ACADEMIC ITGSM14 4 Junio 2014 IX CONGRESO ACADÉMICO INTERNACIONAL DE GOBIERNO Y GESTIÓN TIC "Estándares de Confianza y Transparencia para proveedores cloud: Los grandes desconocidos Daniel Madrid Díaz Congreso Académico ITGSM14 Diapositiva 1
Cláusula de Uso Copia distribuida para uso exclusivo en el IX CONGRESO ACADÉMICO INTERNACIONAL DE GOBIERNO Y GESTIÓN TIC Queda prohibida la reproducción, distribución, comunicación pública, transformación, total o parcial, gratuita u onerosa, por cualquier medio o procedimiento, sin la autorización previa y por escrito de Deloitte Advisory S.L. Este documento es estrictamente confidencial. Congreso Académico ITGSM14 Diapositiva 2
Indice de Contenidos Entendiendo el problema Otra posible alternativa: los SOC Reports Escenarios de uso Conclusiones Congreso Académico ITGSM14 Diapositiva 3
Introducción Retos y oportunidades adopción cloud Oportunidades Eficiencia Agilidad Elasticidad Continuidad operaciones Seguridad y resiliencia Retos Seguridad y resiliencia Privacidad Cumplimiento Normativo Riesgo de concentración Pérdida de autonomía Ciberamenazas [ ] Congreso Académico ITGSM14 Diapositiva 4
Introducción Una gran barrera De la fe a la confianza Congreso Académico ITGSM14 Diapositiva 5
Introducción con diferentes visiones Proveedores de Cloud Organizaciones Usuarias Tengo todas las ISOs Soy TIER 4 En ello va mi negocio Coste de las auditorías Es suficiente? Cumpliré la normativa? Y? Cuándo pase algo qué? Necesito visibilidad Necesidad de homogeneización Mi negocio es diferente que admiten algunas reflexiones Congreso Académico ITGSM14 Diapositiva 6
Indice de Contenidos Entendiendo el problema Otra posible alternativa: los SOC Reports Escenarios de uso Conclusiones Congreso Académico ITGSM14 Diapositiva 7
Posibles soluciones Open Certification Framework for Cloud Providers Fuente: Congreso Académico ITGSM14 Diapositiva 8
Posibles soluciones OCF Certification vs Attestation STAR CERTIFICATION evaluates the efficiency of an organization and ensures the scope, processes and objectives are "Fit for Purpose" and help the organization prioritize areas for improvement and lead them towards business excellence. The STAR Attestation is a rigorous third-party independent assessment of the security of a cloud services provider. Fuente: Congreso Académico ITGSM14 Diapositiva 9
Posibles soluciones OCF Certification vs Attestation ISO/IEC 27001 SOC 2 Reports Congreso Académico ITGSM14 Diapositiva 10
Posibles soluciones Introducción SOC2 Reports [1992].- El AICPA publica el estándar SAS70 como estándar para el reporte del nivel de control interno de las organizaciones prestadoras de servicio, en el ámbito de la auditoría financiera. [2002].- La Ley SOX generaliza el uso de este tipo de informes. [2008].- El IASB inicia el desarrollo de su propio estándar (ISAE3402). [2010].- Se publican los nuevos estándares que sustituyen al SAS70, que desaparece en Junio de 2001. Congreso Académico ITGSM14 Diapositiva 11
Posibles soluciones Tipología SOC2 Reports Según la tipología de informe se clasifican en: Tipo I: Opinión sobre el diseño e implementación de los controles en un momento del tiempo. Tipo II: Opinión sobre la efectividad operativa de los controles en un periodo del tiempo (no más de 1 año). Congreso Académico ITGSM14 Diapositiva 12
Posibles soluciones Contenido SOC2 Reports Executive summary Section I: Independent Service Auditors Report Section II: Management Assertion Section III: System Description Overview Section IV: Description of Controls and tests of operating effectiveness Section V: Other Information Provided by the service organization Congreso Académico ITGSM14 Diapositiva 13
Posibles soluciones OCF Certification vs Attestation ISO/IEC 27001 SOC 2 Reports Congreso Académico ITGSM14 Diapositiva 14
Indice de Contenidos Entendiendo el problema Otra posible alternativa: los SOC Reports Escenarios de uso Conclusiones Congreso Académico ITGSM14 Diapositiva 15
Escenarios de Uso La visión del usuario 4 5 3 1 2 Explotación Servicio Puesta en Marcha Contratación del Proveedor Selección Proveedor Identificar Requisitos Congreso Académico ITGSM14 Diapositiva 16
Escenarios de Uso La visión del proveedor 5 4 3 Mantener y explotar Obtención Informe Tipo II Management Assertion Descripción del Sistema Fase de preparación 2 1 Congreso Académico ITGSM14 Diapositiva 17
Indice de Contenidos Entendiendo el problema Otra posible alternativa: los SOC Reports Escenarios de uso Conclusiones Congreso Académico ITGSM14 Diapositiva 18
Conclusiones Necesidad de incrementar confianza Diferencias Certification vs Attestation Objetivos Transparencia Foco Periodicidad Confianza como ejercicio mutuo No existen balas de plata No todos los riesgos residen en el proveedor de cloud Congreso Académico ITGSM14 Diapositiva 19
Muchas gracias! Daniel Madrid Díaz dmadrid@deloitte.es 600 56 88 91 www.deloitte.es Congreso Académico ITGSM14 Diapositiva 20