Retos en seguridad, control y auditoría de los …...Retos en seguridad, control y auditoría de...

1 www.pkf-attest.es

Retos en seguridad, control y auditoría de los servicios en la nube


2 www.pkf-attest.es

Índice

Principales retos

1. Requerimientos normativos.................................................................................................... 4

2. Selección del proveedor .......................................................................................................... 7

3. Dependencia del proveedor .................................................................................................... 8

4. Clausulado de los contratos .................................................................................................... 9

5. Proceso de migración a la nube ............................................................................................ 10

6. Proceso de gestión ................................................................................................................ 11

7. Medidas de seguridad y control de la información .............................................................. 12

8. Certificados proporcionados por los proveedores ............................................................... 13

9. Monitorización, control y auditoría ...................................................................................... 14

10. Shadow IT .............................................................................................................................. 15


3 www.pkf-attest.es

Autores:

• Carlos Bachmaier. Protección de Datos & Gestión de Riesgo y Continuidad

• Pablo Blanco Íñigo. Gerente de Seguridad IT GRC. SAREB

• Diego Fernández García. Director Políticas y Normativas de Ciberseguridad. BANKIA

• Gustavo Lozano García. Global CISO. GRUPO DIA

• Daniel Ponz Lillo. Responsable de Auditoría Interna de Sistemas. IBERDROLA

• Javier Rubio Sanz. Gerente de Gobierno y Continuidad de Negocio. FERROVIAL

• Javier Sagrado Collantes. Manager Auditoría IT. NH HOTELS

• Alfredo Ciriaco Fernández. Socio de Auditoría y Consultoría Económica. PKF Attest

• Ascensión Mateos Bermúdez. Socio Director de Auditoría y Consultoría Económica. PKF Attest

• Manuel Mendiola Antona. Director Responsable Riesgos Tecnológicos. PKF Attest


4 www.pkf-attest.es

El uso de servicios en la nube ofrece grandes oportunidades en ámbitos como la agilidad en el despliegue

de soluciones, la flexibilidad para aumentar o disminuir la capacidad de los sistemas, la posibilidad de

acceder desde cualquier dispositivo o la potencial reducción de costes respecto a un desarrollo interno.

Sin embargo, como toda externalización, supone transferir su gestión a un tercero y eso siempre implica

riesgos, por muy grande que sea el proveedor o altas las inversiones en seguridad que realice.

Con objeto de ir más allá de exposiciones generalistas, PKF Attest impulsó a finales de 2018 la elaboración

del presente documento, involucrando a diversos responsables de áreas de seguridad, control y auditoría

que aterrizaron su experiencia profesional en grandes empresas para detallar los retos más habituales

y posibles medidas para afrontarlos.

Principales retos

1. Requerimientos normativos

La regulación es una palanca para impulsar medidas en gobierno y control de los servicios en la nube.

Sin embargo, la dificultad de implantarla y mantenerla actualizada en toda la organización obliga a

cumplir múltiples requisitos generando, por tanto, una alta carga de trabajo. Esta situación es

especialmente delicada si hay filiales internacionales sujetas a otras legislaciones locales que, en

muchos casos, podrían diferir significativamente -tal y como sucede en materia de protección de datos

personales donde no a todos los países se les exige el mismo nivel que en España-.

A modo de ejemplo y sin pretender ser exhaustivos, se indican a continuación normativas a considerar

en la prestación de los servicios en la nube (algunas son generales y otras específicas de determinados

sectores):

✓ RGPD (Reglamento General de Protección de Datos) / LOPDGDD (Ley Orgánica de

Protección de Datos y Garantía de Derechos Digitales)

✓ Reglamento relativo a la libre circulación de datos no personales

✓ LSSI (Ley de Servicios de la Sociedad de la Información)

✓ Propiedad Intelectual

✓ Esquema Nacional de Seguridad

✓ Esquema Nacional de Interoperabilidad


5 www.pkf-attest.es

✓ Recomendaciones sobre la externalización de servicios en la nube (EBA – European Banking

