proveedores de la nube es la capacidad del cliente de realizar una investigación forense independiente del incidente, que normalmente incluye tomar una imagen de los computadores potencialmente comprometidos. Otras inquietudes relacionadas con la pérdida de control dentro de la nube podrían incluir: En ambiente de nube usted no puede elegir sus vecinos un factor que podría afectar tanto el riesgo como la productividad. Por ejemplo, si sus datos quedan almacenados en la misma infraestructura de un comerciante minorista, usted podría experimentar los mismos problemas que tienen ellos durante la temporada de festividades aunque no tuvieran nada que ver con sus negocios básicos. 9 Debido a que las interrupciones de los proveedores de la nube están ocurriendo con mayor frecuencia, una organización que dependa de un proveedor de la nube para acceder a los datos más importantes que operan su red podría perder considerable control en caso que su proveedor de la nube sufra un apagón. Numerosos proveedores de la nube SaaS carecen de tecnología para operar su ambiente de nube, debido a lo cual ellos externalizan su infraestructura a otro proveedor de la nube SaaS. Esta disposición proveedor-del-proveedor puede dificultar el cumplimiento de las exigencias reglamentarias, la información de incidentes de datos, la responsabilidad contractual y la lista continúa. Agregación de riesgos Un beneficio frecuentemente destacado que ofrece la computación en la nube es que proporciona un mayor nivel de seguridad, y para la mayoría de las compañías este es un beneficio válido. Sin embargo, así como la mayoría de las empresas elige depositar su dinero en los grandes bancos debido a la seguridad que ofrecen, al hacerlo aumentan el riesgo de sufrir los ataques delictuales más sofisticados, debido a que la riqueza global de un banco importante es mucho mayor que la riqueza de una sola empresa. Los delincuentes tienen acceso a profesionales altamente capacitados, el financiamiento y la paciencia para organizar ataques muy bien ideados. George Clooney y Brad Pitt mostraron este tipo de colaboración en la película Ocean Eleven, en que se unen para desvalijar tres casinos. El mundo del cibercrimen no es muy diferente, y los ataques denominados amenazas persistentes avanzadas (Advanced Persistent Threat (APT)) contra importantes empresas de tecnología altamente sofisticadas y otras instituciones continúan en aumento. La nube crea una nueva agregación de riesgos que las organizaciones no han enfrentado antes. Al mismo tiempo, la agregación de riesgos es otro motivo por el cual los proveedores de la nube están reticentes a ofrecer contratos más favorables a sus suscriptores. Costo Los beneficios más corrientes señaladas por las organizaciones que adoptan la computación en la nube es la reducción de costos de tecnología y nadie puede negar los ahorros iniciales que ofrece la nube a las organizaciones. No obstante, la computación en la nube tiene una cantidad de costos potenciales ocultos que muchos no consideran. Por ejemplo, cuáles son los costos asociados a la transferencia de sus datos y su red a otro proveedor de la nube? Una vez que los datos de una empresa residen en la nube quedan crecientemente a merced de su proveedor; los proveedores de la nube están conscientes de esto y fácilmente pueden dificultar su traslado a otro proveedor. 06

8 Otro beneficio de la nube con un costo oculto se encuentra en el área del cumplimiento de las normativas. En tanto que muchos proveedores de la nube merecidamente pregonan el cumplimiento de ciertas normas como un beneficio clave y potencial ahorro de costos, existe la responsabilidad fácilmente descuidada y los costos relacionados con la realización de la debida diligencia con los proveedores debido a que la mayoría de las normas y reglamentos responsabilizan a la organización por los hechos delictivos o el incumplimiento de su representante. De modo que aunque usted puede externalizar su información o su red a terceros, jamás podrá externalizar sus riesgos o responsabilidades. Por otra parte, numerosas organizaciones se han dado cuenta que no es suficiente estar suscrito a una nube, debido a que los servicios prestados por intermedio de un proveedor de la nube comprenden conexiones a través de Internet, que están sujetas a periódicas congestiones e interrupciones. Además, los servicios de la nube pueden ser deteriorados por ataques maliciosos sobre estos o sobre un proveedor en línea ascendente. Una forma en que las organizaciones pueden disminuir estos riesgos es a través de la redundancia del servicio prestado mediante contratos con múltiples proveedores de la nube. 10 Finalmente, cada uno de los riesgos anteriormente identificados bajo Pérdida de Control especialmente el análisis forense de datos puede contribuir a un mayor costo de la nube. Es necesario considerar además otros costos, que incluyen costas legales e implicaciones fiscales, como asimismo auditoría y fiscalización. Seguridad de los datos La seguridad de los datos