retos en seguridad, control y auditoría de los …...retos en seguridad, control y auditoría de...
TRANSCRIPT
Retos en seguridad, control y auditoría de los servicios en la nube
2 www.pkf-attest.es
Índice
Principales retos
1. Requerimientos normativos.................................................................................................... 4
2. Selección del proveedor .......................................................................................................... 7
3. Dependencia del proveedor .................................................................................................... 8
4. Clausulado de los contratos .................................................................................................... 9
5. Proceso de migración a la nube ............................................................................................ 10
6. Proceso de gestión ................................................................................................................ 11
7. Medidas de seguridad y control de la información .............................................................. 12
8. Certificados proporcionados por los proveedores ............................................................... 13
9. Monitorización, control y auditoría ...................................................................................... 14
10. Shadow IT .............................................................................................................................. 15
Retos en seguridad, control y auditoría de los servicios en la nube
3 www.pkf-attest.es
Autores:
• Carlos Bachmaier. Protección de Datos & Gestión de Riesgo y Continuidad
• Pablo Blanco Íñigo. Gerente de Seguridad IT GRC. SAREB
• Diego Fernández García. Director Políticas y Normativas de Ciberseguridad. BANKIA
• Gustavo Lozano García. Global CISO. GRUPO DIA
• Daniel Ponz Lillo. Responsable de Auditoría Interna de Sistemas. IBERDROLA
• Javier Rubio Sanz. Gerente de Gobierno y Continuidad de Negocio. FERROVIAL
• Javier Sagrado Collantes. Manager Auditoría IT. NH HOTELS
• Alfredo Ciriaco Fernández. Socio de Auditoría y Consultoría Económica. PKF Attest
• Ascensión Mateos Bermúdez. Socio Director de Auditoría y Consultoría Económica. PKF Attest
• Manuel Mendiola Antona. Director Responsable Riesgos Tecnológicos. PKF Attest
Retos en seguridad, control y auditoría de los servicios en la nube
4 www.pkf-attest.es
El uso de servicios en la nube ofrece grandes oportunidades en ámbitos como la agilidad en el despliegue
de soluciones, la flexibilidad para aumentar o disminuir la capacidad de los sistemas, la posibilidad de
acceder desde cualquier dispositivo o la potencial reducción de costes respecto a un desarrollo interno.
Sin embargo, como toda externalización, supone transferir su gestión a un tercero y eso siempre implica
riesgos, por muy grande que sea el proveedor o altas las inversiones en seguridad que realice.
Con objeto de ir más allá de exposiciones generalistas, PKF Attest impulsó a finales de 2018 la elaboración
del presente documento, involucrando a diversos responsables de áreas de seguridad, control y auditoría
que aterrizaron su experiencia profesional en grandes empresas para detallar los retos más habituales
y posibles medidas para afrontarlos.
Principales retos
1. Requerimientos normativos
La regulación es una palanca para impulsar medidas en gobierno y control de los servicios en la nube.
Sin embargo, la dificultad de implantarla y mantenerla actualizada en toda la organización obliga a
cumplir múltiples requisitos generando, por tanto, una alta carga de trabajo. Esta situación es
especialmente delicada si hay filiales internacionales sujetas a otras legislaciones locales que, en
muchos casos, podrían diferir significativamente -tal y como sucede en materia de protección de datos
personales donde no a todos los países se les exige el mismo nivel que en España-.