Authority)

✓ Real Decreto-Ley 19/2018 (Transposición de la directiva PSD2 de medios de pago)

✓ LPIC (Ley de Protección de Infraestructuras Críticas)

✓ Directiva NIS (Real Decreto-Ley de Seguridad de las Redes y Sistemas de Información)

✓ Ley de Secretos Empresariales

✓ PCI DSS (Payment Card Industry Data Security Standard – Estándar de Seguridad de Datos

para la Industria de Tarjeta de Pago)

Esto obliga a construir un marco de control robusto que permita gestionar las diferentes

regulaciones, reglamentos, normativas… y no es un proceso fácil.

De la misma forma el cumplimiento de la normativa impacta en la capacidad de los proveedores para

ofrecer servicios en la nube y puede afectar al desarrollo de los proyectos, que han de irse adecuando

durante su implantación a las sucesivas normativas que se van aprobando provocando la modificación

de los planes de desarrollo, incremento de costes, aumento del “time to market”, etc.

Por ejemplo, en el caso del Sector Financiero, el Banco Central Europeo exige tener acceso a todos

los proyectos en la nube y aprobar cualquier subida de datos sensibles antes de su pase a producción,

que puede impactar en la planificación de dichos proyectos.

Otro reto importante es la responsabilidad que la normativa asigna a la empresa ante errores o fallos

por parte del proveedor en la nube. Más allá del riesgo reputacional inherente a cualquier

externalización, normativas como, por ejemplo, el RGPD establecen que la compañía contratante

sigue siendo responsable del tratamiento de los datos personales. Es decir, la responsabilidad no se

desplaza al prestador del servicio, ni siquiera incorporando una cláusula al respecto en el contrato.

También es cierto que la normativa permite a las empresas presionar al proveedor en aspectos como

la seguridad, obligando a que incorpore por defecto determinadas medidas. De hecho, los

proveedores suelen ser los primeros interesados en aplicarlas para poder usar su cumplimiento como

argumento comercial.

Realmente, el reto que supone la normativa no deja de ser un tema de Gobernanza interna.

Posiblemente, la solución ideal es que los CEO, los consejos de administración y los responsables de

negocio asuman que la gestión de la normativa es una función primordial de su organización y se

establezca la figura de un CCO (Chief Compliance Officer) o equivalente que tenga influencia en los

procesos de decisión y estrategia de la compañía.


6 www.pkf-attest.es

Un CCO permitirá reducir significativamente el riesgo de que no se tenga en cuenta la regulación que

afecta a cualquiera de los servicios, y especialmente en el caso de la nube.


7 www.pkf-attest.es

2. Selección del proveedor

Desde que surge la necesidad de trabajar con un proveedor hasta que finaliza la relación contractual,

es necesario adoptar una serie de medidas para asegurar que va a cumplir los requisitos solicitados,

la política de seguridad existente y que se va a recibir un adecuado servicio posventa.

Un buen documento de referencia son las recomendaciones sobre la externalización de servicios a

proveedores de servicios en la nube publicada por la EBA (European Banking Authority). En solo 13

páginas recoge una serie de pautas orientadas al sector financiero, pero que se pueden considerar,

en gran medida, en otros sectores.

Asimismo, es conveniente involucrar a las áreas de Control Interno y Seguridad en todos los procesos

de compras, desde el RFP (Request For Proposal) hasta el nivel contractual, abordando cuestiones

clave como por ejemplo el riesgo del proceso que se va a externalizar, el análisis de impacto

operacional y tecnológico, la inclusión de medidas de seguridad en el RFP que luego se trasladen al

contrato y los controles exigibles. Es crucial evitar que el proveedor se niegue a cumplir una medida

por no haberse comunicado en el momento adecuado y para ello es importante contar con el apoyo

de estos departamentos.