es un beneficio clave que muchos proveedores de la nube señalan correctamente como parte de sus esfuerzos de comercialización, debido a que la seguridad de los datos puede beneficiar a muchas empresas que no tienen la capacidad de invertir recursos importantes para asegurar sus propios datos y sistemas. Sin embargo como se menciona anteriormente, la externalización de su información a un solo proveedor crea también agregación de riesgo. Y lo que lamentablemente muchas organizaciones no reconocen es que ellas tienen la responsabilidad de asegurar sus datos antes de enviarlos a la nube, puesto que los proveedores de la nube normalmente no garantizan la seguridad de los datos almacenados en su nube. En efecto como también se menciona anteriormente bajo Contratos la mayoría de los proveedores de la nube limitan absolutamente su riesgo contractual. Igualmente importante es el hecho que la mayoría de los estatutos y reglamentos responsabilizan al propietario de la información (normalmente la organización que tiene una relación directa con una información personal individual) por cualquier violación o manejo inapropiado de los datos. (Ver el apartado Datos masivos y análisis de datos masivos). Finalmente, a medida que aumenta el uso de datos masivos y el análisis de datos masivos, aumenta el valor de la información personal que las organizaciones almacenan en la nube. Al mismo tiempo se expande la definición de lo que constituye información personal u otros identificadores especiales. Es importante que las organizaciones que almacenan en la nube información personalmente identificable (Personally Identifiable Information (PII)) tomen note de esto, porque aquello que hoy podría no ser considerado PII, podrá serlo dentro de cinco o diez años. Por ejemplo, durante este año California amplió la definición de información personal en su estatuto de definición de violación incluyendo un nombre de usuario o una dirección de correo electrónico, en combinación con una contraseña o pregunta y respuesta de seguridad para permitir acceso a una cuenta en línea. 11 Como resultado, si actualmente los datos no son adecuadamente asegurados, la organización podría quedar expuesta una vez que nuevos estatutos o reglamentos requieran la protección de los códigos postales, ID de dispositivos, etc. Es muy importante tener presente que el mayor riesgo podría ser la combinación de todos estos elementos. IV Parte: Hacer que la computación de la nube trabaje para su empresa Equilibrar los beneficios y los riesgos de la nube Cuando las organizaciones deciden migrar datos hacia al nube, normalmente se focalizan en los deslumbrantes beneficios. Es posible obtener beneficios a través de la reducción de costos, la posibilidad de acceder a datos desde cualquier parte, la posibilidad de sacar al personal TI de su trabajo rutinario y ponerlo a desarrollar iniciativas orientadas a objetivos, y mucho más. Sin embargo, cada beneficio de la nube está acompañado por un riesgo. Demasiadas veces las organizaciones descuidan o ignoran dichos riesgos por no consultar a profesionales de gestión de riesgos antes de seguir adelante. Datos masivos y análisis de datos masivos Las datos masivos (Big Data) se refieren a conjuntos de datos que son demasiado grandes para ser captados, almacenados, administrados y analizados por las herramientas convencionales de software de las bases de datos comerciales. Con frecuencia los proveedores de la nube ofrecen soluciones económicas, escalables a empresas interesadas en el desarrollo de programas de análisis de datos masivos, a fin de proporcionar un mejor servicio al cliente, mejores oportunidades comerciales o detectar fraudes. Incluso importantes bancos y sistemas de salud creen que es imposible desarrollar dichos programas internamente debido a las limitaciones de infraestructura y a que los limitados presupuestos no pueden costear los recursos iniciales necesarios para efectuar análisis de datos masivos. De este modo la nube desempeña un rol significativo en el desarrollo, distribución y optimización de aplicaciones de Datos Masivos. A continuación señalamos algunos ejemplos de datos masivos en acción 19 : Insurer United Healthcare aprovecha los datos masivos para detectar potenciales casos de fraudes médicos y robos de identidad. Para realizar esto revisa datos de voz a texto de centros de llamados, a fin de extraer potenciales candidatos a desertar (aquellos que no suenan como clientes felices) y proponer soluciones. Intermountain Healthcare, es un sistema con base en Utah que tiene 22 hospitales, 185 grupos de salud y una compañía de seguros afiliada, aprovecha los análisis de datos masivos con el resultado de análisis de más de 90 millones de archivos electrónicos de salud. Ellos estudian la relación entre tratamientos y resultados, esperando mejorar los medicamentos existentes y desarrollar otros. Morgan Stanley aprovecha Hadoop para implementar los análisis de datos masivos utilizados por ellos para analizar los objetivos financieros de los clientes y proporcionar mejores oportunidades de inversión; además suministran análisis mejorados de registros de red y base de datos para su división TI. 07