A modo de ejemplo y sin pretender ser exhaustivos, se indican a continuación normativas a considerar
en la prestación de los servicios en la nube (algunas son generales y otras específicas de determinados
sectores):
✓ RGPD (Reglamento General de Protección de Datos) / LOPDGDD (Ley Orgánica de
Protección de Datos y Garantía de Derechos Digitales)
✓ Reglamento relativo a la libre circulación de datos no personales
✓ LSSI (Ley de Servicios de la Sociedad de la Información)
✓ Propiedad Intelectual
✓ Esquema Nacional de Seguridad
✓ Esquema Nacional de Interoperabilidad
Retos en seguridad, control y auditoría de los servicios en la nube
5 www.pkf-attest.es
✓ Recomendaciones sobre la externalización de servicios en la nube (EBA – European Banking
Authority)
✓ Real Decreto-Ley 19/2018 (Transposición de la directiva PSD2 de medios de pago)
✓ LPIC (Ley de Protección de Infraestructuras Críticas)
✓ Directiva NIS (Real Decreto-Ley de Seguridad de las Redes y Sistemas de Información)
✓ Ley de Secretos Empresariales
✓ PCI DSS (Payment Card Industry Data Security Standard – Estándar de Seguridad de Datos
para la Industria de Tarjeta de Pago)
Esto obliga a construir un marco de control robusto que permita gestionar las diferentes
regulaciones, reglamentos, normativas… y no es un proceso fácil.
De la misma forma el cumplimiento de la normativa impacta en la capacidad de los proveedores para
ofrecer servicios en la nube y puede afectar al desarrollo de los proyectos, que han de irse adecuando
durante su implantación a las sucesivas normativas que se van aprobando provocando la modificación
de los planes de desarrollo, incremento de costes, aumento del “time to market”, etc.
Por ejemplo, en el caso del Sector Financiero, el Banco Central Europeo exige tener acceso a todos
los proyectos en la nube y aprobar cualquier subida de datos sensibles antes de su pase a producción,
que puede impactar en la planificación de dichos proyectos.
Otro reto importante es la responsabilidad que la normativa asigna a la empresa ante errores o fallos
por parte del proveedor en la nube. Más allá del riesgo reputacional inherente a cualquier
externalización, normativas como, por ejemplo, el RGPD establecen que la compañía contratante
sigue siendo responsable del tratamiento de los datos personales. Es decir, la responsabilidad no se
desplaza al prestador del servicio, ni siquiera incorporando una cláusula al respecto en el contrato.
También es cierto que la normativa permite a las empresas presionar al proveedor en aspectos como
la seguridad, obligando a que incorpore por defecto determinadas medidas. De hecho, los
proveedores suelen ser los primeros interesados en aplicarlas para poder usar su cumplimiento como
argumento comercial.
Realmente, el reto que supone la normativa no deja de ser un tema de Gobernanza interna.
Posiblemente, la solución ideal es que los CEO, los consejos de administración y los responsables de
negocio asuman que la gestión de la normativa es una función primordial de su organización y se
establezca la figura de un CCO (Chief Compliance Officer) o equivalente que tenga influencia en los
procesos de decisión y estrategia de la compañía.
Retos en seguridad, control y auditoría de los servicios en la nube
6 www.pkf-attest.es
Un CCO permitirá reducir significativamente el riesgo de que no se tenga en cuenta la regulación que
afecta a cualquiera de los servicios, y especialmente en el caso de la nube.
Retos en seguridad, control y auditoría de los servicios en la nube
7 www.pkf-attest.es
2. Selección del proveedor
Desde que surge la necesidad de trabajar con un proveedor hasta que finaliza la relación contractual,
es necesario adoptar una serie de medidas para asegurar que va a cumplir los requisitos solicitados,
la política de seguridad existente y que se va a recibir un adecuado servicio posventa.
Un buen documento de referencia son las recomendaciones sobre la externalización de servicios a
proveedores de servicios en la nube publicada por la EBA (European Banking Authority). En solo 13
páginas recoge una serie de pautas orientadas al sector financiero, pero que se pueden considerar,
en gran medida, en otros sectores.
Asimismo, es conveniente involucrar a las áreas de Control Interno y Seguridad en todos los procesos
de compras, desde el RFP (Request For Proposal) hasta el nivel contractual, abordando cuestiones
clave como por ejemplo el riesgo del proceso que se va a externalizar, el análisis de impacto
operacional y tecnológico, la inclusión de medidas de seguridad en el RFP que luego se trasladen al
contrato y los controles exigibles. Es crucial evitar que el proveedor se niegue a cumplir una medida
por no haberse comunicado en el momento adecuado y para ello es importante contar con el apoyo
de estos departamentos.
