Red de información TI para profesionales ITMedia NetWork

martes, 26 de octubre de 2021
Actualizado a las 8:51


Búsqueda avanzada

Publicidad

Publicidad

Informes

Barcelona Digital participa en el primer informe internacional sobre cumplimiento normativo en un entorno cloud computing

05 Julio 2011

El Capítulo Español de la Cloud Security Alliance (CSA-ES), impulsado por ISMS Forum Spain y Barcelona Digital Centro Tecnológico, ha elaborado el primer informe de ámbito internacional sobre el cumplimiento normativo de la computación en la nube.

El informe, denominado “Cloud Compliance Report”, aborda de manera amplia los aspectos fundamentales a tener en cuenta en la contratación de servicios en la nube como, por ejemplo, los relacionados con la gestión de la privacidad de los datos, las normativas y regulaciones exigibles y/o de carácter voluntario en España, las metodologías más elementales para la auditoría de servicios en la nube o las recomendaciones operacionales básicas relacionadas con la gestión de evidencias electrónicas en este tipo de entornos.

El documento, en el que han participado medio centenar de profesionales, propone entre sus conclusiones aumentar la transparencia en la relación entre cliente y proveedor de servicios de computación en la nube, como elemento básico de confianza entre las partes.

Estas recomendaciones podrían a ser de aplicación también a los modelos más tradicionales de externalización de servicios (como el housing o el hosting), lo cual es lógico, puesto que la computación en la nube podría considerarse como un salto cualitativo en los modelos de provisión de servicios TIC.

La evolución hacia la nube será gradual y, claramente, los requerimientos de complimiento normativo y la confianza que provean los proveedores serán los principales factores que irán marcando la velocidad de esta evolución”; así lo asegura María Luisa Rodríguez, Business Developer Manager del Grupo de I+D Seguridad de Barcelona Digital y líder de  “Contratación, Evidencias Electrónicas y Auditoría en la Nube”, uno de los tres grupos en los que se ha organizado el Capítulo Español de la Cloud Security Alliance para la elaboración del informe.

Principales recomendaciones del informe

Tanto los clientes como los proveedores han de ser conscientes de las normativas y regulaciones a las que están sujetos y han de garantizar el cumplimiento de las mismas.

Los clientes deben informar a los proveedores sobre los tratamientos de datos de carácter personal que están realizando y los requisitos que sobre ellos existen y que éstos, a su vez, identifiquen e informen de las localizaciones en las que realizarán dichos tratamientos o de los proveedores a los que ellos subcontraten parte de sus servicios, así como que se establezcan mecanismos de coordinación entre ambas partes para asegurar que se puede dar cumplimiento a los derechos de los afectados de manera responsable.

En cuanto a la implantación de Sistemas de Gestión de la Seguridad de la Información, el informe ofrece recomendaciones en el sentido de ampliar los canales de comunicación en materia, por ejemplo, de valoración de riesgos, de incidencias, de variación de los niveles de riesgo, así como de coordinación (como, por ejemplo, en materia de definición de roles y responsabilidades, respuesta a incidentes o realización de tareas de seguimiento y auditoría).

En relación a los factores de contratación de servicios en la nube, las recomendaciones también tienen la misma orientación, haciendo referencias a los Acuerdos de Nivel de Servicio como herramientas fundamentales para definir y monitorizar el servicio, pero también con aspectos como determinar la propiedad intelectual de los distintos elementos de la provisión del servicio, establecer mecanismos de resolución de conflictos o clarificar desde el inicio la jurisdicción aplicable.

En cuanto a los aspectos relacionados con la validación del cumplimiento (evidencias y auditoría), las recomendaciones se centran en los aspectos de coordinación (quién debe encargarse de qué tarea en aspectos como elaboración de métricas, realización de revisiones, etc.), así como en el establecimiento de un entorno confiable mediante la implantación de mecanismos como procedimientos de gestión de evidencias, medidas de protección de los registros de auditoría, planificación de auditorías, etc.

ShareThis

Publicidad

Publicidad

Publicidad

Opinión

Francisco José Fernández Romero, socio-director de Cremades Calvo Sotelo Sevilla

Riesgos a los que se exponen las empresas TIC sin una política de cumplimiento

El compliance tecnológico es una herramienta jurídica clave para evitar no solo sanciones, sino pérdidas financieras y de reputación y daños económicos a terceros, defiende en esta tribuna Francisco José Fernández Romero, socio-director de Cremades & Calvo Sotelo Sevilla

techWEEK info

TechWEEK forma parte de la red de información TI para profesionales de IDG Communications.


Sitios especializados de ITMedia NetWork: IT CIO.es, IT PYMES.es, IT SEGURIDAD.es, Strategic Partner, NUEVAempresa.com.

ITMedia NetWork. © 2006 - 2021 Information Technology & Media S.A. (CIF A-84950211). Todos los derechos reservados.

Envío de artículos por email de techWEEK.es

Por favor, introduzca la siguiente información











Cerrar

Envío de artículos por email de techWEEK.es

Procesando envíos...

Envío de artículos por email de techWEEK.es

Email enviado. Cerrar

Envío de artículos por email de techWEEK.es

Error en el envio. Pulse aqui para cerrar.Cerrar