Adicionalmente, debería existir un proceso de homologación de proveedores que permita garantizar

la seguridad y el cumplimiento de requisitos a lo largo de todo el ciclo de vida del proveedor y hasta

que finalice el contrato. Se han de considerar, entre otros, aspectos económicos, grado de cobertura

de la necesidad de negocio, dependencia del proveedor, medidas de seguridad ofrecidas, reputación,

Responsabilidad Social Corporativa, transferencias de conocimiento previstas o planes de marcha

atrás. Es decir, definir y establecer unas pautas para, en caso de ser necesario, se pueda abordar la

resolución de cualquier problema de seguridad a nivel contractual.

Otra posibilidad es la elaboración de un anexo de seguridad comunicado a Compras que forme parte

de cualquier contrato, indicando diferentes requerimientos de seguridad en función de la tipología o

desarrollo que se vaya a acometer.

Adicionalmente, es importante incluir en el modelo de control interno una revisión periódica de

proveedores en función de la criticidad de los servicios que prestan.


8 www.pkf-attest.es

3. Dependencia del proveedor

Cuando se externalizan procesos de negocio esenciales se corre el riesgo de crear una dependencia

del proveedor. Es algo que se ha de valorar y meditar a fondo.

Por ejemplo, en ocasiones el servicio contratado es crítico para el cliente, pero no para el proveedor.

Si más adelante este deja de ofrecerlo, el cliente se encuentra con un problema serio.

Además, todo aquello que no aparezca reflejado en el contrato de adhesión de forma expresa no

suele proporcionarse (o al menos no sin asumir un coste adicional). Y si está escrito, en muchos casos

no se puede asegurar si realmente se hace.

También es necesario definir planes de salida y requerir, contractualmente, la colaboración activa del

proveedor en una posible ejecución de estos.

En caso de encontrarse debilidades o carencias relevantes en seguridad hay que intentar que el CIO

o el CISO las trasladen al proveedor. Todos ellos suelen tener unos planes evolutivos (roadmaps) muy

ambiciosos. La clave es conseguir hablar con un especialista que entienda técnicamente la

necesidad, en vez de con un comercial.

Mientras tanto, quizá sea asumible limitar el uso de las funcionalidades afectadas durante el tiempo

que se desarrolle la mejora acordada.

Y si no se consigue gestionar de esta manera y tampoco es posible limitar el uso de la funcionalidad,

no nos quedará otra opción que implantar controles compensatorios.

Y si no se consigue gestionar de esta manera y tampoco es posible limitar el uso de la funcionalidad,

no nos quedará otra opción que implantar controles compensatorios.


9 www.pkf-attest.es

4. Clausulado de los contratos

Hoy en día la cantidad de proveedores que ofrecen servicios en la nube es muy limitada. Suelen ser

proveedores muy grandes y las empresas que trabajan con ellos no son un cliente significativo.

Si bien es cierto que han evolucionado mucho y ofrecen portales de transparencia, certificados,

numerosa información de control, etc. la preocupación que tienen por cumplir o responder a las

necesidades específicas de sus clientes es muy limitada.

Lo habitual es un “estos son mis términos de servicio. Lo tomas o lo dejas”. Dichos términos se recogen

en un contrato de adhesión de decenas (o centenas) de páginas en el que se garantizan aspectos

básicos, como que (supuestamente) no existen transferencias internacionales de datos de carácter

personal o servidores fuera de Europa, pero en el que no hay margen a realizar cambios.

Y aún en el caso en que sea posible incorporar una serie de medidas específicas, es muy difícil reflejar

determinados requisitos de seguridad, confidencialidad, integridad o disponibilidad cuando se

desconoce la infraestructura y la organización del proveedor.

Además, es necesario leer la letra pequeña (que hay mucha). En ella suelen indicar aspectos tan

diversos como, por ejemplo, que si se elige que los servidores de respaldo solo estén en Europa

existen servicios para los que no pueden ofrecer el 99,9 % de garantía de continuidad. O garantizan

que un registro de un empleado o un cliente está cifrado y no se encuentra al 100 % en un mismo

disco o en un mismo servidor, pero al cliente le resulta muy difícil poder verificar que es así.