9 de proceder a trasladar aplicaciones con mayor riesgo de privacidad, especialmente aquellas concernientes a información privada altamente confidencial. Por ejemplo, sólo el 21 por ciento de los suscriptores de Riesgos Profesionales de ACE están almacenando archivos confidenciales en la nube y, cuando lo hacen, la gran mayoría cifra los datos. Estas precauciones son muy importantes, debido a que las compañías de tecnología tienden a capitalizar nuevas capacidades tan pronto están disponibles, y sólo abordan los problemas de privacidad y seguridad cuando un reglamento exige la instalación de controles. Esta crea, obviamente, una situación muy riesgosa. Una organización que decide enviar sus valiosos datos a la nube necesita aplicar el mismo nivel de debida diligencia que aplicaría a la construcción de un edificio en una zona sísmica. Esta analogía es apropiada, porque es necesario considerar muchos riesgos y problemas de control si una organización desea mitigar la mayor cantidad de dificultades que sea posible. Aquí no tenemos suficiente espacio para analizarlas todas, pero nos referiremos a las principales áreas que deben ser meticulosamente consideradas por cualquier empresa que contemple una mitigación de la nube: privacidad por diseño y cultura; seguridad compartida y responsabilidades coordinadas; control y responsabilidad; debida diligencia y gestión de los proveedores. Privacidad por diseño y cultura La privacidad ha llegado a ser un derecho humano esencial protegido por leyes, estatutos y reglamentos en todo el mundo. La migración hacia el ambiente de la nube debería ser una extensión de los principios privacidad por diseño 12 actualmente aplicados puesto que las organizaciones deben incorporar requisitos de privacidad durante el desarrollo de sus nuevos sistemas, productos y servicios. De hecho, numerosas empresas están solicitando que su Director de Privacidad (CPO por sus siglas en inglés) o Director de Seguridad de Información (CISO por sus siglas en inglés) realicen una Evaluación de Impacto de Privacidad 13 un proceso que contribuye a identificar y reducir los riesgos de seguridad de los productos y servicios en desarrollo. En este misma línea, las organizaciones deberían elegir los datos y aplicaciones que, cuando migran a la nube, aumentan su eficiencia y conectividad. Pero mientras realizan esta elección, deberían utilizar una clasificación de datos para identificar, organizar y asegurar toda la información confidencial antes de migrar datos y aplicaciones a la nube. Además es prudente comenzar con datos y aplicaciones que presentan bajo riesgo de privacidad y seguridad (y que no son fundamentales para los negocios), antes La implementación de privacidad por diseño en una organización beneficia enormemente a los productos y servicios de la organización. Además ejerce enorme influencia sobre la cultura de los empleados. No existe mejor herramienta para gestionar riesgos que las personas que controlan los procesos y las tecnologías implementadas. Por ejemplo, otro segmento de servicios de la nube utilizado por los empleados es el de servicios personales de almacenamiento en la nube, como Google Drive, Dropbox o icloud. También denominados Traiga su Propia Nube (Bring Your Own Cloud (BYOC)) 14, estos servicios son utilizados por empleados para almacenar, compartir y colaborar con documentos en la nube, y para ellos es más fácil trabajar con documentos desde dispositivos de trabajo o personales. Los empleados de las organizaciones que incorporan adecuadamente los principios de privacidad y seguridad por diseño en su cultura, serán más conscientes de la privacidad y por lo tanto es menos probable que arriesguen datos confidenciales en dichos servicios. Seguridad compartida y responsabilidades relacionadas Los gestores de riesgo deben tener presente que las responsabilidades de privacidad y seguridad de los datos comienzan dentro de su propia organización antes de continuar hacia la nube. Si la asignación de responsabilidades de seguridad entre la organización y el proveedor de la nube no es completamente clara, se podrían omitir controles vitales de seguridad. Piense que las responsabilidades de seguridad compartidas entre el arrendatario de un espacio de oficina y el propietario de un edificio de oficinas son análogas a las de una organización y un proveedor de la nube. A fin de designar correctamente las responsabilidades, los gestores de riesgo deberán: Entender cuál es el tipo de servicio de la nube utilizado, porque las responsabilidades de seguridad varían si es SaaS, Plataforma como Servicio (PaaS) o IaaS. Asegurarse que la organización haya mapeado sus capacidades de seguridad, así como sus actuales responsabilidades. Por ejemplo, las organizaciones de atención de salud necesitarán mapear los requisitos HIPAA, en tanto que todas las organizaciones que procesan pagos con tarjetas de crédito necesitarán mapear sus requisitos PCI (Industria de Tarjetas de Pago). Destacar los controles de seguridad disponibles en la plataforma de la nube que se desea utilizar. Esto es especialmente importante, porque es muy difícil evaluar los riesgos del traslado a la nube si el proveedor de la nube bajo consideración no es totalmente transparente respecto de las capacidades de seguridad y privacidad. 08

