Hola amigos, soy Florián Murillo. La semana pasada revisamos los proveedores de servicio cloud con infraestructura vCloud en Europa.
Una de las preocupaciones que nos invaden al hablar de servicios cloud es la seguridad de nuestros servicios y confidencialidad de la información.
Tengo una buena noticia y una mala noticia. La buena es que las limitaciones de presupuesto hacen que, en muchos casos, no podamos tener el nivel de seguridad que necesita nuestro negocio, por tanto, es mas viable auditar que ser auditado, los proveedores cloud pueden ser una alternativa valida.
La mala noticia, por llamarla de alguna manera, es que no todos los proveedores son iguales, hemos de analizar en profundidad los procesos y certificaciones de nuestro proveedor de servicios cloud.
Volviendo a la lista de proveedores EMEA, me pregunto: ¿disponen todos de las mismas certificaciones? Os avanzo la respuesta: NO
Veamos una tabla resumen:
Vamos a definir brevemente cada certificación:
SAS 70 Type I : El Statement on Auditing Standards nº 70 son normas de auditoría de procesos externalizados de la AICPA (American Institute of Certified Public Accountants).
SAS 70 Type II : El Type II es mas riguroso (genera mas confianza) que el Type I, la diferencia está en que en el Type II el auditor realiza (durante 6 meses) variados tests de la eficiencia de las operaciones, se controla y se mide la eficiencia.
HIPPA : La Health Insurance Portability and Accountability Act es una ley estadounidense para garantizar la privacidad, confidencialidad y seguridad de la información manipulada en el sector sanitario.
PCI DSS : La Payment Card Industry Data Security Standard fue creada por un consorcio formado por los fabricantes de tarjetas de crédito ayuda a las empresas que procesan, almacenan o transmiten datos de tarjetas de crédito a asegurar dichos datos.
ISO27001 : Es el estándar internacional para procesos que garanticen la seguridad de la información. Incluye aspectos de prevención, protección activa y trazabilidad del movimiento de la información. Recoge el cumplimiento de la LOPD, me atrevería a decir que es imprescindible si llevamos a la nube datos de carácter personal.
SSAE 16 : El Statement on Standards for Attestation Engagements 16 es la adaptación realizada por el IACPC del estándar ISAE 3402, la misión del SSAE 16 es sustituir a la norma SAS 70 adecuándola al estándar internacional.
ISAE 3000 : La International Standard on Assurance Engagement 3000 permite auditar los informes de Responsabilidad Social Corporativa (RSC) de las empresas, aportando credibilidad a la estrategia de RSC en la empresa, algo cada vez mas importante para accionistas y clientes.
Tras esta tormenta de normas y siglas, la conclusión es que las normas que garantizan la externalización de servicios, la privacidad y seguridad de la información, la eficiencia energética (Green IT) e incluso las que hacen creíbles las estrategias de RSC existen y evolucionan para adaptarse a este mercado cambiante.
También hemos observado que los proveedores europeos de vCloud están avanzando en el cumplimiento de estas normas.
Y por la cara que imagino estáis poniendo, estas normas son poco conocidas, y su difusión ayudaría a dar confianza en servicios cloud.
¿Creéis que las normas ayudan a proporcionar credibilidad y confianza en los servicios cloud?
¿Crees que este post puede interesar a alguien? En ese caso clica en los botones de compartir de arriba o abajo. Gracias por el apoyo.
You may also like
