Análisis del comentario sobre la nube de la FFIEC
Siguiendo nuestra línea, vamos a comentar la declaración pública realizada por la FFIEC (Federal Financial Institutions Examination Council) sobre la computación en la nube del pasado 10 de julio (pdf). En primer lugar, destacar algunas reflexiones con las que estamos plenamente de acuerdo:
- La FFIEC considera la computación en la nube como un caso particular de outsourcing.
- El hecho de que su utilicen terceros, no disminuye la responsabilidad de la Dirección en cuanto a que la actividad de ese tercero se realice de manera segura y cumpliendo con las leyes en vigor.
- Es necesario mirar más allá de los potenciales beneficios y realizar un análisis de riesgos completo específico del servicio (ver entrada previa sobre el ROI de la nube).
Y, a partir de aquí, lo que hemos realizado ha sido extractar las recomendaciones de la FFIEC y analizar cómo se contemplan dichas recomendaciones en la calificación de seguridad. Hemos resumido todo ello en la tabla adjunta que consta de tres columnas:
- La primera incluye los capítulos en que está dividido el documento original de la FFIEC.
- La segunda recoge el texto del documento original que recoge la recomendación.
- La última refleja la forma en la que la guía de calificación de seguridad contempla la recomendación anterior.
| Enunciado FFIEC | Calificación leet security | |
| Tipo | Acción del enunciado | |
| Due Diligence | Asegurar que el proveedor cumplira los requerimientos de la Entidad en términos de coste, calidad del servicio, cumplimiento normativo y gestión del riesgo. | El sistema de calificación considera las medidas de seguridad implantadas por el proveedor, así como otros aspectos que podrían afectar la confianza y la resiliencia del proveedor, tales como, estrategia a largo plazo, fortaleza financiera, políticas de recursos humanos, procedimientos de interoperabilidad... |
| Gestión del proveedor | La finalización de relación con un provedor de servicio es otro aspecto de la gestión del proveedor que puede ser complicada en la nube. | Criteriaos en la dimensión de disponibilidad: [TPP.3] Portabilidad de Datos & Servicios [TPP.4] Garantías en caso de finalización |
| Auditoría | Los auditores ayudarán en esta evaluación, asesorando si los controles están funcionando adecuadamente. | La agencia de calificación audita todos los servicios de manera aleatoria al menos cada treas años. Los auditores podrían apoyarse en estos trabajos de auditoría. |
| Las políticas y prácticas de auditoría de la Entidad pueden necesitar ajustes para proporcionar una cobertura aceptable de auditoría TI de los servicios en la nube. | Criterios comunes a todas las dimensiones: [ISMP.6] Pruebas, seguridad, procesos y rendimiento | |
| Seguridad de la Información | Las Entidades Financieras pueden necesitar revisar sus políticas, estándares y procedimientos de seguridad de la información para incorporar las actividades relacionadas con el proveedor de servicios en la nube. | Estos enunciados dependen solo de la Entidad Financiera. |
| En situaciones de alto riesgo, puede ser necesaria una monitorización continua para que las entidades financieras tengan un nivel de garantía suficiente de que el proveedor está manteniendo efectivos los controles. | Criterios comunes a todas las dimensiones: [MO.1] Registros de auditoría [MO.2] Monitorización de uso de los sistemas [IH.1] Notificación de eventos y debilidades de seguridad [IH.2] Gestión de incidentes y mejoras de seguridad | |
| Mantener un inventario de datos exhaustivo y un proceso de clasificación de datos adecuado. | Criterios comunes a todas las dimensiones: [SO.3] Procedimientos y manejo de gestión de conocimiento / Información | |
| Un desarrollo multi-propietario en la nube, en el que múltiples clientes comparten recursos de red, incrementa la necesidad de protección mediante criptografía y garantías adicionales de que los controles adecuados están implantados. | Criterios comunes a todas las dimensiones: [TPP.1] Procesamiento compartido | |
| La verificación de los procedimientos de gestión de datos, la adecuación de los datos de respaldo y si múltiples proveedores de servicios están compartiendo instalaciones son consideraciones importantes. | Criterios en la dimensión de disponibilidad: [RE.4] Respaldo de Información [RE.6] Aspectos de seguridad de la información de PCN | |
| La monitorización efectiva de amenazas de seguridad, incidentes y eventos tanto de las redes de la EE.FF. como del proveedor; metodologías exhaustivas de respuesta a incidentes; y el mantenimiento de estrategias forenses adecuadas. | Criterios comunes a todas las dimensiones: [MO.1] Registros de auditoría [MO.2] Monitorización de uso de los sistemas [IH.1] Notificación de eventos y debilidades de seguridad [IH.2] Gestión de incidentes y mejoras de seguridad | |
| Asegurar que el proveedor de servicios en la nube puede eliminar datos privados de todas las ubicaciones en la que estuvieran almacenados. | Criterios comunes a todas las dimensiones: [TPP.1] Procesamiento compartido | |
| Consideraciones Legales, Regulatorias y Reputacionales | La nube aumenta la complejidad del cumplimiento con las leyes y regulaciones aplicables porque los datos del cliente pueden estar almacenados o procesados en el extranjero. | Criterios comunes a todas las dimensiones: [CO.1] Con requisitos legales |
| Posibilidad de la Entidad Financiera de controlar el acceso a sus datos. | Grupo de criterios comunes a todas las dimensiones: [AC] Control de acceso | |
| Requisito de notificar a los clientes y reguladores de cualquier brecha de seguridad. | Apartado 5.2.6 Actualización de información Los proveedores deben enviar información relevante que pudiera afectar al nivel de calificación de un servicio. Por ejemplo, los proveedores deben enviar información relacionada con: incidentes de seguridad, cambios en los planes de negocio… | |
| Planificación de la Continuidad de Negocio | Determinar si el proveedor y la operadora de red tienen planes y recursos adecuados para asegurar la continuidad de las operaciones de la Entidad Financiera, así como la posibilidad de recuperar y reanudar las operaciones en caso de que ocurra una interrupción no esperada. | Grupo de criterios en la dimensión de disponibilidad: [RE] Resiliencia |