Riesgos y cumplimiento normativo de las estrategias en la nube

Comprender los riesgos operacionales y de cumplimiento de la externalización

La migración de servicios a la nube transfiere algunas de las tareas de gestión de riesgos al proveedor externo de servicios en la nube. Sin embargo, solo transfiere la gestión de los riesgos; la responsabilidad de los mismos sigue recayendo sobre la organización. Por lo tanto, el marco de gestión del riesgo operacional de la empresa debe tener en cuenta las situaciones especiales derivadas de la migración a la nube

Un elemento importante del marco debería ser la clasificación de los activos de información -como la propiedad intelectual, las bases de datos de los clientes y la información financiera- para que se puedan gestionar los riesgos; incluir en el contrato el derecho a auditar el entorno de la nube; un plan de continuidad del negocio que cubra todo el alcance del servicio en la nube; procedimientos y controles de gestión de servicios de los sistemas de información; y un modelo operativo rediseñado para garantizar la estructura y las capacidades adecuadas del equipo para administrar los servicios en la nube.

Ciberseguridad en la nube

La ciberseguridad de los servicios en la nube requiere una atención especial.  El riesgo a que intrusos logren acceder a los sistemas informáticos de una organización, incluso en el caso de redes cloud privadas, ha obligado a las empresas a mejorar su seguridad. Sin embargo, los ataques siguen llegando y las defensas corporativas son vulneradas con frecuencia.

Las organizaciones deben ser conscientes de las ciberamenazas globales a las que se enfrentan, qué amenazas específicas podrían materializarse cuando se trasladen a la nube y qué medidas de seguridad adicionales deben tomar para estar protegidas. Adicionalmente, necesitan evaluar los procedimientos de ciberseguridad del proveedor de la nube para asegurarse de que satisfacen los requerimientos del cliente.

Cumplimiento legal y regulatorio

El cumplimiento de las leyes y regulaciones nacionales en materia de protección y privacidad de los datos es un problema que las organizaciones deben abordar. ¿A quién pertenecen los datos?, ¿en qué países deberían almacenarse?, ¿a quién se le puede permitir acceder a los datos almacenados en otro país?. Los datos alojados en servicios en la nube y otras plataformas de Internet están sujetos a las leyes y regulaciones del país donde se almacenan los datos.

La Unión Europea también tiene legislación aplicable a los datos que se mantienen fuera de su territorio. El Reglamento General de Protección de Datos (GDPR), que entró en vigor en mayo de 2018, está diseñado para mejorar la protección de datos para los ciudadanos de la UE cuyos datos son recopilados, almacenados y procesados por las organizaciones; pero el alcance del reglamento se extiende a las compañías que usan servidores fuera de la UE, si dichos servidores tienen datos sobre ciudadanos de la UE.

Principales recomendaciones

• Se debe crear un marco de gestión de riesgos dentro de la organización para los sistemas en la nube. Es esencial comprender los riesgos operacionales y de cumplimiento de las soluciones cloud.
• Trazar una ruta que tenga en consideración todos los riesgos y complejidades regulatorias permitirá a la organización obtener todos los beneficios propuestos con la migración a la nube.
• Una due diligence adecuada debería ser el estándar para cualquier iniciativa de outsourcing para comprender los riesgos clave y para incorporar controles en el contrato. El riesgo del proveedor debe tenerse en cuenta en la ecuación.
• El riesgo de que los intrusos obtengan acceso a los sistemas informáticos ha obligado a las organizaciones a mejorar la seguridad. El riesgo cibernético merece una atención especial. La seguridad debe ser estrecha.
• Cumplir con las leyes y regulaciones nacionales sobre datos es un problema espinoso que debe abordarse y las implicaciones completas de GDPR deben ser entendidas y cumplidas.