Red Seguridad 081

cloud opinión 5. Localización y procesamiento de datos (recomendaciones 19 y 20). 6. Externalización en cadena (recomendaciones 21, 22, 23, 24 y 25). 7. Planes de contingencia y estra- tegias de salida (recomendacio- nes 26, 27, 28 y 29). Dentro de ellas, las medidas de seguridad son una pieza clave para la gestión del riesgo. Entre ellas cabe destacar el derecho de audi- toría, la necesidad de identificar el nivel de protección adecuado para garantizar la confidencialidad, la integridad, la disponibilidad y la trazabilidad de los datos y sistemas, la monitorización de las medidas de seguridad adoptadas y la ela- boración y prueba de los planes de contingencia. Además, hay que mencionar que todo ello debe ser supervisado de forma continua. Otro aspecto relevante que abordan es el riesgo asociado a la externalización en cadena. Así, el proveedor del servicio solo debería subcontratar a su vez con un tercero que cumpliera los mis- mos requisitos, estando obligado a tomar las medidas apropiadas para gestionar el riesgo de fallo de cualquiera de las actividades subcontratadas. En concreto, se han desarrolla- do de acuerdo con el artículo 16 del Reglamento (UE) 1093/2010 ("el Reglamento EBA"), que ordena a la propia EBA a emitir directrices y recomendaciones dirigidas a las autoridades competentes con el objeto de establecer sistemas y prácticas de supervisión que garan- ticen la aplicación común, uniforme y coherente de la legislación de la Unión Europea. La fecha límite para que las autoridades nacio- nales competentes informen de si han adoptado, tienen intención de cumplir o las razones de no cum- plimiento de las recomendaciones es de dos meses después de la publicación de su traducción. Y, en su caso, serían de aplicación desde el 1 de julio de 2018. Recomendaciones El conjunto de las 29 recomenda- ciones desarrolladas por la EBA se puede agrupar en siete aspectos clave: 1. Evaluación de materialidad (recomendación 1). 2. El deber de informar (recomen- daciones 2, 3, 4 y 5). 3. Derechos de acceso y audito- ría (recomendaciones 7, 8, 9, 10, 11, 12, 13 y 14). 4. Seguridad de datos y sistemas (recomendaciones 15, 16, 17 y 18). A lo largo de la última década se observa que el desarrollo de las tecnologías de la información no solo ha cambiado las expectativas de los clientes con respecto a los servicios bancarios, sino que tam- bién ha modificado la forma en la que las entidades bancarias operan y prestan esos servicios. En con- creto, la aparición de la computa- ción en la nube ha tenido un impac- to muy significativo en la manera en la que los bancos estructuran sus negocios, así como en las tareas que consideran que aún se deben hacer internamente y las que se pueden externalizar. Los servicios en la nube repre- sentan una clara palanca de nuevas oportunidades y beneficios para el negocio bancario; sin embargo, hay que tener en cuenta que representan un gran reto en lo que se refiere a la gestión del riesgo. Con el objetivo de aprovechar los beneficios del uso de servicios en la nube, al tiempo que se garantiza que los riesgos relacionados se identifiquen y gestionen adecuada- mente, la Autoridad Bancaria Europea (EBA) publicó el 20 de diciembre de 2017 el informe final con sus reco- mendaciones sobre la subcontrata- ción de este tipo de servicios; y ya sabemos del carácter algo más que voluntario de las recomendaciones emanadas de esta entidad. Ana González Colaboradora de Leet Security Recomendaciones de la EBA para la contratación de servicios en la nube Alfonso Pastor Director comercial y de Marketing de Leet Security 58 red seguridad segundo trimestre 2018