Red Seguridad 84

16 red seguridad primer trimestre 2019 cloud opinión Mariano J. Benito Coordinador del Comité Técnico Operativo del Capítulo Español de Cloud Security Alliance y CISO de GMV empiezan a utilizar servicios en la nube. Riesgos que no siempre son adecuadamente conocidos ni valo- rados antes de utilizar los servicios, lo que puede originar problemas de seguridad, de cumplimiento legal y operativos. Análisis de riesgos El uso de servicios en la nube debe estar acompañado de un análisis de riesgos que ayude a identificar y ges- tionar los problemas de seguridad asociados a dichos servicios. Pero, ¿qué medidas de seguri- dad deberían ser entonces aplicadas tanto por usuarios como proveedo- res de servicios en la nube? Cloud Security Alliance (CSA), como aso- ciación de profesionales indepen- dientes especialistas en seguridad en la nube, y su Capítulo Español constituido en ISMS Forum, cono- cen perfectamente estos riesgos y problemas de seguridad derivados del uso de los servicios en la nube. Además, está trabajando en la defi- nición de las medidas de seguridad que deberían ser contempladas y aplicadas tanto por los proveedores como por los usuarios de los servi- cios en la nube. Estas recomenda- ciones se recogen en el documento Guías de seguridad de áreas críticas en Cloud Computing , que está dis- u otra forma para recibir o prestar servicios. La nube es pues una realidad cada vez más consolidada. Obviamente, las organizaciones que proveen ser- vicios desde la nube centran su discurso en señalar las ventajas ante- riormente citadas, enriqueciéndolo con aquellas otras que les puedan ser particulares de sus servicios o de su modelo de prestación; de la misma forma que no señalan aque- llos aspectos que les puedan resul- tar menos favorables. Sería ingenuo pensar de otra forma. No obstante, apoyarse en ser- vicios en la nube conlleva también cambios en la forma en la que se estaba prestando el servicio anterior- mente que pueden no ser baladíes. Algunos de ellos son esencialmente operativos: desde la necesidad de disponer siempre de conexión para llegar a la nube o la dispersión geo- gráfica del servicio hasta la aparición de un nuevo proveedor de servicios (especializado en la nube) o las modi- ficaciones para la organización y para sus personas, que son parte inevi- table de la migración entre dos ser- vicios. Sin embargo, otros cambios son más sutiles, menos conocidos, menos evidentes y tienen que ver con los nuevos riesgos que deben afrontar las organizaciones cuando S eguro que usted ya sabe qué es la nube. Probablemente, la nube (o cloud computing ) haya sido un asunto recurrente en casi todas las conversaciones que haya mantenido en los últimos años, en particular cuando se hablaba de servicios TI. En este sentido, el prefijo 'aaS' (de as a service ) ha ganado progresivamen- te ubicuidad, y muy probablemente ha oído hablar de SaaS, PaaS o IaaS en referencia a diversos modelos de prestar servicios desde la nube. Y posiblemente también haya oído hablar de otros servicios de nube, tales como IDaaS, ERPaaS, DRaaS o CraaS. Esta recurrente aparición del tér- mino ni es casual ni ha pasado desapercibida. El uso de servicios en la nube dota a sus usuarios con ventajas claras y perfectamente conocidas: flexibilidad, rapidez de provisión, condiciones financieras y de costes. En consecuencia, tanto los usuarios como el uso que hacen de estos servicios en la nube están evolucionando en España. Desde los iniciales usos residuales, como prue- bas de concepto y/o experimentales que iniciaban algunas organizaciones con mayor curiosidad o interés, en la actualidad no deja de crecer el número de organizaciones que están ya apoyándose en la nube de una 'Cloud computing': algo más que una tendencia