ITGSM14. "Estándares de Confianza y Transparencia para proveedores cloud: Los grandes desconocidos. Daniel Madrid Díaz

Tamaño: px

Comenzar la demostración a partir de la página:

Download "ITGSM14. "Estándares de Confianza y Transparencia para proveedores cloud: Los grandes desconocidos. Daniel Madrid Díaz"

1 ACADEMIC ITGSM14 4 Junio 2014 IX CONGRESO ACADÉMICO INTERNACIONAL DE GOBIERNO Y GESTIÓN TIC "Estándares de Confianza y Transparencia para proveedores cloud: Los grandes desconocidos Daniel Madrid Díaz Congreso Académico ITGSM14 Diapositiva 1

2 Cláusula de Uso Copia distribuida para uso exclusivo en el IX CONGRESO ACADÉMICO INTERNACIONAL DE GOBIERNO Y GESTIÓN TIC Queda prohibida la reproducción, distribución, comunicación pública, transformación, total o parcial, gratuita u onerosa, por cualquier medio o procedimiento, sin la autorización previa y por escrito de Deloitte Advisory S.L. Este documento es estrictamente confidencial. Congreso Académico ITGSM14 Diapositiva 2

parcial, gratuita u onerosa, por cualquier medio o procedimiento, sin la autorización previa y por escrito

3 Indice de Contenidos Entendiendo el problema Otra posible alternativa: los SOC Reports Escenarios de uso Conclusiones Congreso Académico ITGSM14 Diapositiva 3

4 Introducción Retos y oportunidades adopción cloud Oportunidades Eficiencia Agilidad Elasticidad Continuidad operaciones Seguridad y resiliencia Retos Seguridad y resiliencia Privacidad Cumplimiento Normativo Riesgo de concentración Pérdida de autonomía Ciberamenazas [ ] Congreso Académico ITGSM14 Diapositiva 4

Seguridad y resiliencia Privacidad Cumplimiento Normativo Riesgo de

5 Introducción Una gran barrera De la fe a la confianza Congreso Académico ITGSM14 Diapositiva 5

6 Introducción con diferentes visiones Proveedores de Cloud Organizaciones Usuarias Tengo todas las ISOs Soy TIER 4 En ello va mi negocio Coste de las auditorías Es suficiente? Cumpliré la normativa? Y? Cuándo pase algo qué? Necesito visibilidad Necesidad de homogeneización Mi negocio es diferente que admiten algunas reflexiones Congreso Académico ITGSM14 Diapositiva 6

Cumpliré la normativa? Y? Cuándo pase algo qué?

7 Indice de Contenidos Entendiendo el problema Otra posible alternativa: los SOC Reports Escenarios de uso Conclusiones Congreso Académico ITGSM14 Diapositiva 7

8 Posibles soluciones Open Certification Framework for Cloud Providers Fuente: Congreso Académico ITGSM14 Diapositiva 8

9 Posibles soluciones OCF Certification vs Attestation STAR CERTIFICATION evaluates the efficiency of an organization and ensures the scope, processes and objectives are "Fit for Purpose" and help the organization prioritize areas for improvement and lead them towards business excellence. The STAR Attestation is a rigorous third-party independent assessment of the security of a cloud services provider. Fuente: Congreso Académico ITGSM14 Diapositiva 9

prioritize areas for improvement and lead them towards business excellence.

10 Posibles soluciones OCF Certification vs Attestation ISO/IEC SOC 2 Reports Congreso Académico ITGSM14 Diapositiva 10

prestadoras de servicio, en el ámbito de la auditoría financiera. [2002].- La Ley SOX generaliza el uso de este tipo de informes.

11 Posibles soluciones Introducción SOC2 Reports [1992].- El AICPA publica el estándar SAS70 como estándar para el reporte del nivel de control interno de las organizaciones prestadoras de servicio, en el ámbito de la auditoría financiera. [2002].- La Ley SOX generaliza el uso de este tipo de informes. [2008].- El IASB inicia el desarrollo de su propio estándar (ISAE3402). [2010].- Se publican los nuevos estándares que sustituyen al SAS70, que desaparece en Junio de Congreso Académico ITGSM14 Diapositiva 11

12 Posibles soluciones Tipología SOC2 Reports Según la tipología de informe se clasifican en: Tipo I: Opinión sobre el diseño e implementación de los controles en un momento del tiempo. Tipo II: Opinión sobre la efectividad operativa de los controles en un periodo del tiempo (no más de 1 año). Congreso Académico ITGSM14 Diapositiva 12

13 Posibles soluciones Contenido SOC2 Reports Executive summary Section I: Independent Service Auditors Report Section II: Management Assertion Section III: System Description Overview Section IV: Description of Controls and tests of operating effectiveness Section V: Other Information Provided by the service organization Congreso Académico ITGSM14 Diapositiva 13

Overview Section IV: Description of Controls and tests of operating effectiveness Section

14 Posibles soluciones OCF Certification vs Attestation ISO/IEC SOC 2 Reports Congreso Académico ITGSM14 Diapositiva 14

15 Indice de Contenidos Entendiendo el problema Otra posible alternativa: los SOC Reports Escenarios de uso Conclusiones Congreso Académico ITGSM14 Diapositiva 15

16 Escenarios de Uso La visión del usuario Explotación Servicio Puesta en Marcha Contratación del Proveedor Selección Proveedor Identificar Requisitos Congreso Académico ITGSM14 Diapositiva 16

17 Escenarios de Uso La visión del proveedor Mantener y explotar Obtención Informe Tipo II Management Assertion Descripción del Sistema Fase de preparación 2 1 Congreso Académico ITGSM14 Diapositiva 17

18 Indice de Contenidos Entendiendo el problema Otra posible alternativa: los SOC Reports Escenarios de uso Conclusiones Congreso Académico ITGSM14 Diapositiva 18

19 Conclusiones Necesidad de incrementar confianza Diferencias Certification vs Attestation Objetivos Transparencia Foco Periodicidad Confianza como ejercicio mutuo No existen balas de plata No todos los riesgos residen en el proveedor de cloud Congreso Académico ITGSM14 Diapositiva 19

Confianza como ejercicio mutuo No existen balas de plata No todos los

20 Muchas gracias! Daniel Madrid Díaz Congreso Académico ITGSM14 Diapositiva 20

Documentos relacionados

Esquema Nacional de Seguridad Un enfoque pragmático

Esquema Nacional de Seguridad Un enfoque pragmático Daniel Madrid dmadrid@deloitte.es 5ª Jornada de Administración Electrónica Palma de Mallorca, 26 de abril de 2013 Copia distribuida para uso exclusivo