¿Cómo garantizar la seguridad de los datos y la privacidad en una nube híbrida

Proveedores de nube híbridos deben garantizar la seguridad y privacidad de sus datos, pero que son en última instancia responsable de los datos de su empresa. Esto significa que las regulaciones industriales y gubernamentales creadas para proteger la información personal y de negocios todavía se aplican incluso si los datos se maneja o almacena por un proveedor externo.

Las tres áreas principales de preocupación relacionados con la seguridad y privacidad de los datos en la nube híbrida son

  • Ubicación de sus datos

  • Control de sus datos

  • Transporte seguro de sus datos

Es importante señalar que algunos expertos creen que ciertos tipos de datos son demasiado sensibles para la nube pública / híbrido. Esto podría incluir datos altamente regulados, como la información médica. Otros creen que si el nivel adecuado de transparencia y los controles se puede proporcionar, los consumidores pueden protegerse. Nubes que los datos de acogida regulados deben cumplir los requisitos de cumplimiento, tales como tarjetas de pago estándar de la industria Datos de Seguridad (PCI DSS), Sarbanes-Oxley, HIPAA y.

Para obtener más información acerca de la seguridad en la nube, echa un vistazo a la Cloud Security Alliance.

La ubicación de datos en la nube

Después que los datos entra en la nube, puede que no tenga control sobre dónde se almacena o cómo se utiliza. Numerosos temas se asocian a esta situación:

  • Leyes específicas de cada país: Seguridad y leyes reglamentarias que rigen los datos pueden variar en diferentes geografías. Por ejemplo, la protección legal de su propio país podrían no funcionar si sus datos se encuentra fuera de ella. Un gobierno extranjero puede ser capaz de tener acceso a sus datos o evitar que tenga un control total sobre sus datos cuando lo necesite.

  • La transferencia de datos a través de las fronteras del país: Una compañía global con filiales o socios (o clientes para el caso) en otros países puede estar preocupado por la transferencia transfronteriza de datos debido a las leyes locales. La virtualización hace que este un problema especialmente difícil debido a que el proveedor de la nube podría no sabe donde los datos están en un momento determinado, tampoco.

  • Uso secundario de los datos: En situaciones de nube pública, sus datos o metadatos pueden ser vulnerables a usos alternativos o secundarios por el proveedor de servicios cloud. Sin controles adecuados o acuerdos de nivel de servicio en el lugar, sus datos podrán ser utilizados para fines de marketing. Se podría fusionarse con datos de otras organizaciones para tales usos alternativos.

El control de datos en la nube

Usted puede o no puede haber oído el término del CIA Tríada. No, no se trata de operaciones encubiertas. CIA significa Confidencialidad, Integridad, y Disponibilidad. Estos tres atributos han sido por mucho tiempo en el mundo de la auditoría y Controls- gestión que son críticos para los datos en el entorno de la nube por las siguientes razones:

  • Confidencialidad: Sólo las personas autorizadas con los privilegios adecuados pueden acceder a cierta de datos, es decir, no hay robo de los datos.

  • Integridad: Datos son correctos y no software malicioso (o persona) ha alterado IT es decir, no hay ninguna manipulación de los datos.

  • Disponibilidad: Los recursos de red están disponibles para los usuarios autorizados.

Estos tres atributos están directamente relacionados con el control de datos. Controles incluir las políticas de gobierno establecidos en el lugar para asegurarse de que los datos se puede confiar. La integridad, confiabilidad y confidencialidad de sus datos debe ser irreprochable. Esto vale tanto para los proveedores de nube, también.

Usted debe entender cuál es el nivel de los controles serán mantenidos por el proveedor de la nube y considerar cómo estos controles pueden ser auditados.

He aquí una muestra de los diferentes tipos de controles diseñados para asegurar la confidencialidad, integridad y disponibilidad de sus datos:

  • Validación de entrada controles para asegurar que toda la entrada de datos a cualquier sistema o aplicación son completas, precisas y razonables.

  • La reconciliación de salida controles para asegurar que los datos se pueden conciliar de entrada a salida.

  • Procesamiento controles para asegurar que los datos se procesan completa y precisa en una aplicación.

  • Acceso controles para garantizar que sólo aquellos que están autorizados a acceder a los datos pueden hacerlo. Los datos sensibles deben ser protegidos en el almacenamiento y la transferencia. El cifrado puede ayudar a hacer esto.

  • Re-identificación (el proceso por el cual anónimos los datos personales se corresponde con su verdadero dueño) controla para asegurar que los códigos se guardan en un lugar separado para evitar el acceso no autorizado a volver a la identificación de la información.

  • Gestión del cambio controles para asegurar que los datos no se pueden cambiar sin la debida autorización.

  • Destrucción de datos controles para garantizar que cuando se elimina permanentemente los datos, se elimina de todas partes - incluyendo todos los sitios de respaldo y almacenamiento redundante.

El concepto de controles en la nube es tan importante que la Cloud Security Alliance ha elaborado una lista de más de 100 controles de llamadas la Nube Controls Matrix (CCM) para guiar a los proveedores de nube y ayudar a potenciales clientes de la nube en la evaluación del riesgo global del proveedor.

Su empresa necesita para desarrollar y publicar un conjunto coherente de normas y políticas relativas a la creación, captura, gestión, transmisión, acceso, almacenamiento y eliminación de los datos confidenciales y críticos para el negocio. Utilizar técnicas tales como la encriptación y tokenización para reducir la exposición al robo de datos y el uso indebido.

El transporte seguro de datos en la nube

Digamos que usted ha decidido mover algunos de sus datos a la nube. En cuanto a transporte de datos, tener dos cosas en mente:

  • Asegúrese de que nadie pueda interceptar sus datos a medida que se mueve desde el punto A al punto B en la nube.

  • Asegúrese de que no hay fugas de datos (malintencionados o de otro tipo) de cualquier almacenamiento en la nube.

En la nube híbrida, el viaje desde el punto A al punto B puede ocurrir de muchas maneras: en un entorno de nube, a través de Internet público entre un proveedor de la empresa y en la nube, o incluso entre las nubes.

El proceso de seguridad puede incluir la segregación de sus datos a partir de datos de otras compañías, a continuación, el cifrado mediante el uso de un método aprobado. Además, es posible que desee para garantizar la seguridad de los datos más antiguos que se mantiene con un proveedor de la nube después de que ya no lo necesita.

LA red privada virtual (VPN) es una manera de gestionar la seguridad de los datos durante su transporte en un entorno de nube. Una VPN esencialmente hace que la red pública de su propia red privada en lugar de utilizar una conexión dedicada. Una VPN bien diseñado debe incorporar dos cosas:

  • LA cortafuegos para actuar como una barrera entre el Internet público y cualquier red privada

  • Encriptación para proteger sus datos sensibles de hackers- sólo el equipo lo envía a debe tener la clave para descifrar los datos

Además del transporte, en un mundo híbrido, habrá puntos de contacto entre los datos y la nube. Por lo tanto, es importante para hacer frente al almacenamiento y recuperación de datos.




» » » » ¿Cómo garantizar la seguridad de los datos y la privacidad en una nube híbrida