10 Identificar claramente cuáles serán las responsabilidades de seguridad que se transferirán al proveedor de la nube, y cuáles responsabilidades permanecerán en la organización. Por ejemplo, si su organización ha realizado tradicionalmente prubbas de penetración o encriptación de datos, se traspasarán dichas responsabilidades a su proveedor de la nube, continuarán siendo sus responsabilidades o serán responsabilidades compartidas? Con frecuencia los proveedores de la nube consideran que la redundancia geográfica es un importante beneficio de seguridad. Pero las organizaciones deben evaluar de qué modo los proveedores de la nube distribuyen dicha redundancia y si satisface las necesidades de recuperación de desastre o de continuidad de negocio de la organización teniendo presente al mismo tiempo el cumplimiento de regulaciones sobre datos. Por ejemplo, los proveedores de la nube deberían actualizar simultáneamente la información a través de sus redundancias, pero también deberían segregarlas para asegurar adecuadamente una inactividad mínima. Si un centro de datos es afectado adversamente, esta segregación asegura que no se afecte también la ubicación del servidor de respaldo. Pero, aunque la redundancia geográfica contribuya con redundancia, tal como se señala en la III Parte, también aumenta los riesgos regulatorios, puesto que al transferir datos a través de fronteras se podría violar condiciones locales de privacidad. De modo que es importante entender a cabalidad qué centros de datos van a ser utilizados y si los datos almacenados en la nube estarán sujetos a limitaciones geográficas. Por otra parte, las organizaciones que dependen de proveedores de la nube deben estar preparadas para interrupciones del servicio de la nube, con un plan de respaldo que permita mantener sus propios sistemas y hacer funcionar las aplicaciones esenciales para la actividad comercial igual como emplean generadores eléctricos de respaldo durante los cortes de energía eléctrica. Por otra parte, los gestores de riesgos deben revisar sus normas de respaldo, asegurándose que estén actualizadas de modo que reflejen las características y servicios que presta el proveedor de la nube. Finalmente, a pesar que la nube puede facilitar el cumplimiento de los requisitos regulatorios, si su organización forma parte de una industria fuertemente reglamentada, como servicios de salud o servicios financieros, es recomendable realizar una completa evaluación del cumplimiento para asegurarse que su proveedor de la nube esté utilizando adecuados programas de cumplimiento. También es una buena idea solicitar que un técnico independiente confirme el cumplimiento de su proveedor de la nube con las regulaciones vigentes. 15 Generalmente las organizaciones más pequeñas no tienen poder de negociación para realizar auditorías completas de un proveedor de la nube. Sin embargo, a través de acuerdos obligatorios de asociados comerciales de la industria de servicios de salud, estamos comenzando a ver que un pequeño segmento de proveedores de la nube está dispuesto a negociar acuerdos de proveedores, a objeto de acomodarse mejor a las necesidades de cumplimiento de los suscriptores de la nube. Los gestores de riesgo deberían confirmar que el proveedor de la nube en quien confían sus aplicaciones comerciales cruciales, sus datos personales y comerciales confidenciales, y su seguridad, sea receptivo y está dispuesto a acordar aspectos regulatorios y de cumplimiento. También deberían estar preparados para hacer la difícil recomendación de no utilizar la nueva tecnología si con esto se sacrifican los sanos principios de la gestión de riesgo. Control y responsabilidad A pesar que las empresas deben sacrificar algunos elementos de control a objeto de utilizar los beneficios de la computación en la nube, existen buenas prácticas que pueden ayudar a mitigar los riesgos de seguridad y financieros asociados con esta pérdida de control. En primer lugar, puesto que las organizaciones tienen el mayor control sobre sus datos antes que estos migren a la nube, deberían evaluar a los potenciales proveedores de la nube para determinar si están focalizados en la seguridad, privacidad y transparencia. Por ejemplo, los gestores de riesgos necesitan saber si toda la plataforma de la nube es operada directamente por el proveedor de la nube, o si algunos aspectos de la nube han sido externalizados a un proveedor sub-nube. No todos los proveedores de la nube tienen el mismo nivel de transparencia, y los gestores de riesgo deberían evaluarlos para determinar el alcance de los servicios y los