El cumplimiento de la nube es el arte y la ciencia de cumplir con los estándares regulatorios del uso de la nube, de acuerdo con las guías de la industria y las leyes locales, nacionales e internacionales. Algunos requerimientos regulatorios comunes incluyen la Health Insurance Portability and Accountability Act (HIPAA), Payment Card Industry Data Security Standard (PCI DSS) y Gramm-Leach-Bliley Act (GLBA).
Una vez que una empresa está en la nube, debe estar al tanto sobre cómo el proveedor de la nube les ayudará a mantener el cumplimiento con las leyes, como el GDPR (General Data Protection Regulation) en Europa o HIPAA en los Estados Unidos. Por supuesto, esta discusión no debería comenzar después de que se ha establecido el servicio en la nube, pero desde las primeras charlas.
Los negocios a veces se encuentran en la nube mucho antes de lo que planeaban, lo cual complica las cosas. Uno de las características principales de la nube es que debe de existir una interfaz de autoservicio, de forma que sea fácil para el cliente establecer, cambiar y salir de los servicios de la nube.
Lo que no es claro, sin embargo, es quién de parte del cliente debe hacer esto. Resulta que puede ser cualquiera actualmente. Todo lo que se necesita es una tarjeta de crédito corporativa y un departamento puede comenzar a poner sus datos en la nube. El término para esto no es nuevo: es “shadow IT”. Este término está ganando cada vez más uso estos días debido a las características de la nube.
Governance en la nube
Governance se refiere a la supervisión que se le ofrece a un negocio por parte de los ejecutivos senior y la mesa directiva. Governance en la nube es una extensión de esa supervisión hacia la nube. El governance es crítico; sin él, hay muchas preguntas sin responder acerca de las metas y los objetivos de negocio que hacen que administrar la nube y su seguridad sea muy difícil.
Antes de que una empresa se meta incluso a la nube, debe de considerar cuáles son esas metas y objetivos. Las metas y objetivos deben guiarse por las leyes, regulaciones y contratos aplicables. Más allá de los aspectos legales, el governance de la nube dirige a los empleados hacia el camino correcto para ayudar a la empresa a lograr sus metas y objetivos.
Los errores pueden complicar las cosas en la nube, evitando que se lleve a cabo el trabajo. Los errores pueden llevar a una empresa a la corte. La mesa directiva y el liderazgo ejecutivo de la empresa deben de cuidar la nube.
Leyes y regulaciones
El primer tema en cualquier discusión de cumplimiento es la ley. Los negocios y sus abogados deben revisar cuáles son las leyes que deben seguirse. También deben tener claras las consecuencias de no cumplir con ellas. Una vez que se han identificado las leyes, es importante preguntar cuáles son los controles de seguridad que se deben implementar para cumplir con las leyes y regulaciones aplicables.
Regulaciones como GDPR de la Unión Europea requieren un alto nivel de seguridad respecto a la información personal. GDPR de la Unión Europea también tiene restricciones muy específicas sobre dónde se pueden procesar y almacenar los datos cubiertos por la regulación. Este es un problema potencial con la nube debido a la forma en que funciona; sin embargo, se pueden colocar controles con la mayoría de los proveedores de la nube para satisfacer los requerimientos de la regulación GDPR.
Los contratos definen un acuerdo formal entre dos o más partes. Cuando una empresa firma un contrato, se obliga a cumplir con sus términos. De no hacerlo, se podría incurrir en penalizaciones financieras severas.
Una organización que procesa o almacena información de tarjetas de crédito probablemente tiene un acuerdo con las compañías de tarjetas de crédito que requieren que se implementen elementos específicos del Payment Card Industry-Data Security Standard (PCI DSS).
Para procesar las tarjetas de crédito, una empresa firma un acuerdo en el que se promete cumplir con los 12 requerimientos de seguridad del estándar. El nivel al que se deben implementar los requerimientos depende del número de transacciones que se procesan al año.
Un negocio también debe revisar si cualquiera de sus contratos con sus clientes cambia lo que la empresa puede o no hacer con la nube. ¿Existe algún impacto en el cumplimiento si se utiliza una nube en cualquiera de sus formas—pública, privada, community, etc.?
Muchas empresas usan estándares, como ISO 27001 o NIST SP 800-53, como una base para implementar controles de seguridad. Si un negocio decide usar ISO 27001 como su estándar, la empresa debe capacitar a sus empleados para que los controles adecuados sean implementados. Estos sí se extienden hacia la nube. De hecho, ISO ha aislado los controles que son específicos para la nube y los ha abordado en ISO 27017.
Una forma de evaluar el nivel de cumplimiento con las leyes, regulaciones y contratos es con una auditoría. Las auditorías pueden ser internas o externas. Una auditoría interna, completada por los propios auditores el negocio, ofrece una autoevaluación para determinar su nivel de cumplimiento. Los resultados de una auditoría interna pueden verse como desviados ya que pueden existir sesgos en las conclusiones de los auditores.
Para obtener una opinión más objetiva, un negocio puede elegir ser auditado por una empresa auditora externa. Las auditorías que discutimos aquí con respecto a la nube son aquellas que realiza el proveedor de la nube.
La mayoría de los proveedores de la nube no aceptarían que sus clientes realizaran sus propias auditorías dentro de sus data centers, por lo que tenemos que basarnos en las auditorías de terceros.
Reportes de auditoría
El resultado de una auditoría se encuentra dentro del reporte de la auditoría. Los reportes están estandarizados por el American Institute of Certified Public Accountants (AICPA). Todas las empresas deberían pedir el reporte de auditoría SOC 2®. Un reporte SOC 2® es para las empresas de servicios, como los proveedores de la nube. Este demuestra su cumplimiento con los controles que se definen en ISO 27001 o NIST Cybersecurity Framework (CSF), por ejemplo. Los controles son evaluados respecto a los cinco criterios de la confianza en los servicios de AICPA, los cuales son:
Estos reportes pueden ser ya sea un tipo 1 o un tipo 2. Un reporte tipo 1 muestra el estatus de los controles en un momento dado en el tiempo, y que los controles están designados e instalados a algún nivel de compatibilidad. Un reporte tipo 2 muestra la efectividad operacional a lo largo de un periodo designado de tiempo, digamos, por ejemplo, seis meses.
Un cliente de la nube debería pedir estos reportes, pero es posible que el proveedor no se vea inclinado a mostraros porque estos pueden contener información sensible acerca de su negocio. Otra opción es un SOC 3®, cuya intención es ser un reporte de uso general. Contiene muy poca información respecto al negocio del proveedor de la nube. Efectivamente le otorga o no el sello de aprobación del auditor para el proveedor de la nube.
Artículos Relacionados
Investigaciones Relacionadas