Adicionalmente, debería existir un proceso de homologación de proveedores que permita garantizar
la seguridad y el cumplimiento de requisitos a lo largo de todo el ciclo de vida del proveedor y hasta
que finalice el contrato. Se han de considerar, entre otros, aspectos económicos, grado de cobertura
de la necesidad de negocio, dependencia del proveedor, medidas de seguridad ofrecidas, reputación,
Responsabilidad Social Corporativa, transferencias de conocimiento previstas o planes de marcha
atrás. Es decir, definir y establecer unas pautas para, en caso de ser necesario, se pueda abordar la
resolución de cualquier problema de seguridad a nivel contractual.
Otra posibilidad es la elaboración de un anexo de seguridad comunicado a Compras que forme parte
de cualquier contrato, indicando diferentes requerimientos de seguridad en función de la tipología o
desarrollo que se vaya a acometer.
Adicionalmente, es importante incluir en el modelo de control interno una revisión periódica de
proveedores en función de la criticidad de los servicios que prestan.
Retos en seguridad, control y auditoría de los servicios en la nube
8 www.pkf-attest.es
3. Dependencia del proveedor
Cuando se externalizan procesos de negocio esenciales se corre el riesgo de crear una dependencia
del proveedor. Es algo que se ha de valorar y meditar a fondo.
Por ejemplo, en ocasiones el servicio contratado es crítico para el cliente, pero no para el proveedor.
Si más adelante este deja de ofrecerlo, el cliente se encuentra con un problema serio.
Además, todo aquello que no aparezca reflejado en el contrato de adhesión de forma expresa no
suele proporcionarse (o al menos no sin asumir un coste adicional). Y si está escrito, en muchos casos
no se puede asegurar si realmente se hace.
También es necesario definir planes de salida y requerir, contractualmente, la colaboración activa del
proveedor en una posible ejecución de estos.
En caso de encontrarse debilidades o carencias relevantes en seguridad hay que intentar que el CIO
o el CISO las trasladen al proveedor. Todos ellos suelen tener unos planes evolutivos (roadmaps) muy
ambiciosos. La clave es conseguir hablar con un especialista que entienda técnicamente la
necesidad, en vez de con un comercial.
Mientras tanto, quizá sea asumible limitar el uso de las funcionalidades afectadas durante el tiempo
que se desarrolle la mejora acordada.
Y si no se consigue gestionar de esta manera y tampoco es posible limitar el uso de la funcionalidad,
no nos quedará otra opción que implantar controles compensatorios.
Y si no se consigue gestionar de esta manera y tampoco es posible limitar el uso de la funcionalidad,
no nos quedará otra opción que implantar controles compensatorios.
Retos en seguridad, control y auditoría de los servicios en la nube
9 www.pkf-attest.es
4. Clausulado de los contratos
Hoy en día la cantidad de proveedores que ofrecen servicios en la nube es muy limitada. Suelen ser
proveedores muy grandes y las empresas que trabajan con ellos no son un cliente significativo.
Si bien es cierto que han evolucionado mucho y ofrecen portales de transparencia, certificados,
numerosa información de control, etc. la preocupación que tienen por cumplir o responder a las
necesidades específicas de sus clientes es muy limitada.
Lo habitual es un “estos son mis términos de servicio. Lo tomas o lo dejas”. Dichos términos se recogen
en un contrato de adhesión de decenas (o centenas) de páginas en el que se garantizan aspectos
básicos, como que (supuestamente) no existen transferencias internacionales de datos de carácter
personal o servidores fuera de Europa, pero en el que no hay margen a realizar cambios.
Y aún en el caso en que sea posible incorporar una serie de medidas específicas, es muy difícil reflejar
determinados requisitos de seguridad, confidencialidad, integridad o disponibilidad cuando se
desconoce la infraestructura y la organización del proveedor.
Además, es necesario leer la letra pequeña (que hay mucha). En ella suelen indicar aspectos tan
diversos como, por ejemplo, que si se elige que los servidores de respaldo solo estén en Europa
existen servicios para los que no pueden ofrecer el 99,9 % de garantía de continuidad. O garantizan
que un registro de un empleado o un cliente está cifrado y no se encuentra al 100 % en un mismo
disco o en un mismo servidor, pero al cliente le resulta muy difícil poder verificar que es así.
