Cobit y Windows Azure


IT Control Objectives for CLOUD COMPUTINGCOBIT es un marco de trabajo creado por ISACA reconocido mundialmente de buenas prácticas para el gobierno de IT. ISACA recientemente acaba de editar el libro IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud.
En el libro se describen tres recomendaciones para el cloud:

  • Riesgo
  • Confianza
  • Regulaciones

Vamos a describirlas y ver como se cubren en Windows Azure.

Riesgo

En COBIT el riesgo se define como la perdida de confidencialidad, integridad o disponibilidad de la información o de los sistemas de proceso de información.

  • Riesgo de Privacidad y Accesos no autorizados. IAM nos provee control de acceso a la información por parte de los usuarios (se base en sus roles, tipo de información…). Este control de acceso debe ser revisado regularmente. Es de vital importancia tener bajo control, ya que los accesos no autorizados son la primera causa de pérdida o robo de datos. Es importante identificar los accesos que se realizan en el cloud
  • Riesgo Físico de los Datos. No debe esta delegado en nuestro proveedor; hemos de tener presente:
    • Ubicación de los mismos y las conexiones de internet.
    • Disponer SLA la actuación esperada en caso de desastre.
  • Riesgo Operacional. Cambios en los procesos al mover datos al exterior; nos ayudara tener un inventario de la información.

Riesgo en Windows Azure

Como lo cubre Windows Azure:

  • Políticas de Seguridad en Accesos:
    • Acceso al Administrador de Servicios en SSL (Windows Live Id).
    • Subida de la Aplicación mediante un certificado autofirmado publico/privado o desde el Administrador de Servicios.
    • Acceso a los Datos/SQL de la Aplicación mediante clave de cuenta.
  • Políticas de Seguridad en Servidores:
    • Virtualización de Servidores que ofrece un nivel de encapsulamiento a nivel de seguridad.
    • Filtrado de tráfico no autorizado tanto de entrada como de salida a los Servidores.
    • Servidores en una red VLAN propia y aislada.
    • Acceso a los Datos vía SSL.
    • Ofrece mecanismos para auditar el funcionamiento del aplicativo instalado.
    • Redundancia triple de Datos.
    • Mantenimiento automático de Servidores; sin caída del servicio.

Confianza

En COBIT la confianza se define como aquello que nos permite evaluar el riesgo, control o gobierno de los procesos para la organización. En el cloud el seguimiento debe ser más a tiempo real, continuo y orientado a procesos. Los Proveedores de cloud realizan actividades encaminadas a crear valor, controlar el riesgo y optimizar recursos. Es básico que ofrezcan una política de transparencia de Procesos.
Los elementos a considerar son:

  • Los marcos de trabajo usados; que pueden ser:
    • Marcos estándars adaptados al cloud (COBIT, AICPA, ISO2700*…)
    • Marcos creados para el cloud (Cloud Secury Matirx, NIST, HITRUST…).
  • Auditorias, Certificaciones,… y auditadas a nivel externo
  • Nivel de Servicio. Cloud Computing requiere de una monitorización continua para verificar la conformidad a lo acordado. SLA debe establecer las métricas de medición de la Calidad del Servicio; que deben ser específicas al servicio y medibles. Necesitamos que este recogida de datos pueda ser medido independientemente y por terceras partes.

Confianza en Windows Azure

Windows Azure posee la ISO/IEC 27001. Esta ISO/IEC 27001 se focaliza en define los requisitos para un Information Security Management System ISMS . La norma adopta un enfoque por procesos para establecer, implantar, operar, supervisar, revisar, mantener y mejorar un SGSI. Enlace con la certificación obtenida auditada por la entidad certificadora British Standards Institute (BSI)
En línea con lo descrito en el manual de referencia; es una buena práctica. Ya que la ISO 27001 requiere de una revisión continúa. Los beneficios que aporta son:

  • Auditoría independiente.
  • Estándares aceptados a nivel internacional; y especialmente a nivel europeo.
  • Cubre la mayoría de riesgos aplicables al cloud.

SLA Disponible en el siguiente link
Este contrato se organiza en subcontratos en función de los servicios ofrecidos. Además para cada servicio se describe a nivel de detalle el estado que se considera caída de servicio.
En principio el contrato está en la línea de lo indicado en las recomendaciones de COBIT. La única limitación es que para los servicios internos no hay una auditoría independiente; se limita al buen entendimiento de las partes (aportando nuestra organización las pruebas que estime oportunas).

Regulaciones

Un detalle básico en el cloud; es determinar donde se almacenan los datos introducidos. Hay regulaciones que se aplican al origen de los datos y otras que se aplican a localización física de los mismos. Y algunas veces son contradictorias entre sí.
SLA y contractos con el proveedor de cloud están muy recomendados. Estos SLA ofrecen una seguridad legal limitada. En general esto nos ofrece un estándar de cumplimiento unificado.

Regulaciones en Windows Azure

Aun hay camino por recorrer, un buen hilo de debate se encuentra en el siguiente link

Anuncios
Esta entrada fue publicada en Azure, Cloud Computing y etiquetada , , . Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s