Al igual que ocurre con otras tecnologías, el Cloud Computing no es inherentemente bueno ni malo, sino que depende del tipo de uso que hagamos del mismo. Es común escuchar en diversos ámbitos la pregunta “¿es seguro ir a la nube?”. La respuesta a esta pregunta podemos resumirla en una única palabra: Depende.
Las ventajas que la nube tiene asociadas a nivel corporativo son enormes, pero también lo son algunos de sus riesgos asociados. Por esta razón, al momento de definir si la organización contratará algún servicio en la nube, es fundamental conocer qué información de la compañía es necesaria para que dicho servicio funcione en forma adecuada y cuáles son las medidas de seguridad que debemos cumplir. Por ejemplo, si por cuestiones de negocio trabajamos con datos personales sensibles, los mismos deben almacenarse cifrados en función de los diversos requerimientos de Leyes y regulaciones aplicables. Por lo tanto, si vamos a llevar datos de este nivel a la nube, debemos asegurarnos que los mínimos controles exigidos se mantengan de la misma manera que se mantendrían dentro de la organización.
En un caso como este, una alternativa válida podría ser la migración a una nube privada, donde podamos tener más control sobre la ubicación de los datos y las medidas de seguridad que se apliquen a nuestra información. En este modelo la infraestructura puede estar dentro de la organización o fuera de ella, pero la administración de aplicaciones y servicios suelen estar a cargo de la propia organización.
IMAGEN Tabla 1 – Modelos de implementación de Cloud Computing.
El problema surge cuando no es posible identificar la información involucrada en cada servicio y menos aún, conocer su nivel de criticidad. Por lo tanto, podemos ver que al momento de definir la migración de un servicio a la nube, es necesario realizar un análisis donde identifiquemos los distintos niveles de criticidad de la información involucrada y los requisitos de seguridad que se deberían cumplir. Este proceso conoce como Clasificación de la Información.
Clasificación de la Información
El proceso permite a las organizaciones identificar la información utilizada por el negocio, conocer cuál es su impacto y su valor, y de esta manera establecer los controles de seguridad que permitan protegerla en forma adecuada.
Para llevar adelante este proceso es de vital importancia contar con la colaboración de las distintas áreas de negocio, ya que son sus miembros los que tienen el conocimiento de la información que utilizan diariamente, y nadie mejor que ellos para identificar qué datos son críticos para el normal desarrollo de las actividades de la compañía. Por esta razón, usualmente al responsable de cada unidad de negocio se lo denomina Dueño de Datos, quién es el encargado de identificar la información a su cargo como así también definir el nivel de sensibilidad de la misma.
A modo de resumen, a continuación mencionaremos cuales son los pasos que nos permitirán Clasificar la Información de nuestra compañía.
• Identificar y formalizar a los Dueños de Datos.
• Identificar la información utilizada por cada área de negocio.
• Definir el valor y el nivel de sensibilidad de la información.
• Definir los controles de seguridad necesarios para proteger la información en función de su nivel de sensibilidad.
• Revisar la Clasificación de la Información en forma regular (anualmente).
