La responsabilidad de la seguridad de la información en servicios tercerizados o de nube
No deja todavía de ser un tema para discusiones apasionadas (aunque muchas veces sin beneficio) el buscar tercerizar responsabilidades de seguridad de la información junto con todo tipo de servicios tercerizados, incluyendo los servicios de nube (que ahora están de moda).
No han faltado algunos rápidos pistoleros quienes de inmediato han buscado trasladar todos los riesgos a los proveedores, izando la bandera de los niveles de servicio en todo lo alto. Independientemente de los motivos (que los hay con buenas y malas intenciones, así como con y sin conocimiento de causa), hay cosas que no requieren de que exista o no la nube para explicarse.
Primero, cuando hablamos de responsabilidades, y en particular de las responsabilidades determinadas por leyes (e insisto, no tiene que ver la nube), se nos olvida que en muchos casos no se pueden simplemente trasladar o delegar en a un tercero. Podemos hacer a otros co-responsables pero no eliminar nuestra responsabilidad.
Los niveles de servicio sirven únicamente como medida de sanción para el incumplimiento de de un contrato (que puede involucrar una sanción económica o la rescisión del mismo), pero de ninguna manera actúan como un control preventivo. Si no pueden prevenir la ocurrencia de un evento tampoco se pueden usar como garantía de cumplimiento de una responsabilidad.
Toda responsabilidad (bien asignada) conlleva facultades para poder cumplirla (de lo contrario se caería en el terreno de la injusticia). Es decir, para que alguien pueda hacerse responsable de algo ese alguien debe poder controlar las acciones que lleven al cumplimiento con dicha responsabilidad. A veces queremos hacer malabares con los contratos y los niveles de servicio, buscando que los proveedores se responsabilicen por situaciones que quedan fuera de su control, como la intención o la forma en que la empresa contratante recolecta datos de sus clientes que a su vez se ponen bajo custodia de un tercero.
Lo que debemos entender, y la nube simplemente no ha hecho otra cosa que sensibilizarnos ante esta situación (que hoy en día se presenta con servicios tradicionales y "en casa") es, que trasladar la responsabilidad no es equivalente a trasladar el riesgo. Las empresas deben estar conscientes de que siempre tendrán (y han tenido) la responsabilidad de cumplir con la ley.
Contenido Completo en fuente original Candado Digital
No han faltado algunos rápidos pistoleros quienes de inmediato han buscado trasladar todos los riesgos a los proveedores, izando la bandera de los niveles de servicio en todo lo alto. Independientemente de los motivos (que los hay con buenas y malas intenciones, así como con y sin conocimiento de causa), hay cosas que no requieren de que exista o no la nube para explicarse.
Primero, cuando hablamos de responsabilidades, y en particular de las responsabilidades determinadas por leyes (e insisto, no tiene que ver la nube), se nos olvida que en muchos casos no se pueden simplemente trasladar o delegar en a un tercero. Podemos hacer a otros co-responsables pero no eliminar nuestra responsabilidad.
Los niveles de servicio sirven únicamente como medida de sanción para el incumplimiento de de un contrato (que puede involucrar una sanción económica o la rescisión del mismo), pero de ninguna manera actúan como un control preventivo. Si no pueden prevenir la ocurrencia de un evento tampoco se pueden usar como garantía de cumplimiento de una responsabilidad.
Toda responsabilidad (bien asignada) conlleva facultades para poder cumplirla (de lo contrario se caería en el terreno de la injusticia). Es decir, para que alguien pueda hacerse responsable de algo ese alguien debe poder controlar las acciones que lleven al cumplimiento con dicha responsabilidad. A veces queremos hacer malabares con los contratos y los niveles de servicio, buscando que los proveedores se responsabilicen por situaciones que quedan fuera de su control, como la intención o la forma en que la empresa contratante recolecta datos de sus clientes que a su vez se ponen bajo custodia de un tercero.
Lo que debemos entender, y la nube simplemente no ha hecho otra cosa que sensibilizarnos ante esta situación (que hoy en día se presenta con servicios tradicionales y "en casa") es, que trasladar la responsabilidad no es equivalente a trasladar el riesgo. Las empresas deben estar conscientes de que siempre tendrán (y han tenido) la responsabilidad de cumplir con la ley.
Contenido Completo en fuente original Candado Digital
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!