Cloud Computing y GRC

12 julio, 2023 por Govertis Blog 0 comentarios

Cloud Computing y GRC

¿Qué importancia tiene el GRC en nuestro viaje a la nube?

El Gobierno, Riesgo y Cumplimiento (GRC) es un área de la seguridad de la información que debe abordarse desde el diseño de cualquier sistema. En el contexto del Cloud Computing, llamamos a este enfoque Cloud GRC by design.

Por un lado, las tecnologías Cloud, también conocidas como computación en la nube, engloban una serie de servicios prestados por proveedores a través de Internet llamados Cloud Solution Provider (CSP). Esto permite a las empresas y usuarios acceder a los recursos informáticos de manera más eficiente y a un costo más bajo que el modelo tradicional de Tecnologías de Información (TI).

Por su parte, el GRC es un enfoque holístico que abarca la gestión de riesgos, el cumplimiento legal y regulatorio y el buen gobierno de las TI. En términos de Cloud Computing, el GRC se centra en garantizar que los datos y los sistemas en la nube sean seguros, cumplan con los requisitos legales y reguladores aplicables y sean fácilmente gobernables desde el diseño. Para ello el GRC incluye la implementación de políticas y procedimientos de seguridad sólidos, la realización de auditorías regulares, la supervisión continua de los proveedores de servicios en la nube, el Gobierno Corporativo y la Planificación estratégica.

 

Tipologías de tecnologías cloud

El GRC es esencial en cualquier despliegue de Cloud Computing debido a la naturaleza compartida y descentralizada de esta tecnología. Al utilizar recursos en la nube, los datos y las aplicaciones de una organización están fuera de su control directo y en manos de un tercero, lo que plantea una serie de riesgos y desafíos para garantizar la seguridad y privacidad de la información.

Existen varios tipos de tecnologías cloud disponibles, cada una con sus propias características y usos, que deben tenerse en cuenta en nuestro enfoque GRC:

  • Infraestructura como servicio (IaaS). Este modelo da servicios básicos, como servidores y almacenamiento, a través de Internet. Los usuarios pueden acceder a estos recursos y configurarlos según sus necesidades sin tener que preocuparse por la infraestructura física. Ejemplos de proveedores de IaaS son Microsoft Azure, Amazon Web Services (AWS) y Google Cloud Platform (GCP).

 

  • Plataforma como servicio (PaaS). Este modelo proporciona una plataforma para desarrollar y ejecutar aplicaciones. Los usuarios pueden acceder a herramientas y servicios para desarrollar y probar aplicaciones sin tener que preocuparse por la infraestructura subyacente. Ejemplos de proveedores de PaaS son Microsoft Azure App Service, AWS Elastic Beanstalk y Google Cloud Platform App Engine.

 

  • Software como servicio (SaaS). Este modelo se refiere al uso de aplicaciones específicas a través de Internet. Los usuarios pueden acceder a estas aplicaciones y utilizarlas según sus necesidades, sin tener que preocuparse por la instalación o la configuración. Ejemplos de SaaS son Microsoft Office 365, Google G Suite y Salesforce.

 

Independientemente del modelo usado, existen distintas opciones de despliegue de las tecnologías cloud.

  • Nube pública. Implica la prestación de servicios cloud a través de Internet pública por parte de un tercer proveedor. Los servicios de nube pública están disponibles para cualquiera que quiera utilizarlos y pueden ser gratuitos o de pago.

 

  • Nube privada. Permite la prestación de servicios cloud para el acceso de una sola organización a través de Internet o de una red interna privada. Una nube privada puede ser administrada internamente o por un proveedor tercero.

 

  • Nube híbrida. Ofrece servicios de computación mediante una combinación de despliegues de nubes públicas y privadas. Este tipo de despliegue permite compartir datos y aplicaciones entre ambos entornos de nubes.

 

  • Utiliza servicios de diferentes proveedores de Cloud Computing. Esto evita tener que migrar toda tu infraestructura de un proveedor a otro cuando necesitas ciertas funcionalidades que el que tienes no te ofrece.

 

Entre los principales proveedores de servicios cloud se encuentran Microsoft Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP), IBM Cloud, Alibaba Cloud, Salesforce y Oracle.

 

Riesgos y desafíos de servicios cloud

En función del modelo de tecnología y de la opción de despliegue, las responsabilidades relacionadas con el Gobierno, Riesgo y Cumplimiento podrán recaer sobre el proveedor de servicios cloud o la organización usuaria de los servicios, de acuerdo con el modelo de responsabilidad compartida.

El GRC puede apoyar un despliegue en la nube de varias maneras:

  • Alineación estratégica. Las organizaciones necesitan alinear sus actividades operativas con el Plan Director de Seguridad para que todas vayan en la misma dirección, incluidos los servicios en la nube.