Lo ideal sería, como empresa, poder indicar a un gran proveedor de servicios en la nube que no

aceptas determinadas condiciones. Y como responsable de seguridad o control interno, poder

establecer a las áreas de negocio que no trabajen con un determinado proveedor por no cubrir

determinados requisitos.

Esto no suele suceder y lo más probable es tener que asumir situaciones que no son las ideales. Por

ello, es importante establecer todos los controles compensatorios correspondientes, incluir todos

los derechos de auditoría posibles, documentar el riesgo y no olvidarse de indicar los motivos por

los que se considera razonable aceptarlo (por si se ha de demostrar ante terceros nuestra

proactividad en el control de los proveedores en la nube).


10 www.pkf-attest.es

Poco más se puede hacer en este ámbito. La capacidad de las empresas para incluir cambios en los

clausulados es muy limitada y depende mucho de la capacidad de negociación de la persona que se

ocupe y no tanto de las necesidades de la empresa o de los requisitos normativos que le afectan

(aunque esto último sí puede ayudar en determinados casos, como se ha mencionado

anteriormente).

Si podría resultar de ayuda la involucración directa de grandes entidades como la EBA o la Unión

Europea que podrían establecer marcos y modelos de trabajo obligatorios para todos los prestadores

de servicio en los que se establecieran las condiciones de seguridad mínimas a cumplir, apoyando de

esta forma a que las diferentes organizaciones y entidades que hacen uso de las soluciones en la nube

puedan contar, al menos, con las garantías suficientes en lo que respecta a la seguridad de la

información.

5. Proceso de migración a la nube

Una de las ventajas de los servicios en la nube es la potencial reducción de costes dados los ahorros

en “mano de obra”, hardware, etc.

Sin embargo, no es oro todo lo que reluce y, si se desea adoptar un adecuado modelo de control,

verificación y seguridad, habrá que asumir una serie de costes relevantes. En ese sentido, es

conveniente hablar con el responsable de seguridad para hacerse una idea de los costes ocultos

que será necesario asumir.

Este volumen de controles y regulaciones agregan una lentitud significativa al proceso de migración,

en contra de la inmediatez que habitualmente se presupone. En muchas soluciones SAAS (Software

As A Service) el ciclo de vida es similar al que se lleva a cabo en un proceso de selección de un software

para uso interno (selección del proveedor, parametrización, adaptación funcional a los procesos de

la compañía, despliegue, etc.). En el fondo depende mucho de que producto, que modalidad y que

elementos del concepto nube se estén adoptando.

Realmente, los servicios en la nube no son más complicados que la informática tradicional, pero

presentan un perfil de riesgo diferente. Por ello, antes de abordar una migración de este tipo, es

importante que las organizaciones hagan una reflexión estratégica sobre el riesgo inherente a la

externalización, involucrando no solo a negocio -que es la que requiere el servicio- sino a Sistemas,

Seguridad, Control Interno, Servicios Jurídicos y Auditoría interna.



El objetivo es tener una visión integral de los riesgos e identificar los requisitos que se deben

solicitar. Después hay que realizar una reflexión sobre las posibilidades y carencias de los diversos

proveedores y a partir de ahí adoptar un plan de migración que englobe la cobertura de las posibles

carencias identificadas.

6. Proceso de gestión

La gestión de un proveedor en la nube no debería diferir significativamente de la que se aborda con

un proveedor tradicional que presta servicios externos. Ha de ser posible utilizar unos procedimientos

de gestión y control similares.

Sin embargo, no hay que perder de vista las particularidades y riesgos específicos e inherentes en

privacidad, seguridad y fiabilidad de la información que se sube a la nube los cuales además tienen

unas connotaciones legales importantes.

