Cloud y la norma ISO 27018

En el día de la fecha, asistimos a un evento que la CESSI organizó con el objetivo de conversar acerca de algo que ya nos resulta bastante familiar, o por lo menos el término que lo identifica: “Cloud”. En esta oportunidad la propuesta era pensar sobre “Para qué la nube”.

De los temas expuestos hemos elegido algo que nos resulta importante difundir: las recomendaciones del grupo de trabajo de algunos asociados a la CESSI, para la contratación en la nube. Acá resumimos algunas cuestiones a tener en cuenta…

Algo que también es bastante conocido, pero que respalda el informe del Boston Consulting Group, llamado “Por arriba de la Curva, Lecciones en Tecnología y Crecimiento de Pequeñas Empresas Líderes” (https://www.bcgperspectives.com/content/articles/technology_sofware_globalization_ahead_curve_lessons_technology_growth_small_business_leaders/), es que son las PyMEs las máquinas de crecimiento y las generadoras de empleo (el 75% de los empleos se encuentran en este segmento de empresas). Y las empresas con conocimiento en tecnología son las que han creado mayor cantidad de empleos, además de impulsar un incremento en los ingresos, en especial comparándolas con otras que utilizan poca tecnología.

Incorporación de tecnología a la empresa

Hoy en día todas, pero especialmente esas empresas, pueden acceder a la mejor tecnología y sus actualizaciones sin los costos ni los tiempos asociados de desarrollo e instalación, a través de los servicios en la Nube.  Sin embargo, existen cuestionamientos, básicamente por falta de confianza, con respecto a qué tan protegidos y seguros están los datos alojados en la Nube.

Es por esto que los proveedores de servicios en la Nube deben adoptar pautas claras, reflejadas en sus condiciones contractuales, con respecto a seguridad, privacidad y transparencia.  De hecho, en general, las soluciones en la Nube pueden proveer soluciones con más privacidad, seguridad y confiabilidad que las soluciones que muchas empresas pueden desarrollar por sí mismas.

A continuación, las recomendaciones realizadas por el Grupo de Trabajo conformado dentro de la CESSI, que deberían ser tomadas en cuenta al momento de seleccionar proveedor para la Nube:

  1. TRANSPARENCIA: Los prestadores de servicios en la nube deberían informar a sus clientes el lugar donde sus datos residen, así como asumir compromisos claros sobre la forma en que sus datos son utilizados
  2. RESPONSABILIDAD: Cualquier violación de la seguridad de la información debería dar lugar a una revisión por parte del prestador de servicios, a fin de determinar si existió alguna pérdida, divulgación o alteración de información relevante.
  3. CONTROL: Los clientes deberían tener el control explícito de la forma en que su información es utilizada
  4. COMUNICACIÓN: En caso de violación de seguridad de datos, los prestadores deberían notificarlo a los clientes y a las entidades regulatorias; y mantener registros claros sobre el incidente y la respuesta dada a dicho incidente.
  5. AUDITORIA INDEPENDIENTE: Sería deseable que los servicios sean auditados por un tercero independiente.

Esto refleja en términos generales los requisitos que presenta la norma ISO 27018, por lo que la certificación del proveedor de servicios en la Nube en dicha norma, ofrecería estas garantías y otras adicionales respecto al cumplimiento de las necesidades de seguridad y privacidad.