Lo ideal sería, como empresa, poder indicar a un gran proveedor de servicios en la nube que no
aceptas determinadas condiciones. Y como responsable de seguridad o control interno, poder
establecer a las áreas de negocio que no trabajen con un determinado proveedor por no cubrir
determinados requisitos.
Esto no suele suceder y lo más probable es tener que asumir situaciones que no son las ideales. Por
ello, es importante establecer todos los controles compensatorios correspondientes, incluir todos
los derechos de auditoría posibles, documentar el riesgo y no olvidarse de indicar los motivos por
los que se considera razonable aceptarlo (por si se ha de demostrar ante terceros nuestra
proactividad en el control de los proveedores en la nube).
Retos en seguridad, control y auditoría de los servicios en la nube
10 www.pkf-attest.es
Poco más se puede hacer en este ámbito. La capacidad de las empresas para incluir cambios en los
clausulados es muy limitada y depende mucho de la capacidad de negociación de la persona que se
ocupe y no tanto de las necesidades de la empresa o de los requisitos normativos que le afectan
(aunque esto último sí puede ayudar en determinados casos, como se ha mencionado
anteriormente).
Si podría resultar de ayuda la involucración directa de grandes entidades como la EBA o la Unión
Europea que podrían establecer marcos y modelos de trabajo obligatorios para todos los prestadores
de servicio en los que se establecieran las condiciones de seguridad mínimas a cumplir, apoyando de
esta forma a que las diferentes organizaciones y entidades que hacen uso de las soluciones en la nube
puedan contar, al menos, con las garantías suficientes en lo que respecta a la seguridad de la
información.
5. Proceso de migración a la nube
Una de las ventajas de los servicios en la nube es la potencial reducción de costes dados los ahorros
en “mano de obra”, hardware, etc.
Sin embargo, no es oro todo lo que reluce y, si se desea adoptar un adecuado modelo de control,
verificación y seguridad, habrá que asumir una serie de costes relevantes. En ese sentido, es
conveniente hablar con el responsable de seguridad para hacerse una idea de los costes ocultos
que será necesario asumir.
Este volumen de controles y regulaciones agregan una lentitud significativa al proceso de migración,
en contra de la inmediatez que habitualmente se presupone. En muchas soluciones SAAS (Software
As A Service) el ciclo de vida es similar al que se lleva a cabo en un proceso de selección de un software
para uso interno (selección del proveedor, parametrización, adaptación funcional a los procesos de
la compañía, despliegue, etc.). En el fondo depende mucho de que producto, que modalidad y que
elementos del concepto nube se estén adoptando.
Realmente, los servicios en la nube no son más complicados que la informática tradicional, pero
presentan un perfil de riesgo diferente. Por ello, antes de abordar una migración de este tipo, es
importante que las organizaciones hagan una reflexión estratégica sobre el riesgo inherente a la
externalización, involucrando no solo a negocio -que es la que requiere el servicio- sino a Sistemas,
Seguridad, Control Interno, Servicios Jurídicos y Auditoría interna.
Retos en seguridad, control y auditoría de los servicios en la nube
11 www.pkf-attest.es
El objetivo es tener una visión integral de los riesgos e identificar los requisitos que se deben
solicitar. Después hay que realizar una reflexión sobre las posibilidades y carencias de los diversos
proveedores y a partir de ahí adoptar un plan de migración que englobe la cobertura de las posibles
carencias identificadas.
6. Proceso de gestión
La gestión de un proveedor en la nube no debería diferir significativamente de la que se aborda con
un proveedor tradicional que presta servicios externos. Ha de ser posible utilizar unos procedimientos
de gestión y control similares.
Sin embargo, no hay que perder de vista las particularidades y riesgos específicos e inherentes en
privacidad, seguridad y fiabilidad de la información que se sube a la nube los cuales además tienen
unas connotaciones legales importantes.
