Adquirir servicios en la nube en el estado¿Qué debo saber?

Una característica principal de los servicios en la nube es la accesibilidad de la información. para tener accesos a los recursos basta tener acceso a la red,

Otra de las características que hacen que el servicio de la nube se venga expandiendo de forma significativa es el ahorro económico. Generalmente el modelo de servicios en la nube permite reducir costes a las entidades y organizaciones con respecto al modelo de servicio y alojamiento tradicional ahorrando en Infraestructura Fisica, Servidores, personal, ambientes, etc.

Se ha categorizado el servicio como:

  • Infraestructura como servicio
  • Plataforma como servicio
  • Software como servicio

Cual tomará uated?

En Materia de Seguridad dela Información

relacionado con el cumplimiento de requisitos de seguridad, el modo de afrontar dicho cumplimiento normativo difiere en función de que la infraestructura en la nube sea propiedad y esté administrada por un tercero o lo esté por la propia entidad pública. En el supuesto de que sea la entidad pública la propietaria y administrador de la infraestructura sobre la que se despliegan los
servicios en la nube, la completa adecuación efectiva a la normativa vigente recae en dicho organismo, mientras que, en el caso de estar la infraestructura operada por un tercero, éste observará los requisitos establecidos en la normativa de seguridad que sea de aplicación.

Es importante recordar que la gestión de la seguridad de los servicios en la nube
que se contraten en las entidades de la Administración Pública son una
responsabilidad compartida entre la entidad contratante y el proveedor de
servicios en la nube, donde la primera define los controles de seguridad, mientras
que el proveedor de servicios en la nube es responsable de la seguridad de la
nube.

En línea con lo anterior, la entidad de la Administración Pública que contrate
servicios en la nube habrá de considerar lo siguiente:

  • Disponer de una política de seguridad de la información, controles de
    seguridad de la información, proceso de gestión de riesgos, en base a base
    lo indicado en la R.M. N° 004-2016-PCM y sus modificatorias.
  • Observar la guía de buenas prácticas señaladas en la Directiva de
    Seguridad en el ámbito de la protección de datos personales.
  • Disponer de un Acuerdo de Nivel de Servicio – ANS con el proveedor de
    servicios en la nube, en la que quede claramente definida las
    responsabilidades de la entidad pública y el proveedor de servicios en la
    nube.
  • Requerir mínimamente al proveedor de servicios en la nube un certificado de
    seguridad de la información ampliamente reconocido y basado en estándares
    internacionales, el mismo que tiene que ser emitido por una organización
    de auditoría independiente, como: Federal Risk and Authorization
    Management Program (FedRAMP), entre otros.
  • Requerir al proveedor de servicios en la nube mínimamente, el manejo de
    los siguientes protocolos de cifrado, los cuales se basan en estándares y
    algoritmos aceptados y probados por la industria:
  • Para el caso del manejo de tarjetas de pago requerir al proveedor de servicios
    en la nube como mínimo el Estándar de Seguridad de los Datos de la Industria
    de las Tarjetas de Pago (también conocido como PCI DSS).

 

El servicio en la nube se alberguen datos
personales se seguirá lo establecido por la legislación nacional sobre dicha
materia: la Ley N° 29733 – Ley de Protección de Datos Personales, su
Reglamento aprobado mediante el Decreto Supremo Nº 003-2013-JUS, , así
como el Decreto Legislativo N° 1353 que crea la Autoridad Nacional de
Transparencia y Acceso a la Información Pública, y modifica la indicada Ley N°
29733;

 

 

Acuerdos de nivel de servicios
Deben acordarse unos Acuerdos Niveles de Servicio (ANS). Estos acuerdos
deben ser aceptables para las entidades de la Administración Pública
contratantes y el proveedor que los prestará y deberán reflejar aspectos
referentes a capacidad, disponibilidad, continuidad o gestión de incidentes,
así como peticiones de cambio, entre otros, con al menos los siguientes
criterios:

  • Capacidad: se definirán desviaciones de carga que el proveedor
    deberá asumir. Del mismo modo se definirán tiempos de notificación
    cuando se detecte insuficiencia de recursos.
  • Disponibilidad: se establecerán porcentajes de disponibilidad del
    servicio en función de la criticidad del mismo, identificándose si
    hubiera periodos críticos en los que se requieren mayores niveles de
    disponibilidad. O también se podría indicar la cantidad de tiempo de
    inactividad máxima (diario o mensual) del Servicio
  • Tiempos de recuperación: se definirán tiempos de recuperación para
    los sistemas de información en línea con los criterios de valoración de
    disponibilidad de los servicios según la Norma Técnica Peruana “NTP
    ISO/IEC 27001:2014”.
  • Peticiones de cambio e incidentes: se definirán los tiempos de
    respuesta y resolución dependiendo de la naturaleza y complejidad del
    incidente, así como el horario de atención a peticiones de cambio
    realizadas por la organización cliente o incidentes reportados
    automática o manualmente.

De cada ANS, se requerirá la definición de los siguientes aspectos:

  •  Parámetro: identificador del ANS.
  •  Responsabilidades: quién recoge y facilita los datos necesarios para
    realizar los cálculos.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *