La Razón de La Justicia

20.11.2018 La Entrevista / ManuelMendiola, Responsable deRiesgos Tecnológicos enPKFAttest «Cuando se decide usar un servicio en lanube,automáticamente nos exponemos adiversos riesgos que varían en funcióndel servicio externalizado,la criticidadde la informaciónque utiliza y el tipode sector en el que desempeñemos nuestra labor» 1 Hoy en día contratar servicios en lanubeesunatendenciapráctica- mente imparable,pero¿es realmente seguropara las compañías? Efectivamente, los servicios en la nube,tambiénconocidoscomocloud computing,estáncadavezmáspresen- tes en las organizaciones. Externalizar serviciosynecesidadesdetucompañía a un proveedor especializado implica numerosas ventajas y ahorro de cos- tes. Sinembargo,comotodasubcontra- taciónsuponetransferirsugestiónaun ente ajeno a nuestra compañía y eso siempreacarreariesgos,pormuygran- de que sea el proveedor o altas las in- versiones en seguridad que realice. La empresa contratantenohadedescui- dar la supervisióndel servicio. Naturalmente, los proveedores han mejoradoconlosañosysuelenofrecer unasgarantíasmuchomásaltasde las que podrían conseguirse si se hiciese internamente. Aún así, la seguridad completa no existe y es necesario ser precavidos. 2 ¿Cuálessonlosprincipalesriesgos queafrontanlasempresasycómo sepuedenevitar? Cuandosedecideusarunservicioen la nube, automáticamente nos expo- nemosadiversosriesgosquevaríanen función del servicio externalizado, la criticidaddelainformaciónqueutiliza y el tipo de sector en el que desempe- AUDITORÍADE SERVICIOS EN LA NUBE ñemosnuestra labor. Entre los principales riesgos se en- cuentran los normativos, dado que el usodeestosserviciosconllevadetermi- nadas obligaciones en ámbitos como laproteccióndedatosdecarácterper- sonal,losriesgosdeseguridadcomoel accesonoautorizadoa la información o su uso fraudulento, los riesgos en el ámbitodeladisponibilidaddelservicio, el riesgo de que éste no se adapte a las necesidadesyevolucióndelnegociode la compañía o incluso el riesgo de de- pendenciadel proveedor del servicio. No es nada sencillo gestionar estos riesgos. Una de las principales dificul- tades es la incapacidad que existe en muchos casos para poder revisar las instalaciones, infraestructura y proce- dimientos de seguridad establecidos por el proveedor. Es habitual que éste no recojaoadmita el derechodel con- tratanteaauditarle,loquedificultaesta labor de supervisión. Enesoscasoseshabitualapoyarseen losposiblescertificadosdeseguridady buenas prácticas que el proveedor pueda tener, como por ejemplo ISO/ IEC27018oISAE3402, oinclusoenlos resultadosderevisionesqueharealiza- do por su cuentamediante un tercero independiente. No obstante, estos elementos, aunque útiles, no necesa- riamente tienen por qué ser suficien- tes. Se puede decir que en general son necesariosgrandesesfuerzosporparte de las áreas de seguridad y control de la compañía e incluso de las propias áreasdenegocio. En base a nuestra experiencia en diferentes clientes, la dirección de la compañíanosiempreesconscientede esta necesidad o considera este coste comopartedelprocesodetraspasodel servicioa lanube. En un contexto diferente, tampoco podemosolvidarlosriesgosderivados del uso de servicios en la nube por parte de los propios empleados sin informar a los departamentos de tec- nología. Ya sea, por ejemplo, usando suscuentaspersonalesenserviciosde almacenamiento como Dropbox, OneDriveoGoogleDriveparaguardar copias de seguridad de su trabajo o inclusocontratandopor sucuentaun determinado servicio que necesita su departamento. Para estos casos, es fundamental prevenir formandoyconcienciandoa la plantilla además de supervisar su actividaden lanubede forma regular 3 Si se produce una filtración de datos,¿quiénes el responsable (el proveedor de los servicios, la propia compañía,etc.)? ¿Cuáles son las con- secuencias legales de una fuga de datos? Hay que distinguir entre datos de carácter personal, como nombre, apellidos, email o cualquier otro que aporteinformaciónsobreunapersona identificable y datos de carácter no personal. Enelprimercasoytalycomorecoge el artículo 24 del ReglamentoGeneral deProteccióndeDatos, es laempresa responsable del tratamiento la que mantieneestaconsideración,aunque traspase el servicioaun tercero. Para datos de carácter no personal dependerádeloquesehubieseindica- doenlascláusulasqueserecojanenel contratofirmadoconel proveedordel servicioen lanube. En cualquier caso, el impacto en la reputación e imagen pública de la compañíaprobablementeseveaafec- tado en caso de que se produzca un incidente, aunque lo haya provocado el proveedor. Encuantoa las consecuencias lega- les pueden abarcar desde multas por importes significativos hasta respon- sabilidad penal de la empresa en fun- ción de la gravedad del incidente y de laexistenciaonodeunprogramaade- cuadodeprevenciónde riesgospena- les. 4 ¿Quéesunaauditoríade los servi- cios en lanube? Es una revisión efectuada por al- guien independiente de las áreas que participan en la externalización del servicio o en su supervisión diaria. Hablamosnormalmentedeundepar- tamento de auditoría interna de la propiacompañíaodeauditoresexter- nos de una empresa de servicios a los quesecontrataparauntrabajodeeste tipo. El objetivo de estas auditorías es comprobar si la compañíaha adopta- domecanismosdecontrol suficientes yeficacesparagestionar losdiferentes servicios externalizados en lanube y a los proveedores que los proporcio- nan. Entre los aspectos que se suelen evaluarseincluyeelgradodeconcien- ciacióndeladirección,laculturaorga- nizativaenelusoresponsabledeestos servicios, el gradodedependenciadel proveedor, el tipode informaciónalo- jada y su criticidad, el clausulado del contrato, elniveldeservicioacordado, laubicacióndelainformación,elcum- plimiento normativo y, por supuesto, los controles establecidos para velar por la integridad, disponibilidad y se- guridaddelainformaciónasícomolos procedimientos de comunicación en caso de incidente en los sistemas del proveedor. 5 ¿Esrealmentenecesariohaceruna auditoría? Másquenecesariopodríamosdecir que es imprescindible. Los servicios en la nube suponen numerososbeneficios,peroentreellos noseencuentraneltraspasodelriesgo y la responsabilidad. Portanto,igualqueconelrestodelos procesosyserviciosdelacompañía,es muy conveniente efectuar auditorías periódicas que nos permitan verificar suadecuado funcionamiento, gestión y supervisión.

RkJQdWJsaXNoZXIy NDE5OTQ=