A la hora de gestionar el servicio hay que tener en cuenta factores como la dispersión geográfica, el
cumplimiento normativo, la seguridad y privacidad de la información, las subcontrataciones que
pueda realizar el proveedor, etc.
Retos en seguridad, control y auditoría de los servicios en la nube
12 www.pkf-attest.es
7. Medidas de seguridad y control de la información
Desde el punto de vista de la seguridad, por mucho que se externalice en alguien de confianza, nunca
se puede estar tranquilo. Es imprescindible supervisar el servicio de forma continua.
En muchos casos, estos costes de supervisión se asumen desde el departamento de Seguridad en vez
de repercutirse a los proyectos, lo que transmite la sensación a negocio de que trabajar en la nube es
mucho más económico, cuando no siempre es así o al menos no tanto. La visualización de los riesgos
o los costes ocultos de la nube por parte de la Dirección es uno de los retos en este ámbito.
De hecho, estimar estos costes no es sencillo porque no se suele tener la foto completa y resulta difícil
a priori estimar en cuanto habrá que ampliar las capacidades de -por ejemplo- el SIEM (sistema de
gestión de eventos e información de seguridad) o las capacidades del posible SOC (centro de
operaciones de seguridad). Desde Seguridad es muy difícil dar una cifra concreta para que se agregue
al coste del proyecto. Esto provoca que, posteriormente, sea más difícil para el área de Seguridad
disponer del presupuesto necesario.
El uso de la nube normalmente lo impulsa Negocio, que lo considera un vehículo más rápido, fácil y
económico para alcanzar sus objetivos. El problema habitual es que no suele existir una buena
comunicación con Tecnología y no se ve el esfuerzo y las condicionantes que supone dar
mantenimiento a ese sistema.
Es importante que Negocio sea consciente de las “necesidades” de áreas como Seguridad y que esta
a su vez entienda las de Negocio. En muchas ocasiones lo que se acaba haciendo es tapar huecos o
buscar soluciones, pero la organización no se preocupa por incorporar en el proceso de selección a
las áreas de Tecnología, Seguridad o Control para que el servicio sea barato, eficiente, responda a las
necesidades y -además- su mantenimiento, continuidad o cualquier otro ámbito de seguridad
también esté recogido en todo momento.
Por ello, es crucial que en los servicios en la nube -que luego es tan complicado revisar a posteriori o
sustituir por otros- se incluya a estas áreas desde el inicio. Una posibilidad es regularlo vía normativa
interna, como una obligación más que se tenga que cumplir, de modo que la mayoría de los proyectos
hagan su análisis de riesgos por defecto.
Retos en seguridad, control y auditoría de los servicios en la nube
13 www.pkf-attest.es
Otro aspecto relevante es asegurarse de que los datos no se van a conservar en caso de
discontinuarse el servicio o que si un empleado sube información de forma no controlada esta podría
quedar perenne en su cuenta si un día abandona la empresa. Esto es algo que se ha de especificar en
los requisitos, porque no siempre se establece por defecto.
En el ámbito del cifrado, los grandes proveedores de servicios en la nube ofrecen diferentes
posibilidades y permiten incorporar en su sistema opciones de cifrado y de gestión de claves
corporativas. Además, la empresa puede cifrar por su cuenta la información para mayor seguridad
antes de subirla a la nube.
Incluso se puede establecer una “segregación de servicios” en la que un proveedor, por ejemplo,
aporte el almacenamiento en la nube y otro distinto se ocupe del control de acceso a dicho
almacenamiento.
No obstante, estas medidas no eliminan por completo el riesgo.
Por ejemplo, un empleado puede subir información confidencial -posiblemente sin cifrar- a su cuenta
de Dropbox o Gmail, y de ahí la compañía no la va a poder sacar.
Se necesita formación para indicarle al usuario lo que no debe hacer y herramientas preventivas y
reactivas que eviten que lo haga. Entre ellas se encuentran los servicios IRM (Information Rights
Management) que permiten a los responsables de negocio establecer permisos de acceso para limitar
la impresión, el reenvío o la copia de la información confidencial por parte de usuarios no autorizados.
