Gestionando el Riesgo de la Nube para Responsables de Negocio

En el pasado número 4 del ISACA Journal, se publicaba el artículo "Managing Cloud Risk. Top Considerations for Business Leaders" de Phil Zongo. Entre otras referencias, el artículo se hace eco de un documento de la Australian Prudential and Regulatory Authority (APRA) que plantea su preocupación sobre el reporting que se realiza a los Consejos de Administración sobre los riesgos de la nube en las entidades reguladas puesto que se centra en los beneficios olvidándose de dar visibilidad a los riesgos asociados. Para la APRA es fundamental que el Consejo analice si el riesgo que se asume está alineado con la estrategia de negocio y el apetito de riesgo de la Organización.

Este contraste entre nivel y apetito de riesgo requiere contar con información como:

  • La proposición de valor de la nube
  • Los riesgos de negocio principales y las estrategias de tratamiento
  • El modelo de nube propuesto
  • El modelo de servicio
  • Los criterios de selección de proveedores de servicios
  • Los escenarios de interrupción de servicio posibles
  • Los acuerdos de nivel de servicio (ANS)
  • Las cláusulas de garantías, pruebas de intrusión, análisis de vulnerabilidades y derecho a auditar del tercero

Al margen de los cuatro primeros, que recogen aspectos descriptivos de los servicios en la nube, los últimos son elementos que pueden ser fácilmente reflejados de modo transparente en la calificación, como elemento que podría utilizarse para transmitir a los Consejos de Administración el riesgo asumido por la utilización de determinados servicios. En particular:

  • Los niveles de calificación se pueden incorporar en los procesos de selección de proveedores, de manera que, en función de la criticidad del servicio, se puedan establecer requisitos más o menos rigurosos (es decir, niveles más o menos elevados)
  • Las medidas de recuperación forman parte de los criterios para la evaluación de los niveles, así como, los importes de las garantías, la amplitud y periodicidad de pruebas de intrusción y análisis de vulnerabilidades.
  • La existencia de ANS y los mecanismos de supervisión y seguimiento también se incorporan a los criterios de calificación.
  • Y, finalmente, la auditoría forma parte de los mecanismos de supervisión del calificado, por lo que, el mero hecho de su utilización, implica que el proveedor están siendo auditado (al margen de que el derecho a auditar se incluya en el contrato entre clientes y proveedor).

Como vemos, la utilización de la calificación permite informar de manera sencilla, eficiente e independiente al Consejo de Administración de los riesgos de los servicios en la nube que se utilizan.