Publicado el informe final con las recomendaciones

Siguiendo las directrices generales de contratación externa del sector financiero (directrices CEBS), y de conformidad con el artículo 16 del Reglamento (UE) nº 1093/20102, la Autoridad Bancaria Europea (EBA) publicó el 20 de diciembre de 2017 el informe final con sus recomendaciones sobre la subcontratación de servicios en la nube. Las cuáles serán de aplicación desde el 1 de julio de 2018.

Dentro de las recomendaciones, las medidas de seguridad son una pieza clave para la gestión del riesgo. Entre ellas cabe destacar la necesidad de identificar el nivel de protección adecuado para garantizar la confidencialidad, la integridad, disponibilidad, y trazabilidad de los datos, el derecho de auditoría y la elaboración de planes de contingencia.

A continuación mostramos un cuadro resumen de las recomendaciones:
 

Otro aspecto relevante que se aborda es el riesgo asociado a la externalización en cadena. En este sentido el proveedor del servicio sólo debería subcontratar con un tercero que cumpliera todos los requisitos.

¿Cómo una organización puede ejercitar los derechos de acceso y auditoría? Evidentemente, todas y cada una de ellas pueden utilizar sus recursos propios para hacerlo, multiplicando controles similares a todos los proveedores comunes. Pero la EBA también plantea dos modelos más eficientes: auditorías compartidas o certificación por terceros independientes.

En este sentido, nuestra calificación ofrece una inmejorable aportación para ambos modelos: como certificación independiente, los mas de 1000 controles procedentes de normativas y estándares nacionales e internacionales (ISO 27001, ISO27002, ISO22310, TIA-942, PCI-DSS, PSD2, ENS, NIST SP 800-53 rev.2, FFIEC, etc), contienen las medidas clave que toda institución puede requerir, y los diferentes niveles permiten adecuar los requerimientos a las necesidades particulares en función del riesgo asociado.

Por otra parte, el modelo permite integrar y mapear requerimientos sectoriales específicos –como una normativa más- para ser utilizado como base en la realización de las auditorías en modo compartido, asegurando la perfecta adecuación de las mismas a los requisitos del grupo de entidades que acuerden su realización.

En cualquier caso, la calificación se muestra como una herramienta fundamental en la gestión eficiente de los riesgos en la cadena de suministro, ayudando a las entidades financieras (y a las que no lo son) en sus procesos para garantizar la salvaguarda de la información y continuidad del negocio.

Suscríbete a nuestra Newsletter pinchando aquí

Puedes seguirnos en twitter.com/leet_security

6 de marzo de 2018