Pàgina d'inici » IS Governance » Business Continuity

Category Archives: Business Continuity

Quan la desaparició del “Cloud” es una realitat.

La desaparició del “Cloud”

Que cada vegada més la informàtica recau en el “Cloud” es una realitat.
El “Cloud Computing” ha vingut i es quedarà. Però també es cert que des de un punt de vista de gestió de riscos i continuïtat (BCP, DRP) cal tenir en compte la seva desaparició del cloud.

Especialment perquè la desaparició del “Cloud” ja ha passat.
Ja vaig escriure un post respecte als riscos del “Cloud”. Ara llegeixo al Wall Street Journal que el proveïdor Nirvanix Inc. va entrar en liquidació donant 2 setmanes de marge per a retirar les dades.

Que passa si desapareix el proveïdor del “Cloud”?

Quan ets un usuari 2 setmanes per a recuperar les teves dades semblen molt temps.
Quan ets una empresa amb 70 Terabytes el problema es enorme.
Per exemple, segons la Sarbanes-Oxley Law les companyies han de mantenir copies dels seus registres financers. Si el teu proveïdor desapareix el incompliment de la llei es teu, no del teu proveïdor.

Cada cas es diferent, en funció de les dades i la forma d’accés que hi hagi.
Al anàlisi que vaig comentar hi ha un apartat on es comenten els formats de les dades.
També cal tenir en compte si l’accés es fa per mecanismes automàtics i on-line o simplement es un storage de dades encriptades.

En qualsevol cas la revisió del teu BCP (Business Continuity Plan) ho ha de tenir en compte. Que no sigui que no ho he avisat 🙂

La desaparició del “Cloud” ja ha passat!!

Enllaços relacionats:

New IS Hope: Cloud Computing: L’anàlisi de Riscos
http://blogs.wsj.com/cio/2013/10/07/sudden-collapse-of-cloud-provider-rattled-iac/
http://blogs.wsj.com/digits/2013/09/17/nirvanix-shuts-leaving-cloud-storage-customers-scrambling/

Cloud… la nova pedra filosofal? Punts a tenir en compte.

9 punts a tenir en compte al migrar al Cloud

Des de fa un temps les aplicacions al núvol (Cloud) estan presents en totes les ofertes, notícies i congressos que es fan. De vegades sembla que el Cloud ho ha d’arreglar absolutament tot.

D’una banda, forma part del procés de creació de noves expectatives que tota indústria a de crear, però d’altre es molt més la pressió de les grans consultores que marquen el camí a seguir, i que posteriorment cobren per fer el recorregut.

Veiem una sèrie de punts a tenir en conte al optar per una aplicació Cloud:

  • Desaparició de la segregació xarxa interna/externa
  • Dispositius mòbils
  • Legislació a aplicar / LOPD
  • Test d’intrussió / Penetration Test
  • Segregació d’accessos i limitació d’exportació de dades.
  • Contractació sense coneixement de IT
  • Continuïtat de negoci (SCO, DRP, BCP,…)
  • Portabilitat de les dades.
  • Obsolescència i dret a morir digitalment

 

Comentem els detalls:

Desaparició de la segregació Xarxa interna / Externa:

Conforme incrementem l’ús de aplicacions Cloud que requeriran accés a la nostre xarxa interna (validació d’usuaris, control d’accessos, assignació de costos d’ús,…) més i més personal, xarxes i dispositius, tindran accés a la nostra xarxa interna sense un control directe.

Recomanació:

Caldrà analitzar molt bé, a que i perquè cal que tinguin accés. Tingues en compte també la informació de desenvolupament / probes / etc.

Dispositius mòbils

Una de les grans avantatges que es venen amb les aplicacions cloud son la seva disponibilitat per a dispositius mòbils, que gestiona, adapta i fa evolucionar una empresa externa.
Sota aquest paraigües podem trobar empreses realment especialitzades, juntament a petites empreses que han fet un rentat de cara a part de les seves funcionalitats front-end.
La gran quantitat de dispositius mòbils i versions existents al mercat dificultarà a la empresa que ens esta gestionant l’aplicació el manteniment de la seguretat.

Legislació a aplicar.

Un dels punts més importants a tractar en la contractació d’un proveïdor Cloud es la legislació a aplicar. Encara més si tenim en comte que teòricament les teves dades poden ser mogudes a un altre país o fins i tot a un altre continent. Així que cal preguntar-se:

  • Les meves dades esta sotmeses a legislació que limiti la exportació de dades?
  • Hi han prous proteccions tècniques i jurídiques que redueixin els riscos?

