Cloud y ciberseguridad Cloud-y-ciberseguridad-IT-Sourcing-4

SEGURIDAD GRANULARIDAD certificar cuál es su grado de efectividad. Asimismo, y muy Una vez identificadas las medidas de seguridad en función relacionado con lo anterior, de forma periódica se tendrán de las vulnerabilidades y de las amenazas que podrían que realizar auditorías de seguridad, retroalimentando el afectar a los activos involucrados, podríamos dar forma conjunto de indicadores y métricas que se hubieran definido al registro de actividades de tratamiento. Este concepto para medir la eficacia del proceso de seguridad implantado. —actividad de tratamiento— no mapea totalmente con el Lógicamente, las empresas relacionadas con la prestación concepto de fichero de datos personales, empleado en la de servicios en la nube ya tendrán un grado de madurez normativa de protección de datos. Con las actividades de notable en este ámbito. En cualquier caso, si no cuentan tratamiento podemos granularizar más el alcance de una ac- con suficientes evidencias e indicadores que demuestren su tividad en la que se realiza un tratamiento de datos acorde debida diligencia podrían tener ciertas complicaciones a la a una finalidad específica, lo cual permite concretar las me- hora de negociar los contratos con sus clientes. didas de seguridad, técnicas y organizativas que se han de implantar. Hay que tener en cuenta que en este registro de actividades de tratamiento habría que indicar otros campos, más allá de los relativos a los datos tratados y a las medidas de seguridad. No obstante, no entraremos en estos detalles, ya que son de carácter eminentemente legal. Ahora se podrá concretar más qué medidas de seguridad, técnicas y organizativas hay que implantar PROVEEDORES En este punto, habrá que identificar qué proveedores están involucrados en cada una de las actividades de tratamiento y, PRIVACIDAD POR DISEÑO lo que es más importante, trasladarles ese conjunto de medi- De igual modo, y muy ligado con esa mejora continua, das de seguridad con el objetivo de exigir su cumplimiento. encontramos los principios de privacidad por diseño y Pero, al igual que con la herramienta de actividad de trata- defecto, que vienen a hacer más sofisticada la gestión de miento vamos a especificar mucho más el alcance que con las medidas de seguridad. En concreto, tanto los respon- la herramienta de fichero, ocurre lo mismo respecto a la sables del tratamiento como los proveedores que actúen debida diligencia sobre terceros. Es decir, antes podíamos en calidad de encargados de estos procesos tendrán que firmar un acuerdo de confidencialidad en el que, de forma demostrar que, desde la propia concepción de sus servicios, genérica, se indicasen los compromisos mínimos. Ahora, productos, etc., han tenido en cuenta la privacidad como un esta fórmula no sería válida. Precisamente por ese requeri- requisito no funcional primordial. Además, habrá que contar miento de diligencia y proactividad, se deben especificar las con evidencias adicionales en las fases relativas al análisis y medidas concretas que el proveedor tendría que cumplir. diseño de tales productos, más allá de las propias fases de De este modo, se hace mucho más sofisticada la visión operativa y mantenimiento. para el responsable del tratamiento, pero también para el Por otro lado, y como un requisito mucho más común, será proveedor encargado de esta tarea. un factor importante el estar en posesión de certificados y Algunos de los controles básicos que se podrían trasla- acreditaciones para demostrar esa diligencia y cultura de dar serían la existencia de una política de seguridad de la cumplimiento. Además, a todo este elenco de factores hay información, la debida asignación de responsabilidades, que sumar los relativos a la minimización de datos, limita- procedimientos sobre el uso aceptable de los activos, ción en el uso y retención de los mismos, la transparencia procesos de concienciación y formación para empleados, de cara al usuario o el recabado de los debidos consenti- así como medidas técnicas de control de acceso y contra el mientos explícitos. código malicioso. De nuevo, todas estas medidas de seguri- Por último, y como elemento igual de importante, hemos dad dependerán de lo expuesto en el análisis de riesgos. En de considerar los requisitos relativos a la obligación de cualquier caso, existe un conjunto mínimo de medidas de notificar las brechas de seguridad. En este caso la normativa seguridad que tendrán sentido en un gran porcentaje de los nos exige hacerlo en un plazo de 72 horas, aunque muchos contextos que nos podamos encontrar. responsables de tratamiento están trasladando unos plazos de 48 horas a su conjunto de proveedores, ajustando aún MEDIDAS DE SEGURIDAD más las exigencias de cumplimiento. 25 Teniendo en cuenta este escenario, los proveedores de En definitiva, estamos ante todo un reto para las organiza- servicios deben hacer mucho más robustas sus líneas de ciones, cabe esperar que en los próximos meses el nivel de defensa. No solo se trata de atender las solicitudes que madurez en este ámbito vaya mejorando. hemos comentado, también es necesario enfrentarse a las exigencias derivadas de la proactividad impuesta por el RGPD. Es decir, no solo tendrán que demostrar la existencia de ciertas medidas de seguridad, sino que también deberán JUNIO 2018 IT Sourcing Magazine

Cloud y ciberseguridad Cloud-y-ciberseguridad-IT-Sourcing-4 | Page 25