 

  • Gestión de riesgos. La integración del GRC en el Cloud Computing permite a las empresas identificar y abordar de manera proactiva los riesgos de seguridad y cumplimiento antes de que ocurran.

 

  • Seguridad sólida. La implementación de políticas y procedimientos de seguridad, la realización de auditorías regulares y la supervisión continua de los proveedores de servicios en la nube son componentes clave del GRC que ayudan a garantizar la seguridad de los datos y los sistemas en la nube.

 

  • Cumplimiento regulador. Es importante tener en cuenta las regulaciones y leyes aplicables, tanto en los lugares donde operan las empresas, como en aquellos donde se encuentran los recursos cloud contratados, para garantizar el cumplimiento de los requisitos legales y de privacidad de los datos que pueden variar según la industria y el país. La falta de cumplimiento con estas regulaciones puede tener graves consecuencias, como multas y daños a la reputación.

 

Un proyecto en la nube se puede encontrar con normativas y regulaciones de lo más diverso como PCI, ISO, SOX, HIPAA, NCQA, TDI, RGPD, ENS, NIS… Es importante tener en cuenta que estas regulaciones y leyes pueden ser complejas y pueden cambiar con el tiempo, por ello las empresas deben abordarlas a través de la implementación de controles y prácticas de GRC adecuados para garantizar su cumplimiento.

  • Optimización de los costes. La implementación efectiva del GRC puede ayudar a reducir los costes a largo plazo al prevenir posibles incidentes de seguridad y a evitar multas y daños a la reputación.

 

  • Mejora de la transparencia. El GRC ayuda a la transparencia y a la responsabilidad en la gestión de los datos y los sistemas en la nube, lo que puede mejorar la confianza de los clientes y otros interesados en la empresa.

 

El Cloud Computing enfrenta también grandes desafíos que se pueden abordar desde una óptica GRC:

  • Protección de datos sensibles. Los datos sensibles, como la información personal y financiera, deben ser protegidos contra el acceso no autorizado y la pérdida. Sin embargo, la naturaleza compartida y descentralizada de la nube hace que sea más difícil garantizar la seguridad de estos datos.

 

  • Cumplimiento de regulaciones y leyes. La nube puede ser regulada por diferentes países y leyes, lo que plantea desafíos para garantizar el cumplimiento con todas las regulaciones y normativas relevantes.

 

  • Uso compartido de recursos. La nube permite el uso compartido de recursos, lo que significa que otros usuarios pueden tener acceso a los mismos. Esto plantea desafíos para garantizar la seguridad y privacidad de la información empresarial en la nube.

 

  • Protección contra ataques. Las aplicaciones y datos en la nube están expuestos a los mismos riesgos de seguridad que los sistemas locales, incluidas las amenazas de virus, malware y ataques en línea.

 

  • Cambios en la infraestructura de la nube. Los proveedores cloud pueden realizar cambios en su infraestructura sin previo aviso, lo que puede tener un impacto en la seguridad y cumplimiento de la organización.

 

Estos desafíos demuestran la importancia de abordar el GRC en el Cloud Computing. Ya son muchos los casos de éxito de empresas que han seguido esta estrategia, tales como: Procter & Gamble, Coca-Cola, Pfizer, Banco Santander, Telefónica, Repsol, BBVA e Iberdrola.

Por tanto, la estrategia GRC debe incorporarse en cualquier proceso de adopción de sistemas Cloud por parte de las organizaciones para garantizar la seguridad de los datos y los sistemas en la nube. Las tareas de Gobierno, Riesgo y Cumplimiento deben abordarse desde el diseño para trazar un estrategia sólida y perdurable en el tiempo.

En futuras entradas hablaremos sobre la aplicación de medidas provenientes de diferentes dominios de GRC en el contexto de la nube.

 

 

Eladio Cortizas de Castro – GRC Consultant en Govertis Part of Telefónica Tech

Centro de Excelencia Cloud

 

Artículos Relacionados

por Govertis5 septiembre, 20150 comentarios

Bienvenido al blog experto en Gobierno TI, Seguridad, Riesgo y Cumplimiento Normativo

por Govertis4 enero, 20160 comentarios

Aspectos TIC en la reforma de la LECRIM (Parte I)

por Govertis27 enero, 20163 comentarios

LA PROTECCIÓN DE DATOS: 15 AÑOS ANTES Y 15 DESPUÉS…

Escribe un Comentario!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

HOJA DE RUTA PARA UTILIZAR CHAT GPTEntrada anterior:
LA GESTIÓN Y PROTECCIÓN DE INFORMACIÓN: EL INSIDER RISK MANAGEMENT Y DLPSiguiente entrada