8. Certificados proporcionados por los proveedores
Una de las grandes dificultades a la que se enfrentan los proveedores de servicios es la saturación de
auditorías por parte de sus clientes, que les generan una gran cantidad de costes internos que -en
buena lógica- desean trasladar a los contratos.
Una opción para evitar esto es apoyarse en los certificados que posea el proveedor. Que haya
implantado ISO27001 o disponer de un informe ISAE 3402 pueden suplir hasta cierto punto la
necesidad de acceder directamente a su plataforma.
No obstante, hay una serie de aspectos a considerar cuando se trabaja con certificados:
No obstante, hay una serie de aspectos a considerar cuando se trabaja con certificados:
Retos en seguridad, control y auditoría de los servicios en la nube
14 www.pkf-attest.es
No obstante, hay una serie de aspectos a considerar cuando se trabaja con certificados:
✓ Su alcance puede no estar alineado con las necesidades de la empresa y no cubrir todos los
aspectos que se desea evaluar.
✓ Puede quedarse en un ámbito muy general, sin entrar a profundizar. Por ejemplo, el
certificado ISAE 3402 puede ser Tipo 1 o Tipo 2. En el primer caso solo se evalúa el diseño
(lo que puede ser insuficiente), mientras que en el segundo también se evalúa la
efectividad.
✓ En ocasiones únicamente se puede acceder al certificado, pero no al informe y -por tanto-
se desconoce que pruebas se han hecho, su alcance, conclusiones obtenidas y posibles
recomendaciones emitidas.
✓ Nada garantiza que el certificado contente al auditor que lo solicita y sea necesario
explicarle al proveedor que -a pesar de los costes que está asumiendo para mantenerlo- ha
de proporcionar evidencias adicionales.
De entre los diversos certificados existentes, resultan muy interesantes los informes SOC 2 Tipo 2
(parecido al ISAE 3402 aunque en este caso es un ISAE 3000. Emite opinión sobre el diseño y
efectividad de los controles relativos a la Seguridad, Disponibilidad, Integridad, Confidencialidad y
Privacidad) y el esquema de certificación CSA STAR (a partir de Nivel 2).
También empiezan a surgir agencias y servicios de rating de empresas en la nube que emiten una
opinión sobre cómo está una determinada empresa en términos de seguridad.
Aunque la supervisión se apoye en certificados, siempre es recomendable revisar directamente,
incluso por medio de auditorías específicas, hasta donde sea posible. Ya sea para demostrar buena
praxis, cumplir con la regulación o, simplemente, poder cubrirse las espaldas demostrando diligencia
en las actuaciones.
9. Monitorización, control y auditoría
Como se ha mencionado anteriormente, la nube presenta una serie dificultades para monitorizar,
controlar o auditar sus servicios.
Aunque en muchos casos es posible incorporar el “Right to Audit” -que suele suponer un coste - es
muy complicado, o imposible, acceder a las instalaciones del proveedor (o estas se encuentran
desperdigadas por distintos países), evaluar en detalle su infraestructura, los programas de auditoría
no se adecúan a las particularidades de la nube, etc.
Además, en muchos casos, se corre el riesgo de ser percibidos como un freno a la innovación o a la
adopción de nuevas aplicaciones.
Retos en seguridad, control y auditoría de los servicios en la nube
15 www.pkf-attest.es
¿Y si se encuentran debilidades relevantes? puede que el servicio esté tan integrado en la empresa
que resulte muy difícil limitar su uso o no se tenga suficiente peso como cliente para forzar al
proveedor a llevar a cabo determinados cambios. Esta situación se complica si además se está
incumpliendo una determinada normativa.
A pesar de todas estas limitaciones, los riesgos que implica la nube hacen imprescindible una
monitorización continua y auditorías periódicas en las que se compruebe si la compañía ha adoptado
mecanismos de control suficientes y eficaces para gestionar los diferentes servicios externalizados en
la nube y a los proveedores que los proporcionan.