A la hora de gestionar el servicio hay que tener en cuenta factores como la dispersión geográfica, el

cumplimiento normativo, la seguridad y privacidad de la información, las subcontrataciones que

pueda realizar el proveedor, etc.



7. Medidas de seguridad y control de la información

Desde el punto de vista de la seguridad, por mucho que se externalice en alguien de confianza, nunca

se puede estar tranquilo. Es imprescindible supervisar el servicio de forma continua.

En muchos casos, estos costes de supervisión se asumen desde el departamento de Seguridad en vez

de repercutirse a los proyectos, lo que transmite la sensación a negocio de que trabajar en la nube es

mucho más económico, cuando no siempre es así o al menos no tanto. La visualización de los riesgos

o los costes ocultos de la nube por parte de la Dirección es uno de los retos en este ámbito.

De hecho, estimar estos costes no es sencillo porque no se suele tener la foto completa y resulta difícil

a priori estimar en cuanto habrá que ampliar las capacidades de -por ejemplo- el SIEM (sistema de

gestión de eventos e información de seguridad) o las capacidades del posible SOC (centro de

operaciones de seguridad). Desde Seguridad es muy difícil dar una cifra concreta para que se agregue

al coste del proyecto. Esto provoca que, posteriormente, sea más difícil para el área de Seguridad

disponer del presupuesto necesario.

El uso de la nube normalmente lo impulsa Negocio, que lo considera un vehículo más rápido, fácil y

económico para alcanzar sus objetivos. El problema habitual es que no suele existir una buena

comunicación con Tecnología y no se ve el esfuerzo y las condicionantes que supone dar

mantenimiento a ese sistema.

Es importante que Negocio sea consciente de las “necesidades” de áreas como Seguridad y que esta

a su vez entienda las de Negocio. En muchas ocasiones lo que se acaba haciendo es tapar huecos o

buscar soluciones, pero la organización no se preocupa por incorporar en el proceso de selección a

las áreas de Tecnología, Seguridad o Control para que el servicio sea barato, eficiente, responda a las

necesidades y -además- su mantenimiento, continuidad o cualquier otro ámbito de seguridad

también esté recogido en todo momento.

Por ello, es crucial que en los servicios en la nube -que luego es tan complicado revisar a posteriori o

sustituir por otros- se incluya a estas áreas desde el inicio. Una posibilidad es regularlo vía normativa

interna, como una obligación más que se tenga que cumplir, de modo que la mayoría de los proyectos

hagan su análisis de riesgos por defecto.



Otro aspecto relevante es asegurarse de que los datos no se van a conservar en caso de

discontinuarse el servicio o que si un empleado sube información de forma no controlada esta podría

quedar perenne en su cuenta si un día abandona la empresa. Esto es algo que se ha de especificar en

los requisitos, porque no siempre se establece por defecto.

En el ámbito del cifrado, los grandes proveedores de servicios en la nube ofrecen diferentes

posibilidades y permiten incorporar en su sistema opciones de cifrado y de gestión de claves

corporativas. Además, la empresa puede cifrar por su cuenta la información para mayor seguridad

antes de subirla a la nube.

Incluso se puede establecer una “segregación de servicios” en la que un proveedor, por ejemplo,

aporte el almacenamiento en la nube y otro distinto se ocupe del control de acceso a dicho

almacenamiento.

No obstante, estas medidas no eliminan por completo el riesgo.

Por ejemplo, un empleado puede subir información confidencial -posiblemente sin cifrar- a su cuenta

de Dropbox o Gmail, y de ahí la compañía no la va a poder sacar.

Se necesita formación para indicarle al usuario lo que no debe hacer y herramientas preventivas y

reactivas que eviten que lo haga. Entre ellas se encuentran los servicios IRM (Information Rights

Management) que permiten a los responsables de negocio establecer permisos de acceso para limitar

la impresión, el reenvío o la copia de la información confidencial por parte de usuarios no autorizados.