tipos de datos que serán transferidos a la nube, a objeto de minimizar el impacto sobre la seguridad de la red y los riesgos relacionados con la privacidad. Se han desarrollado y se continúa desarrollando una serie de normas para ayudar a las organizaciones a evaluar la calidad de los proveedores de la nube. 16 Los gestores de riesgos deben tener presente que las responsabilidades de privacidad y seguridad de los datos comienzan dentro de su propia organización antes de continuar hacia la nube. Segundo, después que la organización elige uno o más proveedores de la nube, para la mayoría de las empresas la evaluación de los datos, la encriptación y la adecuada gestión de las claves de cifrado son las mejores opciones para controlar el acceso de datos. Pero antes de determinar el conjunto de datos que debe ser cifrado, como se señala en la III Parte, es importante tener presente que la actual definición de información personal o información confidencial de la empresa puede ser muy diferente a las definiciones de cinco o diez años atrás y posiblemente menos tiempo, dependiendo de la naturaleza de las actividades de la empresa, industria o actividad reguladora. A la luz de las siempre cambiantes normas sobre privacidad y seguridad de datos en todo el mundo, las organizaciones que almacenan nombres y contraseñas de usuarios en línea, tanto antiguos como nuevos, deberán reevaluar el riesgo de no cifrar dicha información. Debido a que muchos proveedores de la nube incluyen alguna forma de encriptación como parte de su oferta, la encriptación puede constituir una opción rentable para las organizaciones. En efecto, de acuerdo con los datos de suscriptores de Riesgo Profesional de ACE, el 73 por ciento de dichos suscriptores que transfieren datos sensibles a la nube, está cifrando sus datos. Como buena práctica las organizaciones deberían guardar sus claves de cifrado en un ambiente seguro, completamente segregado de la nube a través de su propio programa de gestión de claves de cifrado, o terceros. 09

11 Las organizaciones deberían estar también vigilantes de monitorear el tráfico y la actividad del ambiente de su nube, a fin de mantener un control adecuado de sus datos. Y a pesar que la negociación de las condiciones contractuales con los proveedores de la nube continúa siendo una empresa difícil, muchos están dispuestos a proporcionar mejores servicios de monitoreo y de seguridad que beneficien a la organización. Por ejemplo, algunos proveedores de la nube están dispuestos a proporcionar registros de las actividades del proveedor de la nube y de sus empleados dentro del ambiente de la nube de la organización. Tercero, a pesar que en los contratos con proveedores de la nube continúa siendo difícil negociar disposiciones sobre indemnización y limitaciones de responsabilidad, las organizaciones están siendo más exitosas en negociar derechos de auditoría y acceso a la plataforma o infraestructura de la nube, especialmente en el caso de violaciones. Los proveedores de la nube enfatizan en general el enfoque de la seguridad compartida, y entienden que las compañías que utilizan su infraestructura, plataforma o servicios tienen obligaciones reguladoras no negociables. Por otra parte, a la luz de las crecientes inquietudes reguladoras y de privacidad asociadas con la migración a la nube, las organizaciones deberían negociar contratos separados para satisfacer y proteger las necesidades de sus empresas, así como sus necesidades reguladoras y de privacidad. Esto contribuirá a que ambas partes se focalicen en asuntos importantes, a menudo no relacionados, que están presentes en los contratos de servicios y en los contratos de cumplimiento. Por ejemplo, los proveedores de la nube analizan muchas veces los datos de sus clientes, y aunque pudiera constituir una parte relativamente pequeña de los servicios ofrecidos, los contratos de servicio exigen un amplio consentimiento no solamente para almacenar, sino también para manipular y analizar dichos datos. Estas actividades pueden gatillar problemas de privacidad y seguridad de datos. El hecho de tener un contrato separado permite que las organizaciones puedan definir mejor lo que el proveedor de la nube puede hacer y no puede hacer con sus datos. Cuarto, las organizaciones deberían tener una estrategia de salida, tanto para mantener el control sobre sus datos como para responder a la posibilidad de fluctuaciones de costo imprevistas. Si no tienen una estrategia de salida adecuada y rápida (un contrato con una duración de dos años no es una buena estrategia), las organizaciones pueden quedar amarradas a un proveedor de la nube privado, incluso si dicho proveedor ya no satisface las necesidades comerciales o financieras de la organización. 