Entre los aspectos que se suelen evaluar se incluye el grado de concienciación de la Dirección, la
cultura organizativa en el uso responsable de estos servicios, el grado de dependencia del proveedor,
el tipo de información alojada y su criticidad, el clausulado del contrato, el nivel de servicio acordado,
la ubicación de la información, el cumplimiento normativo, las certificaciones que posee y, por
supuesto, los controles establecidos para velar por la integridad, disponibilidad y seguridad de la
información, así como los procedimientos de comunicación en caso de incidente en los sistemas del
proveedor.
En caso de encontrar debilidades, como mínimo, se deberán recomendar mejoras en los controles
que han fallado y proponer controles adicionales dentro del perímetro del servicio. Los planes de
acción resultantes se supervisarán para garantizar el cumplimiento de sus principales hitos.
10. Shadow IT
La nube proporciona un “time to market” mucho más rápido que el que requiere arrancar una solución
interna.
Con tres “clicks” y una tarjeta de crédito es posible acceder a almacenamiento prácticamente ilimitado,
herramientas para gestionar la contabilidad, llevar la planificación de los proyectos o la cartera de
clientes, etc.
Además, los usuarios quieren acceder desde diferentes dispositivos y tener un alto nivel de
disponibilidad, aspectos que no son sencillos de ofrecer desde los departamentos de TI. Es frecuente
que determinadas soluciones informáticas en la nube sean más versátiles y potentes que las ofrecidas
por la propia empresa.
Retos en seguridad, control y auditoría de los servicios en la nube
16 www.pkf-attest.es
Esta situación facilita la adquisición de software y plataformas que se encuentran fuera del control del
departamento de TI (se denomina “Shadow IT”) e implica numerosos riesgos de seguridad, tanto si
son soluciones cuya existencia conoce el departamento de TI, pero su adquisición y gestión está fuera
de su control, como de soluciones adquiridas a espaldas de TI y que no se controlan, documentan o
monitorizan (por ejemplo, un empleado que usa su cuenta de Dropbox personal para guardar
información confidencial de la compañía).
Existen posibles medidas paliativas como: agilizar el proceso de desarrollo de TI (aunque esto
puede incrementar las medidas de control, auditoría y seguridad e incluso requerir una validación
continua del regulador en determinados sectores si se generan nuevas versiones de aplicación
continuamente), formar y concienciar en el cumplimiento de las normativas que establezcan que se
puede hacer y que no, establecer procedimientos que regulen la adquisición de servicios en la
nube, bloquear el envío o almacenamiento de información por fuera de los sistemas
corporativos, definir medidas de seguridad y control específicas -por ejemplo que las compras de
tecnología fuera del departamento de TI necesiten la aprobación del CIO- que permitan prevenir o
detectar la existencia de Shadow IT desconocido por TI y la incorporación paulatina del Shadow IT
conocido a las medidas de seguridad corporativas, etc. En general, un fortalecimiento del nivel de
gobernanza de los sistemas de información.
No obstante, el Shadow IT por desgracia es una realidad y como tal va a aparecer y no existe una fácil
solución. Aun detectándolo, su gestión no es tan sencilla como “sacar la escopeta” y cortar servicios,
dado que se puede afectar a un proceso crítico de negocio. Suele ser necesario en estos casos un
proceso de negociación y entendimiento a partir del cual decidir si el servicio se autoriza o se sanciona,
así como posibles sinergias con los sistemas corporativos.
“A dios rogando y con el mazo dando”: hay que acompañar al negocio y traer al empleado hacia los
sistemas “oficiales” ofreciéndole una solución alternativa. Transmitir que ese servicio que ha
contratado no es corporativo y en algún momento su uso ve va a limitar y posteriormente prohibir, pero
que tiene alternativas que además disponen de soporte técnico desde la organización.
Si aun así no se convence, siempre queda establecer un proceso de gestión de excepciones y
asunción de riesgos del cual se tenga que responsabilizar el área que ha contratado el Shadow IT. Si
sucede algo en ese entorno no controlado se acabará, como es habitual, llamando al departamento
de TI para que lo solucione, pero al menos quedará constancia de quien provocó el problema.