¿La nube primero - el cumplimiento después?
Las diversas y prometedoras ofertas de los hiperescaladores, la disponibilidad de cada vez más aplicaciones y servicios "solo en la nube", así como la pandemia como motor de la digitalización: todos estos factores llevan a que a veces se tomen decisiones a corto plazo para las ofertas en la nube y, lamentablemente, los procesos GRC (gobernanza, riesgo y cumplimiento) ya establecidos a menudo se suavizan en favor de una rápida implantación sin ser realmente conscientes de las consecuencias posteriores.
Pero, ¿qué incluye un buen proceso de GRC cuando partes significativas de su TI se externalizan a la nube? Trate los cambios importantes de su entorno informático a la nube del mismo modo que trataría una externalización de personal y procesos empresariales a un proveedor de servicios y hágase las siguientes preguntas:
¿Qué obstáculos legales y reglamentarios hay que superar? Ejemplos como la DSGVO, la nueva ley de diligencia debida en la cadena de suministro o la normativa específica del sector como MaRisk, Bait y Dora en el ámbito de las finanzas deben tenerse en cuenta a la hora de tomar una decisión, por adelantado.
¿Qué procesos quiere trasladar realmente a la nube? Incluso si en el futuro persigue una estrategia que dé prioridad a la nube, puede que no sea aconsejable transferir procesos críticos o sensibles de sistemas alojados localmente a manos de terceros. A menudo se subestima la cuestión de la migración de datos y el almacenamiento de datos en la nube de conformidad con la legislación. La clasificación de los datos puede ayudar en este sentido, pero los riesgos restantes deben gestionarse con medidas técnicas y organizativas (TOM), como el cifrado propietario.
¿A qué riesgos me enfrento? Haga una evaluación conservadora de los posibles costes, pero también de la dependencia real del proveedor de servicios correspondiente. ¿Se ajustan los tiempos de servicio y la disponibilidad a sus necesidades y a los contratos con sus clientes? A menudo, el uso híbrido o un modelo multicloud resulta ser una alternativa más sensata y segura.
¿Están mis empleados preparados para la nube? La formación y la educación son necesarias para garantizar que la transición se realiza sin problemas. También hay que consultar previamente a los órganos internos, como el consejo de personal, el responsable de seguridad informática y el responsable de protección de datos.
¿Quién asume la responsabilidad? Básicamente, la externalización no le exime de sus obligaciones en materia de protección de datos, seguridad de los datos y gestión de riesgos. A menudo se utiliza aquí el término responsabilidad compartida: el proveedor de la nube es responsable de la seguridad de la nube, pero el usuario de la nube es responsable de la seguridad de sus procesos y datos en la nube. Asegúrese de que su comprensión de las responsabilidades coincide con la del proveedor de la nube y de que está contractualmente asegurada en consecuencia.
¿Qué hago cuando las cosas van mal? Los errores ocurren, eso también se aplica a la digitalización. Si se interrumpen los servicios en la nube, fallan los centros de datos, aumentan los costes o el "nuevo mundo" no cumple sus expectativas, hay que contar con una estrategia de salida: ¿Puede volver a incorporar sus procesos y datos localmente en cualquier momento o cambiar a otro proveedor de servicios? Juegue con estos escenarios y documente los pasos correspondientes, de forma similar a su gestión de continuidad de negocio (BCM).
El paso a la nube es un paso hacia el futuro digital. Para garantizar que este paso se da sobre una base sólida, la externalización a la nube debe ir acompañada de un proceso de GRC establecido y de una estrategia de nube desde el principio. El proceso de GRC debe adaptarse al alcance de la externalización deseada para que actúe como facilitador de la transformación digital y no como impedimento.