8 A menudo los costos asociados a una migración entre proveedores de la nube y la gravedad de los datos almacenados dificultan el traslado a otro proveedor - o incluso llegan a ser prohibitivos. Cuando eligen una estrategia de salida, las organizaciones deberían: Considerar procedimientos sistemáticos de monitoreo y gestión, de modo que la organización pueda evaluar si el actual proveedor continúa satisfaciendo las necesidades de la empresa. Diversificar entre nubes privadas y públicas, para asegurar que la organización pueda mantener cierto control sobre las aplicaciones y datos cruciales de la empresa. Asegurarse de entender en qué forma tratará el proveedor de la nube los datos de la organización después de la terminación del contrato (algunos fragmentos de datos podrían permanecer con el proveedor a perpetuidad). Las organizaciones deberían confirmar que los datos retenidos no pueden ser reconstituidos, y que no presentan un riesgo para la seguridad de la organización. Programas de debida diligencia y gestión de proveedores Al final, la creación de la cultura de privacidad por diseño, la claridad de las responsabilidades compartidas con su proveedor de la nube y el establecimiento de controles y responsabilidades adecuadas no son suficientes: también deberá implementar adecuados programas de debida diligencia y gestión del proveedor. De modo creciente, los clientes de la nube están desarrollando procesos formales de debida diligencia y programas de gestión del proveedor para evaluar y manejar los riesgos relacionados con la nube que señala este estudio. De hecho, numerosos organismos reguladores incluyendo los reguladores financieros que aseguran el cumplimiento de la Ley Gramm-Leach-Bliley (GLBA) están examinando a fondo los programas de gestión de proveedores, a fin de asegurar que los datos personales regulados y otras informaciones confidenciales sean adecuadamente protegidas y manejadas cuando están en manos de los proveedores de la nube y otros proveedores. En tanto que los enfoques pueden variar, la mayoría de los programas de gestión de proveedores contienen elementos comunes, incluyendo una evaluación preliminar de datos, un proceso de evaluación de riesgos de seguridad y privacidad y condiciones contractuales estándar focalizadas en la seguridad y privacidad de los datos. Presupuestar la reubicación durante la migración inicial, a fin de asegurar que la organización tiene la capacidad financiera para trasladarse entre proveedores de la nube si es necesario. Planificar una estrategia de salida rápida y una estrategia a largo plazo. A la luz de la dependencia de un proveedor de la nube en cuanto a infraestructura y aplicaciones, resulta problemático trasladarse a otro proveedor, salvo que la compañía tome medidas proactivas antes de la migración inicial a la nube del proveedor. 10

12 Conforme a estos programas, a objeto de evaluar potenciales riesgos, los clientes de la nube llenan formularios que detallan elementos de los datos que van a ser procesados por un proveedor de la nube. La evaluación inicial de los datos permite normalmente que las partes interesadas del cliente (departamento legal, seguridad, privacidad y comercial) entiendan el riesgo relativo de la transacción y procedan de acuerdo a ello. Por ejemplo, si al proveedor de la nube solamente se le entregan archivos no confidenciales, que no contienen números de seguridad social o datos sobre contabilidad financiera, bastaría someter al proveedor a un examen menos profundo. Una vez que establecen un nivel básico de riesgo, muchos clientes de la nube inician un proceso de debida diligencia de seguridad y privacidad. Nuevamente, es bastante común que los clientes preparen cuestionarios de evaluación de seguridad para que sea llenado por el proveedor de la nube. Estos cuestionarios se refieren a los controles internos de seguridad que el cliente desea establecer con el proveedor de la nube, y generalmente abordan inquietudes sobre exigencias regulatorias relacionadas con la seguridad y la privacidad. También efectúan averiguaciones sobre el uso y divulgación de información personal de parte del proveedor de la nube, a fin de determinar en qué lugar se procesará la información personal y si el proveedor de la nube usará la información para sus propósitos o la divulgará a terceros (por ejemplo, divulgación a empresas publicitarias). Las respuestas de estos cuestionarios permiten que los clientes ajusten sus evaluaciones de riesgos y las incluyan en la fase contractual de la transacción con la nube. A fin de reforzar sus procesos de evaluación de riesgo y debida diligencia, y como parte de su programa de gestión del proveedor, numerosos clientes de la nube crean programas estándar de seguridad y privacidad de datos para incluirlos en sus contratos con la nube. El propósito de estos programas es abordar problemas regulatorios, proporcionar un mecanismo para que un proveedor de la nube mantenga estándares razonables de seguridad, establecer obligaciones de respuestas a incidentes y transferir riesgos de pérdidas por violaciones de datos o de privacidad ocasionadas por el proveedor de la nube. Nuevamente, el objetivo principal es tratar de crear una relación contractual fluida con el proveedor de la nube y reducir el riesgo tanto como sea