Documentos de Académico
Documentos de Profesional
Documentos de Cultura
La evolución de las soluciones propietarias o in-house a los entornos cloud exige una
actualización en la manera de trabajar en ciberseguridad, similar a la que se tuvo que hacer
al pasar del modelo local o centralizado al modelo cliente-servidor. En esta evolución,
la colaboración entre el cliente y el proveedor es esencial para el cumplimiento de las
políticas y procedimientos definidos por el cliente, así como para el cumplimiento de las
normativas, legislaciones y regulaciones que puedan afectarle en función de las naciones en
las que opere o de su sector de actividad. Todo esto está muy relacionado con la gobernanza
y la definición y monitorización de la SLA (Service Level Agreement) con el que el cliente
y el proveedor acuerdan, mediante relación contractual, los términos de prestación del
servicio a diferentes niveles.
Por poner sólo algunos ejemplos relacionados con la seguridad, el cliente y el proveedor
deben: a) definir claramente las fronteras para los datos (hay que tener en cuenta que los
proveedores tecnológicos suelen tener sus centros de datos repartidos prácticamente por toda
la geografía del planeta y que existen normativas y regulaciones muy rigurosas con la
ubicación de los datos); b) dejar claros desde el principio todos los aspectos relacionados con
la propiedad intelectual; c) definir conjuntamente los procedimientos para responder ante
incidentes; d) acordar los procedimientos para obtener evidencias digitales; y e) realizar
auditorías o deben hacer visibles sus relaciones con terceros (auditores, intermediarios, otros
proveedores) y cómo pueden afectar éstas a la ciberseguridad.
La importancia que los aspectos relacionados con la ciberseguridad están cobrando en las
SLAs actuales está haciendo que la comunidad valore si es necesario definir un Privacy Level
Agreement o un Security Level Agreement específico. Pero todavía no hay una conclusión
clara respecto a este tema.
Responsabilidades compartidas: