Entendiendo la seguridad en Azure: Gobernanza, Riesgo y Compliance

Finalmente llegamos a la última entrega de conceptos básicos de seguridad sobre Azure. Hoy vamos a hablar de tres conceptos que no están relacionados directamente con lo tecnológico si no con el mundo en el que vivimos y sus reglas. Estos conceptos son Gobernanza, Riesgo y Cumplimiento (Compliance).

Gobernanza

Es un sistema de reglas, procesos y prácticas que utilizan las organizaciones (como por ejemplo las empresas) para dirigir, administrar y controlar sus actividades. Si bien la lógica es pensar que la gobernanza funciona puertas adentro, muchas de las reglas surgen de la interacción con el mundo exterior. Por ejemplo, cómo se puede acceder a los recursos de la organización y quién tendrá permisos para administrarlos.

Riesgo

El manejo de riesgo es un proceso de identifiación, tratamiento y respuesta ante amenazas o eventos que tienen impacto tanto en una organización como así en sus objetivos. El riesgo puede ser interno o externo, siendo estos aquellos que provengan por ejemplo de una decisión del estado o de un cambio en la economía. El riesgo interno por otro lado es el que se origina dentro de la misma organización, como por ejemplo cuando una información sensible se filtra hacia un medio público.

Cumplimiento (Compliance)

Este término se refiere principalmente a las reglas o leyes que se deben de cumplir ya sea por el estado, pais o región en el que la organización opera, como así por tratados o acuerdos internacionales. Estas reglas no sólo definen cómo proceder si no que además define las sanciones ante el incumplimiento. Un ejemplo claro es el que habrán visto en los últimos años respecto al almacenamiento de datos de los usuarios en los sitios web, conocidos como las “cookies”. Esto es un ejemplo de cumplimiento de una ley, en este caso de la Unión Europea. Algunos conceptos que pueden definir reglas de cumplimiento son el lugar de residencia de los datos (por ejemplo, dónde está el datacenter), el lugar de soveranía de los datos (por ejemplo, en qué región se solicitaron los datos) y por último la privacidad de los datos (según la región pueden existir diferencias en cómo tratar los datos personales).

Conclusiones

Si bien ninguno de estos términos garantizan la seguridad de nuestra organización, es importante tenerlos en cuenta a la hora de definir las estrategias y cómo lo vamos a llevar a cabo. Hoy en día es clave para poder ofrecer un servicio entender qué reglas debemos cumplir, y quiénes van a tener acceso a los recursos de nuestra organización.

Con esta quinta y última entrega damos el cierre a estos capítulos de conceptos básicos de seguridad en Azure. Dejame en los comentarios si te gustaría una nueva entrega con conceptos un poco más avanzados. Hasta la próxima!