Algunes recomanacions que es fan:

  • incloure avisos amb checkbox obligatori que forcin al usuari a acceptar les polítiques de la companyia.
  • Formació periòdica
  • Revisió de clàusules de subcontractació.
  • Indicar quan va ser el darrer accés –login- per a ajudar a detectar intrusions.

 

Llei de protecció de dades.

Un cas particular respecte a la legislació general es la legislació específica de protecció de dades personals. Existeix directives de la EU que impedeixen el moviment de dades personals fora de la EU sense les proteccions adients, per exemple, estan aprovades a Israel, Uruguai, Canada, etc…

  • Sota quina legislació esta emparades les dades personals?
  • Si el meu proveïdor esta ubicat fora (que acostuma a ser Europa del Est o Asia) han de complir la regulació local?
  • Tenen una legislació equivalent?
  • Hi ha regulació que m’impedeix ubicar-ho en alguns països?
  • Es legal la nova estructura organitzativa si la gestió i les dades estan ubicades fora?
  • Respon aquesta estructura als requeriments normatius locals?

Pots veure alguns comentaris més a la meva entrada Cloud Computing i Dades Personals

Test de intrusió: Penetration Test.

Quan tota la gestió es interna es factible, especialment si estem a una gran empresa, la gestió de test de intrusió.

  • Com fer-ho quan la teva porta d’entrada son múltiples aplicacions cloud?
  • Està inclòs al contracte aquesta possibilitat?
  • Podem estar tranquils que no estan entrant per una aplicació “segura perquè es cloud”? (Nota:Si creus el el Cloud es segur per definició, mira’t aquest post)

Segregació d’accessos i limitació d’exportació de dades.

Si al hosting tradicional la limitació del accés, el principi de mínims privilegis, i la revisió i control de rols i perfils es molt important, encara ho es més en un entorn Cloud sense barreres físiques, d’accés ni de dispositiu.
Cal tenir en compte també les possibilitats d’exportació i reenviament de dades a altres dispositius, comptes de correu, USB, DropBox, etc…. i limitar-les a qui realment requereixi d’aquestes opcions.

 

Contractació sense coneixement de IT.

La majoria de serveis cloud poden contractar-se a nivell personal, i per tant, la intervenció de IS es inexistent.

  • Qui assessora als departaments?
  • Que impedeix que els usuaris / departaments no gestionin el seu propi espai a DropBox, Google, Amazon,…?

Continuïtat de negoci (Service Continuity, DRP, BCP,…).

Al concentrar les dades i el servei al Núvol i reduir el personal intern de gestió, estic reduint també el coneixement i augmentant el risc.

  • Estan aquests riscos contemplats?
  • Tinc un pla de continuïtat en cas de caiguda?
  • Es conscient el negoci de les implicacions?
  • Es revisa aquest paràmetre periòdicament?
  • I més formalment per les auditories,…Hi ha un procediment que ho contempli?

Portabilitat de les dades.

Una de les avantatges que es venen a la contractació del emmagatzemament o aplicacions en Cloud es la flexibilitat de contractació; però es real aquesta flexibilitat?
Si es complicat en un entorn de hosting / aplicació habitual, encara ho es més amb un proveïdor en Cloud, on ets un client més d’una llarga llista, i on el hosting pot estar subcontractat.

  • Hi han costos per l’exportació massiva de les dades?
  • Costos de exportació amb connectors cap a altres aplicacions?
  • Es factible tècnicament la migració a un altre proveïdor?

Obsolescència i el dret a morir digitalment.

Un dels punts que darrerament s’està posant de moda, des de que gent que va posar perfils en aplicacions públiques ha mort, es el “dret a morir” digitalment. Això realment, forma part d’un concepte més ampli sobre el control de la vigència de les dades – data retention-.

  • Quina vigència tenen les dades que es queden al Cloud?
  • Hi ha previst un procés de destrucció en arribar a una data?
  • Es necessari emmagatzemar totes les dades eternament o puc destruir –purge- dades que son obsoletes?
  • Qui defineix el calendari de destrucció?
  • Hi ha legislació o normativa que defineixi una conservació de les dades durant un temps específic?

Enllaços relacionats:
CEB – Executive board
LegalToday.com
Financial Times – Business (ft.com)
Cloud Computing i Dades Personals
Cloud: Atac MiC (ESP)

%d bloggers like this: