Contacto



Marcas de Telefónica

Son Marcas de Telefónica

¿El apetito y la actitud ante el riesgo como un factor que impide o promueve la adopción de Cloud Computing? #cloud

Jesús Manuel Caldas: Perú

A principios del mes de julio 2018, revisé una publicación en LinkedIn realizada por Debbie Christofferson (Contract consultant role with the Cloud Security Alliance) sobre un artículo publicado el 28 de junio 2018 en SearchCloudSecurity (TechTarget) por Madelyn Bacon.

El artículo titulado “Microsoft: Enterprises need to stop fighting cloud services adoption”, hace referencia a la exposición que realizó Laura Hunter, Principal Program Manager at Microsoft.

Sobre el artículo, podemos rescatar que los profesionales de seguridad proponen y exponen en términos de seguridad; por ejemplo, los riesgos que tendrán que afrontar las organizaciones al adoptar Cloud Computing. Sin embargo, son los niveles gerenciales del negocio, quienes tomarán la decisión final. Y el impacto positivo o negativo será asimilado por el negocio.

De hecho, muchas veces he observado la misma posición que comenta Laura Hunter al referirse que…..“security professionals work in a zero-trust mindset, especially when it comes to cloud services adoption. As a result, when another unit in the organization proposes using a cloud application or service, security professionals have an automatic answer of "no," because it would be bad for security”.

En mi opinión, existe el Oficial de la Inseguridad, que por ejemplo no facilita argumentos suficientes para hacer una valoración real sobre el riesgo que existe al adoptar Cloud Computing, es quien está más preocupado por obtener un certificado bajo una norma internacional y también se preocupa por el auditor, lo ve como su enemigo; cuando el rol del auditor es mas de verificación y control relacionado al cumplimiento, es decir que soporta el hecho de mantener vivo los procesos de gestión de la seguridad en la organización.

“When it comes down to business need versus security, business need is always going to win, she said, and then you end up with shadow cloud IT that the security team has no control over”

Según Laura Hunter

Al respecto puedo comentar que las necesidades comerciales no siempre van a ganar. Esto se debe a que, al adoptar Cloud Computing, podrían estar exponiéndose los activos de información del negocio, dependiendo de la “actitud” frente al riesgo por parte de los que toman decisiones. 

Por ejemplo, podría implicar que se esté incumpliendo alguna regulación local como las que establece las circulares de la Superintendencia de Banca, Seguros y AFP (SBS), en ese sentido por encima de todo está el cumplimiento legal.

Finalmente, “Total agree with you”, es cierto. No existe un escenario de Cloud Computing “totalmente seguro”, que pueda ser provisto por el Cloud Services Provider (CSP) o alguna organización en general, por eso un Modelo de Responsabilidad Compartida como el diseñado por AWS, es muy recomendable. Así como también es cierto que se podrían utilizar los servicios en la nube para mejorar la seguridad de las empresas.

Les invito a revisar con más detalle el artículo en mención (ver sección de Bibliografía) 

Respecto a este artículo y al riesgo que afrontamos cuando se adopta Cloud Computing, conversamos con Víctor Villar (Director de Maestría en Administración y Dirección de Proyectos) EPG Universidad Peruana de Ciencias Aplicadas – UPC.

Luego de revisar el Modelo de Responsabilidad Compartida diseñado y provisto por AWS, concordamos con Víctor que “La responsabilidad está claramente delimitada en el Modelo propuesto por AWS”.

En opinión de Victor Villar…“Debemos de tener una actitud frente al riesgo (la cual es una reacción natural personal, que puede ser igual o diferente cuando es una reacción colectiva). Para evitar que un funcionario por su actitud, no tome riesgos o tome demasiados riesgos, se debe definir corporativamente una política de tolerancia al riesgo y umbrales de riesgo. Esto tiene que ver con gobernanza”

Como dirían por allí “Al maestro, con cariño”, un buen mentor Víctor Villar en lo que fue mi experiencia profesional en Cosapi.

También en una de las tertulias como diría Rómulo Lomparte …“Una vez más llegamos a la importancia del riesgo y la política corporativa sobre los riesgos que nos permitan Gobernar brindando las garantías necesarias al negocio”. 

En conversaciones con Rómulo, el patrón de comportamiento del Oficial de la Inseguridad, definitivamente también responde a factores de comportamiento humano que impiden la adopción de Cloud Computing, en cierta forma se debe también “al temor de los especialistas en ceder parte de sus responsabilidades a terceros y perder poder”.

Cito una conversación que tuve con Carlos Ferreyros  (Universite de Montpellier, Francia) …“En el Perú las leyes que regulan el ámbito digital tienen una concepción analógica, basada en la regulación de aspectos del ámbito físico. Se intenta adaptar las normas del ámbito físico al digital, inmaterial; sin tener en cuenta la especificidad de éste último, por ejemplo en relación al Cloud. Al mismo tiempo existe asimetría entre seguridad de la información y la responsabilidad compartida por los órganos empresariales y proveedores externos”. 

Según Carlos, estos contenidos deben ser abordados desde el triple ángulo de la seguridad de la organización, la técnica informática y los aspectos jurídicos-legales, además de hacer intervenir a los proveedores de servicios externos como los Cloud Services Providers (CSP).

Vamos a trabajar un artículo desde la visión legal muy pronto; esto lo tengo pendiente, las disculpas del caso Carlos por la demora.

En nombre de Cloud Security Alliance, Perú Chapter y como Evangelista Cloud en Telefónica; quiero agradecer a Rómulo Lomparte, Víctor Villar y Carlos Ferreyros Soto, por el tiempo facilitado en las revisiones y conversaciones sostenidas, las acciones de voluntariado que estamos haciendo, promoviendo la adopción segura de Cloud Computing en el Perú. 

Te invitamos a que formes parte de estas reuniones, así como también de estas discusiones que aportan a nuestra comunidad. También nos pueden seguir por medio de LinkedIn en el grupo de Cloud Security Alliance, Perú Chapter donde formo parte como voluntario, promoviendo el uso de mejores prácticas en seguridad para Cloud Computing.

Con la colaboración de:
Victor Villar - Director en la Universidad Peruana de Ciencias Aplicadas (UPC)
Carlos Ferreyros - Profesor en la Universite de Montpellier, Francia
Lomparte - ISACA, Lima Chapter

4c980585-2fc4-4f8b-9d33-8988fe0d557f