INTECO publica la Guía para empresas: seguridad y privacidad del cloud computing.
La guía ha contado con la colaboración de APEP
Esta Guía ha contado con la colaboración de la Asociación Profesional Española de Privacidad en la revisión y desarrollo de los aspectos relacionados con la privacidad. Desde APEP esperamos que se convierta en una herramienta útil y de referencia al servicio de las organizaciones españolas para entender los requerimientos jurídicos y técnicos que deben ser tenidos en cuenta en la contratación e implementación de este tipo de servicios.
Según señala en su nota de prensa, que aquí reproducimos, el Observatorio de la Seguridad de la Información de INTECO en su misión de difundir y reforzar la cultura de la seguridad y e-confianza en las TIC, publica la Guía para empresas: seguridad y privacidad del cloud computing, que recoge los aspectos claves para asegurar el éxito en la utilización de servicios en la nube. Es gratuita y está disponible en la web http://observatorio.inteco.es tanto en su versión completa en español e inglés, como en una versión ejecutiva en catalán, euskera, gallego y valenciano. Además, se publica un video tutorial de esta guía, disponible en la sección Multimedia del Observatorio y su canal Youtube, que expone los aspectos fundamentales de la misma.
La Guía ofrece una aproximación al modelo cloud computing para todo tipo de organizaciones, detallando los niveles de prestación de servicio (como infraestructura, como plataforma o como software), los distintos tipos de cloud (pública, privada, híbrida, comunitaria) y las características principales.
El uso malintencionado, las fugas internas de información, la suplantación de identidad o el desconocimiento del perfil de riesgo son algunas de las principales amenazas en este sentido. Frente a estos riesgos, las organizaciones deben aplicar unos mecanismos de seguridad para proteger los datos alojados en la nube. Además, INTECO recomienda que esta tarea se conciba como un trabajo colaborativo entre las dos partes (proveedor de servicios en la nube y la organización-cliente).
Por su parte, garantizar la privacidad de la información durante su ciclo de vida es crucial a la hora de utilizar servicios de cloud computing. La información es el activo más importante de las organizaciones, por lo que la prestación de servicios de cloud computing debe contemplar aspectos como la protección de la información, la integridad de los datos, el control de acceso y la prevención frente a una posible pérdida de información.
Por último, la Guía propone una serie de pasos previos para “dar el salto” a la nube, que son:
· Realizar un análisis de necesidades y oportunidades, para identificar el modelo de nube más apropiado para cada circunstancia.
· Examinar la oferta de servicios en la nube, estudiando cuidadosamente las distintas opciones existentes en el mercado.
· Definir la responsabilidad y los términos de uso en la relación entre la organización y el proveedor de servicios en la nube, que debe estar regulada por un contrato.
· Y utilizar mecanismos de migración de datos y procesos a la nube, actuación que puede realizarse de forma secuencial y diferenciada para los procesos y/o datos más sensibles.