Ayer miércoles realizamos un curso sobre aspectos legales del cloud computing donde tratamos diversos tópicos relativos a la instalación de servicios de cloud, analizamos las exigencias del regulador en especial las que indica la norma RAN 20-7 sobre externalización de servicios, tema que tratamos en este blog al inicio de este año cuándo la norma entró en vigencia, (Ver AQUI)
Cuáles son los temas de interés en esta materia, en particular la norma RAN 20- 7 contempla que si el procesamiento de información es realizado en el extranjero, requieren mantener un site de contingencia en el país para las actividades que hayan sido consideradas significativas o estratégicas. La modificación normativa permite la posibilidad de que el Directorio autorice esta última condición, siempre y cuando se asegure que la institución ha adoptado las medidas necesarias para que los servicios externalizados cumplan con las siguientes exigencias:
Que los sites se encuentren en ubicaciones distintas que mitiguen tanto el riesgo geográfico como los riesgos políticos. Que en términos de seguridad de la información los servicios externalizados se provean en un ambiente consistente con las políticas y estándares adoptados por la entidad. Se cuente con un informe anual que respalde el análisis de riesgo efectuado, el cual debe ser emitido por una empresa independiente, de reconocido prestigio y experiencia en la evaluación de este tipo de servicios.
La gestión de servicios en la nube provoca que el Usuario pierda el control sobre la gestión de la seguridad siendo necesario la implantación por el Proveedor y por el Usuario de las medidas dirigidas a proteger la integridad y confidencialidad de los datos y de la información.
Soluciones jurídicas: solicitar garantía de la implantación de las medidas de seguridad por el Proveedor a nivel contractual. Además, la redacción del documento de seguridad en función de los compromisos adquiridos en el contrato por cada parte. Es recomendable que acredite certificaciones de cumplimiento de normativa (ISO). Tener presenta la ISO 27.001 y también la 27.701
Por lo tanto, entre los temas que hay que considerar están: El ámbito de aplicación de procesamiento de datos. También debemos preguntarnos ¿Qué tipo de datos pueden ser procesados? ¿Para qué propósitos? ¿Todo se debe externalizar?
Si hay subcontrato, bajo qué condiciones el proveedor puede subcontratar partes del servicio de cloud computing, cómo se enfrenta una situación de borrado de la información o lo problemas derivados de los respaldos
El tema del cloud es un ámbito que está en desarrollo, por ello el contar con SLA adecuados, medibles, con cláusulas penales claramente definir es vital como también poder entender cómo funciona el negocio para plasmarlo de la mejor manera en los acuerdos contractuales por externalización de servicios de cloud.
Gracias a todos los alumnos que asistieron al curso y a todas las instituciones que apostaron a nuestra actividad para formar a sus equipos.