posible. Algunas veces el proceso de redacción de un contrato de programas de gestión del proveedor es perfeccionado para permitir a los clientes posiciones retroactivas preestablecidas respecto de ciertas condiciones durante las negociaciones con los proveedores de la nube. No es inusual que tanto los abogados como los profesionales de seguridad de un cliente participen en las negociaciones de estas condiciones. En general, un programa de gestión del proveedor puede ayudar a las organizaciones a entender y gestionar sus riesgos, y la existencia de un programa establecido y robusto sugiere que la organización ha considerado los riesgos de la nube en toda su extensión. Una breve conclusión: Nos encontramos en un momento muy excitante de la evolución de la tecnología que, como todos esos momentos, ofrece beneficios y riesgos. Los beneficios de la nube son enormes e imposibles de ignorar el hacerlo sería dejar a una organización en una considerable desventaja competitiva. Y a pesar que indudablemente las organizaciones enfrentan muchos problemas al adoptar la nube y la respectiva tecnología, estos pueden ser superados con creces por medio de un análisis racional de los servicios del proveedor de la nube y las cambiantes necesidades de la organización. De modo que cada gestor de riesgos debe contestar inevitablemente las siguientes preguntas: Cuál es la forma óptima de equilibrar los beneficios de la computación en la nube con todos sus potenciales riesgos? Cuáles son las mejores y más apropiadas herramientas de gestión para mitigar esos riesgos, sin perder todo lo que la nube puede ofrecer? Acerca de la Serie de Tecnología de ACE: Esta es la segunda edición del libro blanco de la serie de tecnología de ACE, destinado a ofrecer a los gestores de riesgos una visión general de los numerosos beneficios y riesgos de diferentes tecnologías revolucionarias que han comenzado a remodelar los ambientes de negocios de todos los tamaños. El primer informe sobre tecnología de ACE está focalizado en los medios sociales como fuentes de considerables beneficios e igualmente de considerable riesgos. Una copia de Medios Sociales: Los beneficios de los negocios pueden ser enormes, pero pueden mitigarse los riesgos de reputación, legales, operacionales? está disponible en El segundo informe está focalizado en la computación en la nube, una tecnología que altera el paisaje y goza de crecientes tasas de aceptación y que, sin embargo, muchas veces es implementada sin tomar suficientes precauciones de gestión de riesgos. Acerca de los autores: Toby Merrill es Principal Vicepresidente de la División Práctica Global de Riesgos Cibernéticos del Grupo ACE. Mr. Merrill tiene aproximadamente 20 años de experiencia en el campo de los seguros, específicamente en suscripciones de responsabilidad profesional, responsabilidad de gestión y riesgos cibernéticos. Previamente ocupó el cargo de Vicepresidente, Gerente Nacional de Productos de seguridad, privacidad y responsabilidad por errores y omisiones tecnológicas de la red de productos ACE en EE.UU., en que era responsable del desarrollo de productos y de la supervisión de operaciones de suscripción para dichas líneas, incluyendo negocios multinacionales. Ha escrito varios artículos sobre riesgos de privacidad, redes y medios sociales y ofrece frecuentes charlas sobre riesgo cibernético y seguridad de la red. Mr. Merrill puede ser contactado en Toby.Merrill@acegroup.com. Tom Kang es Vicepresidente Adjunto, Director de Demandas de Privacidad de la división Demandas de Riesgos Profesionales de ACE Norteamérica. En este cargo, Mr. Kang dirige el equipo de demandas por privacidad de ACE, supervisando las demandas de responsabilidad por violación de privacidad, de datos, seguridad de la red y errores u omisiones en servicios tecnológicos. Es especialista en gestión de respuestas a violaciones de datos de alto riesgo de primeras partes y de importantes demandas multijurisdiccionales de acción de clase. Además, Mr. Kang perfecciona y supervisa al Equipo de Violación de Datos de ACE, un panel de especialistas de respuestas a violaciones de datos, a objeto de optimizar soluciones económicas para los suscriptores de ACE. Sus responsabilidades incluyen la identificación de las tendencias de demandas, el análisis de acontecimientos jurídicos, y la solución de problemas de cobertura, a fin de gestionar respuestas proactivas de las pólizas a demandas por violación de privacidad y datos. Mr. Kang puede ser contactado en Thomas.Kang@acegroup.com. La ayuda en la redacción de este informe fue proporcionada por David Navetta, de Information Law Group. Mr. Navwetta puede ser contactado en dnavetta@infolawgroup.com. 11

