1 58 Table of Contents 60 84

Red Seguridad 081

las entidades financieras ponen en común sus intereses en lo referente a requisitos sectoriales específicos, estos pueden ser mapeados sobre el referencial, como lo están otras nor- mativas, como el Esquema Nacional de Seguridad, PCI DSS o NIST SP 800-53, e incluso, y de la misma forma, ampliándolo con los controles que no estén previamente recogidos, para configurar un modelo que se adecúe completamente a las necesi- dades del sector financiero. De esta manera, se obtiene un referencial con la gama más com- pleta de medidas técnicas y orga- nizativas de seguridad, incluyendo requisitos sectoriales específicos, estructurado en diferentes niveles para adecuarse a todas las nece- sidades y dotado de una meto- dología de auditoría y supervisión para garantizar la aplicación conti- nua durante la vida de los servicios subcontratados. Este enfoque diferencial y único permite al sector financiero español posicionarse como líder frente al resto de entidades del mercado, ya que supone una clara situación de ventaja competitiva, con el modelo más eficiente en cuanto a la com- partición de costes con el mejor esquema para la realización de las auditorías y supervisión, que es apli- cable no solo a los servicios en la nube, sino a todos aquellos provee- dores en los que subcontratan cual- quier otro tipo de servicios. garanticen la corrección e imparcia- lidad de los resultados. Metodología Leet Security La metodología de Leet Security cumple –posiblemente sea la única– con todos estos requisitos, pudien- do ser empleada en su modelo estándar de calificación indepen- diente, que permite a los provee- dores de servicios acreditar a todos sus clientes (y no solo a los del sector financiero) que sus servicios están construidos y operados de forma segura con las medidas de seguridad correspondientes al nivel mostrado en la calificación. Con dicha calificación, las entida- des financieras cubren otra de las recomendaciones para llevar a cabo una selección previa de los provee- dores adecuados acorde al nivel de riesgo de las actividades subcontra- tadas, habiendo decidido para ello los niveles de confidencialidad, inte- gridad y disponibilidad requeridos. Normalmente, las condiciones se plasman en un contrato, y solamen- te son –o pueden ser– verificadas con posterioridad. La calificación de un servicio permite comprobar antes de su contratación el nivel de seguridad ofrecido por el mismo y comparar entre diferentes opciones para seleccionar la más adecuada. Pero también aporta una ventaja única utilizada como base para el modelo de auditorías compartidas que propugna la EBA. Es decir, si Pero, ¿cómo puede una orga- nización ejercitar los derechos de acceso y auditoría? El texto deja claro que este derecho no puede estar limitado por acuerdos contrac- tuales y que deberá llevarse a cabo en base a los pertinentes análisis de riesgo. Evidentemente, todas y cada una de ellas pueden utilizar sus recursos propios para hacerlo, multiplicando controles similares a todos los proveedores comunes. Pero la EBA también plantea dos posibles modelos más eficientes: auditorías compartidas ( pooled audits ) o certificación por terceros independientes. En todo caso, el alcance de las auditorías deberá cubrir todos los sistemas (procesos, aplicaciones, infraestructuras, centros de proce- so de datos, etc.), así como los controles clave, que deberán estar basados en estándares internacio- nales y asegurarse su efectividad operacional. En este sentido, ¿qué requisitos debería cumplir una metodología que permitiese llevar a cabo esta supervisión? En concreto, debe dis- poner de diferentes niveles de exi- gencia para poder corresponder a los niveles de riesgo determinados por cada entidad para su servi- cio particular; evaluar tanto proce- sos (sistemas de gestión) como las medidas de seguridad técnicas real- mente implementadas; correspon- derse y mapearse con estándares internacionales de amplio reconoci- miento; posibilitar la incorporación de requisitos específicos (sectoria- les) de las entidades; tener en cuen- ta todos los componentes de los servicios auditados, incluyendo la cadena de subcontratación comple- ta; realizarse de forma continua para garantizar su validez durante toda la vida de los servicios; y ser ejecutada por profesionales de experiencia y conocimientos contrastados y que cloud opinión El sector financiero español es líder del mercado, ya que cuenta con el modelo más eficiente en cuanto a la compartición de costes, aplicable a los servicios en la nube. red seguridad segundo trimestre 2018 59

RkJQdWJsaXNoZXIy MzA3NDY=