8. Certificados proporcionados por los proveedores

Una de las grandes dificultades a la que se enfrentan los proveedores de servicios es la saturación de

auditorías por parte de sus clientes, que les generan una gran cantidad de costes internos que -en

buena lógica- desean trasladar a los contratos.

Una opción para evitar esto es apoyarse en los certificados que posea el proveedor. Que haya

implantado ISO27001 o disponer de un informe ISAE 3402 pueden suplir hasta cierto punto la

necesidad de acceder directamente a su plataforma.

No obstante, hay una serie de aspectos a considerar cuando se trabaja con certificados:





✓ Su alcance puede no estar alineado con las necesidades de la empresa y no cubrir todos los

aspectos que se desea evaluar.

✓ Puede quedarse en un ámbito muy general, sin entrar a profundizar. Por ejemplo, el

certificado ISAE 3402 puede ser Tipo 1 o Tipo 2. En el primer caso solo se evalúa el diseño

(lo que puede ser insuficiente), mientras que en el segundo también se evalúa la

efectividad.

✓ En ocasiones únicamente se puede acceder al certificado, pero no al informe y -por tanto-

se desconoce que pruebas se han hecho, su alcance, conclusiones obtenidas y posibles

recomendaciones emitidas.

✓ Nada garantiza que el certificado contente al auditor que lo solicita y sea necesario

explicarle al proveedor que -a pesar de los costes que está asumiendo para mantenerlo- ha

de proporcionar evidencias adicionales.

De entre los diversos certificados existentes, resultan muy interesantes los informes SOC 2 Tipo 2

(parecido al ISAE 3402 aunque en este caso es un ISAE 3000. Emite opinión sobre el diseño y

efectividad de los controles relativos a la Seguridad, Disponibilidad, Integridad, Confidencialidad y

Privacidad) y el esquema de certificación CSA STAR (a partir de Nivel 2).

También empiezan a surgir agencias y servicios de rating de empresas en la nube que emiten una

opinión sobre cómo está una determinada empresa en términos de seguridad.

Aunque la supervisión se apoye en certificados, siempre es recomendable revisar directamente,

incluso por medio de auditorías específicas, hasta donde sea posible. Ya sea para demostrar buena

praxis, cumplir con la regulación o, simplemente, poder cubrirse las espaldas demostrando diligencia

en las actuaciones.

9. Monitorización, control y auditoría

Como se ha mencionado anteriormente, la nube presenta una serie dificultades para monitorizar,

controlar o auditar sus servicios.

Aunque en muchos casos es posible incorporar el “Right to Audit” -que suele suponer un coste - es

muy complicado, o imposible, acceder a las instalaciones del proveedor (o estas se encuentran

desperdigadas por distintos países), evaluar en detalle su infraestructura, los programas de auditoría

no se adecúan a las particularidades de la nube, etc.

Además, en muchos casos, se corre el riesgo de ser percibidos como un freno a la innovación o a la

adopción de nuevas aplicaciones.



¿Y si se encuentran debilidades relevantes? puede que el servicio esté tan integrado en la empresa

que resulte muy difícil limitar su uso o no se tenga suficiente peso como cliente para forzar al

proveedor a llevar a cabo determinados cambios. Esta situación se complica si además se está

incumpliendo una determinada normativa.

A pesar de todas estas limitaciones, los riesgos que implica la nube hacen imprescindible una

monitorización continua y auditorías periódicas en las que se compruebe si la compañía ha adoptado

mecanismos de control suficientes y eficaces para gestionar los diferentes servicios externalizados en

la nube y a los proveedores que los proporcionan.

Entre los aspectos que se suelen evaluar se incluye el grado de concienciación de la Dirección, la

cultura organizativa en el uso responsable de estos servicios, el grado de dependencia del proveedor,

el tipo de información alojada y su criticidad, el clausulado del contrato, el nivel de servicio acordado,

la ubicación de la información, el cumplimiento normativo, las certificaciones que posee y, por

supuesto, los controles establecidos para velar por la integridad, disponibilidad y seguridad de la

información, así como los procedimientos de comunicación en caso de incidente en los sistemas del

proveedor.

