Como ya es sabido, el mercado de los servicios cloud sigue en aumento y sabemos cuáles son sus ventajas para nuestros servicios y en general para el negocio; pero, ¿sabemos cuáles son sus riesgos? ¿Contamos con la suficiente capacidad técnica para soportar los nuevos entornos? ¿Sabemos cuáles son nuestras responsabilidades y las del Cloud Services Provider (CSP)? ¿Contamos con las competencias necesarias para afrontar dichas responsabilidades? Son algunas preguntas que surgen también cuando pensamos en adoptar algunos servicios cloud, lo que nos hace pensar si estaremos asumiendo el mismo riesgo o éste habrá aumentado.
Cloud Security Alliance, (2017) en su publicación titulada “Cloud Security Alliance’s Security Guidance for Critical Areas of Focus in Cloud Computing v4.0”, describe lo siguiente:
“Cloud computing changes the responsibilities and mechanisms for implementing and managing governance”.
No hay duda de que Cloud Computing y la transformación digital en general está cambiando la forma de hacer negocios, pero eso implica cambiar nuestra forma de gestionar los servicios y de gobernar la seguridad de la información.
¿Y la Continuidad de negocio? ¿es acaso un factor que nos resta responsabilidades, al iniciar un proceso de transformación cloud? La respuesta es contundente “No”
La Gestión de la Continuidad de Negocio es el conjunto procesos muy bien articulados que permite a las organizaciones identificar, analizar y evaluar los riesgos sobre las operaciones y los servicios de negocio, proporcionando un marco de residencia que permita responder, de forma eficaz y oportuna, ante situaciones de crisis o emergencia; por tanto, una adecuada y eficaz Gestión de Continuidad del Negocio permitirá garantizar la prestación de los servicios y por lo tanto, la continuidad del negocio.
Ahora bien, para determinar el nivel de criticidad de los servicios o procesos de negocio es necesario elaborar un BIA (Business Impact Analysis), el cual incluye la identificación y el análisis de los recursos (Personas, información, instalaciones, servicios tecnológicos y proveedores) relacionados a cada uno de los procesos para luego determinar los tiempos de recuperación necesarios y con ello, determinar la criticidad de los servicios.
La norma de gestión ISO 22301, en su apartado 4.2. Entendimiento de las necesidades y expectativas de las partes interesadas nos indica que debemos determinar los requisitos de las partes interesadas al negocio, siendo claramente identificados en este punto, nuestros proveedores de cloud. A demás, en el apartado d) del punto 8.2.2. (Análisis de Impacto al Negocio) y en el último párrafo del punto 8.3.1 (Determinación y selección) nos dice:
“El BIA debe incluir la identificación de las dependencias y de los recursos de apoyo de estas actividades, incluido proveedores…”
“La organización debe realizar evaluaciones de la capacidad de continuidad del negocio que tienen los proveedores.”
Entonces ¿Qué ocurre en nuestra organización cuando adoptamos servicios cloud? Ocurre que debemos seguir siendo responsables sobre los servicios de terceros; es decir, asumimos un nuevo concepto de responsabilidad llamado “Gobierno corporativo”.
En las organizaciones solemos contar con un departamento de compras encargado de evaluar a los proveedores; de igual forma, contamos con un departamento de compliance (Externo o Interno) que apoya a dicho departamento de compras en establecer y verificar el cumplimiento de los requisitos legales, regulatorios o normativos que – como organización y actividad económica – debemos cumplir y hacer cumplir a nuestros proveedores.
Nuestra labor será entonces, la de establecer claramente los requisitos que nuestro proveedor de cloud deberá cumplir, basado en nuestra forma de gestionar la seguridad y la continuidad de nuestro negocio.
Todo esto suena muy bien; sin embargo ¿las organizaciones pueden negociar los modelos de contrato que establecen las grandes corporaciones cloud? Para responder esta pregunta, sigamos analizando el mercado.
¿Son entonces, los servicios cloud, una imposición de sus contratos, políticas y controles sobre nuestra información y negocio? No, para ello es necesario lo siguiente:
- Revisar y evaluar el modelo de responsabilidad compartida El cual indica las responsabilidades en términos de operación del servicio, de seguridad de información y continuidad de negocio. Estas responsabilidades variarán en función del modelo de despliegue, del Cloud Services Provider (CSP) y del tipo de servicio contratado. Es muy importante en este punto conocer claramente nuestra responsabilidad y las de nuestro proveedor, teniendo en cuenta el impacto que tienen los servicios Cloud, sobre nuestros servicios y procesos organizativos.
- Basado en el cumplimiento de los SLA (Acuerdos de Nivel de servicio) y Garantías establecidas con nuestros clientes, deberíamos incluir, en el BIA, los nuevos tiempos de recuperación que ofrecen nuestros CSPs, los cuales no deberían afectar, en gran medida, nuestros RTOs – Tiempo Objetivo de recuperación.
- Realizar una evaluación de riesgos basado en los nuevos elementos de configuración de los servicios implicados.
- Evaluar el cumplimiento de los requisitos de seguridad y continuidad – establecidos al inicio con nuestros CSP, mediante la realización de auditorías o solicitando la entrega de informes de auditorías independientes.
- Establecer formalmente las nuevas responsabilidades internas, considerando el modelo de responsabilidad compartida.
- Cambiar el modelo de capacidad técnica, focalizando esfuerzos en aquellos controles que permitirán una mayor fluidez de nuestros procesos y mayor disponibilidad de nuestra información, sumando en algunos casos, nuevos controles de seguridad de información.
- Modificar las estrategias y los planes de continuidad, incluyendo plan de comunicación y los establecidos por el propio CSP.
- Y por último y no menos importante, llevar a cabo pruebas de continuidad, las cuales deberán ser coordinadas con los proveedores de servicio cloud, midiendo en todo momento, el cumplimiento de los tiempos de respuesta objetivo establecidos en nuestro modelo de negocio.
Al revisar estos aspectos notamos que no estamos muy alejados de estar cumpliendo con las buenas prácticas que establecen las normas ISO 27018 ó ISO 27019 y las guías de buenas prácticas que ofrecen organizaciones como Cloud Security Alliance y The Business Continuity Institute (BCI), reconocidas internacionalmente, pero no solo eso, sino también que estamos frente a un nuevo concepto de Gobierno sobre las Tecnologías, la Seguridad y la Continuidad de negocio, siendo nosotros “entes activos” sobre cualquier cambio que queramos adoptar en nuestra organización, sea que la “Transformación Digital” y de forma específica, los “Servicios Cloud” esté muy de moda hoy en día.
Termino este artículo resaltando que “Una correcta gestión de la continuidad y de los servicios Cloud nos permite entender aún más nuestra organización y su entorno, focalizando nuestro esfuerzo en los servicios y procesos con mayor valor para nuestro negocio.”
Nos depara un futuro muy interesante en cuanto a las tecnologías y los servicios asociados, pero que no lo sabremos aprovechar si no estamos preparados.
Jorge Rojas
Departamento GRC