13 CONTÁCTENOS Notas de pie de página: ACE USA 436 Walnut Street Philadelphia, PA 19106, Estados Unidos El Grupo ACE es una de las principales compañías aseguradoras multilíneas de daños a la propiedad y accidentes del mundo. Con operaciones en 54 países, ACE ofrece seguros contra daños a la propiedad y accidentes comerciales y personales y seguros complementarios de salud, reaseguros y seguros de vida a un diverso grupo de clientes. ACE Limited, la compañía matriz del Grupo ACE, está inscrita en la Bolsa de Valores de Nueva York (NYSE:ACE) y forma parte del índice S&P 500. Para obtener información adicional ver Las opiniones y posiciones expresadas en este informe son propias del autor y no necesariamente de alguna compañía de ACE. Los seguros son proporcionados por ACE American Insurance Company, Philadelphia, PA, o en algunas jurisdicciones, por otras compañías de seguros del Grupo ACE. La publicación es exclusivamente para fines educacionales. Las sugerencias y la información no tienen el propósito de constituir asesoría profesional o legal. Antes de aplicar esta información a un conjunto de hechos particulares, se debería solicitar la asesoría de un abogado o de otros profesionales competentes. Copyright 2015,, ACE Group. Todos los derechos reservados. 1 Definición NIST de Computación de la Nube: Sinopsis y recomendaciones NIST de Computación de la Nube: Sitio web de Cloud Security Alliance: Guía del Consejo de Seguridad PCI: Guía sobre virtualización del Consejo de Seguridad PCI: http.// 2 El 14 por ciento restante de los suscriptores de Riesgos Profesionales de ACE utilizan distribución híbrida de la nube. 3 Kuchler, Margaret, El tráfico minorista móvil representa 35 por ciento del tráfico durante el Día de Acción de Gracias. Akamai.com (2013), 4 Finders, Karl. Amazon Web Services cumple su 8 aniversario. ComputerWeekly.com (2014). 5 Davenport, Thomas, El nuevo CIO es y CTO analítico?, Online.WAJ.com (2014). (2014/03/12)the-new-cio-is-an-analytical-cto/ 6 Directriz 95/46/CE del Parlamento Europeo y del Consejo del 24 Octubre 1995sobre la protección de las personas con respecto al procesamiento de datos personales y al libre traslado de dichos datos (1995). 7 Edwards Wildman Palmer LLP. La pesadilla de todos: Riesgos de violación de privacidad y datos. EdwardsWildman.com (2013). e6el06350e68/presentation/publicationattachment/e8180d9e-76a6-4b e873f815f9dc/edwardswildmanprivacywhitepapermay2014pdf Schectman, Joel. La encriptación previa a la nube podría evitar recolección subrepticia de datos del gobierno. Online.WSJ.com (2013). Perez, Evan. Ocultación de NSA produce rechazo. Wall Street Journal (2013). Efrati, Amir. Google solicita aprobación informe solicitud datos NSA. Wall Street Jourtnal (2013). com/117zhtv 8 Bracy, Jeddiah. Parlamento Europeo vota a favor de reforma de protección de datos propuesta. PrivacyAssociation.org (2014). 9 Wallace, Matthew. El problema de los vecinos ruidosos en la nube. AllThingsDcom (2013) Mosher, Richard. Riesgos de la computación en la nube. ISSA Journal (2011) Código Civil de California El concepto de privacidad por diseño incluye limitaciones sobre recolección y retención de datos, así como una razonable seguridad y exactitud de los datos. Considerando y abordando la privacidad en todas las etapas de desarrollo de los productos y servicios, las empresas pueden obviar el gasto a los consumidores, que de lo contrario tendrían que aplicar prácticas y tecnologías protectoras de la privacidad. Protegiendo la privacidad del consumidor en una época de rápidos cambios. Informe FTC (2012). 13 Departamento de Seguridad Nacional, Oficina de Privacidad. Evaluaciones de impactos a la privacidad Janssen, Cory. Traiga su propia nube (BYOC). Techopedia.com. bring-your-own-cloud-byoc 15 La Alianza para la Seguridad en la Nube proporciona un cuestionario en formato de planilla, con un conjunto de preguntas que pueden formular un consumidor de la nube y un auditor de la nube a un proveedor de la nube. Este cuestionario está en 16 Varios estándares actualmente existentes incluyen estándares NIST, FEDRAMP y de seguridad en la nube de Japón. El conjunto de normas de seguridad de la nube de Japón se transforma en estándar global. Asia. Nikkei.com (2014) Kepes, Ben y Rackspace Hosting. Entendiendo la Pila Computacional en la Nube: Saas, Paas, Iaas. Cloud U. Diversity Limited (2011). Coud-Computing-Stack.pdf 18 Phneah, Ellyne. Cinco riesgos de seguridad cuando se trasladan datos en era BYOD. ZDNet.com (2013). Baldwin, Caroline. Los principales cinco problemas BYOD y soluciones de aplicaciones. ComputerWeekly.com (2013). htpp://wwwcomputerweekly.com/blogs/inspect-a-gadget/2013/08/top-five-byod-problems-and-appssolutions.html Hyman, Jon. No olvide estos cinco problemas de seguridad en su norma BYOD.Workforce.com (2012). Htpp:// 19 Eastwood, Brian. Análisis de Datos masivos emplean casos para TI de atención de salud. OnlineCIO.com (2013). Bird, Julie. 3 Ways Healthcare Orgs Use Big Data. FierceHealthIT.com (2013). story/3-ways-healthcare-orgs-use-big-data/ //groengeldt, Tom. Morgan Stanley Takes on Big Data with Hadoop. Forbes (2012). Maryika, James; Chui, Michael; Brown, Brad; Bughin, Jacques; Dobbs, Richard; Roxburgh, Charles; Byers, Angela Hung. Datos masivos: La próxima frontera de la innovación, competencia y productividad. McKinsey & Company (2011).