En caso de encontrar debilidades, como mínimo, se deberán recomendar mejoras en los controles

que han fallado y proponer controles adicionales dentro del perímetro del servicio. Los planes de

acción resultantes se supervisarán para garantizar el cumplimiento de sus principales hitos.

10. Shadow IT

La nube proporciona un “time to market” mucho más rápido que el que requiere arrancar una solución

interna.

Con tres “clicks” y una tarjeta de crédito es posible acceder a almacenamiento prácticamente ilimitado,

herramientas para gestionar la contabilidad, llevar la planificación de los proyectos o la cartera de

clientes, etc.

Además, los usuarios quieren acceder desde diferentes dispositivos y tener un alto nivel de

disponibilidad, aspectos que no son sencillos de ofrecer desde los departamentos de TI. Es frecuente

que determinadas soluciones informáticas en la nube sean más versátiles y potentes que las ofrecidas

por la propia empresa.



Esta situación facilita la adquisición de software y plataformas que se encuentran fuera del control del

departamento de TI (se denomina “Shadow IT”) e implica numerosos riesgos de seguridad, tanto si

son soluciones cuya existencia conoce el departamento de TI, pero su adquisición y gestión está fuera

de su control, como de soluciones adquiridas a espaldas de TI y que no se controlan, documentan o

monitorizan (por ejemplo, un empleado que usa su cuenta de Dropbox personal para guardar

información confidencial de la compañía).

Existen posibles medidas paliativas como: agilizar el proceso de desarrollo de TI (aunque esto

puede incrementar las medidas de control, auditoría y seguridad e incluso requerir una validación

continua del regulador en determinados sectores si se generan nuevas versiones de aplicación

continuamente), formar y concienciar en el cumplimiento de las normativas que establezcan que se

puede hacer y que no, establecer procedimientos que regulen la adquisición de servicios en la

nube, bloquear el envío o almacenamiento de información por fuera de los sistemas

corporativos, definir medidas de seguridad y control específicas -por ejemplo que las compras de

tecnología fuera del departamento de TI necesiten la aprobación del CIO- que permitan prevenir o

detectar la existencia de Shadow IT desconocido por TI y la incorporación paulatina del Shadow IT

conocido a las medidas de seguridad corporativas, etc. En general, un fortalecimiento del nivel de

gobernanza de los sistemas de información.

No obstante, el Shadow IT por desgracia es una realidad y como tal va a aparecer y no existe una fácil

solución. Aun detectándolo, su gestión no es tan sencilla como “sacar la escopeta” y cortar servicios,

dado que se puede afectar a un proceso crítico de negocio. Suele ser necesario en estos casos un

proceso de negociación y entendimiento a partir del cual decidir si el servicio se autoriza o se sanciona,

así como posibles sinergias con los sistemas corporativos.

“A dios rogando y con el mazo dando”: hay que acompañar al negocio y traer al empleado hacia los

sistemas “oficiales” ofreciéndole una solución alternativa. Transmitir que ese servicio que ha

contratado no es corporativo y en algún momento su uso ve va a limitar y posteriormente prohibir, pero

que tiene alternativas que además disponen de soporte técnico desde la organización.

Si aun así no se convence, siempre queda establecer un proceso de gestión de excepciones y

asunción de riesgos del cual se tenga que responsabilizar el área que ha contratado el Shadow IT. Si

sucede algo en ese entorno no controlado se acabará, como es habitual, llamando al departamento

de TI para que lo solucione, pero al menos quedará constancia de quien provocó el problema.

Proudly part of the PKF global family

Para más información: [email protected]

Retos en seguridad, control y auditoría de los …...Retos en seguridad, control y auditoría de...

Documents

Transcript of Retos en seguridad, control y auditoría de los …...Retos en seguridad, control y auditoría de...