La Cátedra iDanae (inteligencia, datos, análisis y estrategia) en Big Data y Analytics, creada en el marco de colaboración de la Universidad Politécnica de Madrid (UPM) y Management Solutions, publica su newsletter trimestral correspondiente al 2T21 sobre Gestión del riesgo de externalización de servicios en la nube

 

La Cátedra iDanae, que surge en el marco de la colaboración de la UPM y Management Solutions, tiene el objetivo de promover la generación de conocimiento, su difusión y la transferencia de tecnología y el fomento de la I+D+i en el área de Analytics. En este contexto, una de las líneas de trabajo que desarrolla la Cátedra es el análisis de las metatendencias en el ámbito de Analytics.
 


Gestión del riesgo de externalización de servicios en la nube

Ver vídeo

Introducción

La evolución de los procesos de computación en las empresas e instituciones se puede sintetizar mediante la ocurrencia de fases de centralización de datos y procesos, seguidas por fases de descentralización, lo que genera una transformación de las organizaciones con cierto carácter cíclico. Estas fases están condicionadas por la creación y desarrollo de nuevas tecnologías. En este sentido, el cloud computing puede entenderse dentro de una fase de centralización, donde se utiliza un modelo en la nube en lugar del modelo tradicional on premise. No obstante, este modelo puede verse alterado: la aparición del 5G y del IoT pueden implicar una nueva descentralización de datos y procesos. Ello exigiría la necesidad de desarrollar una gestión denominada HDIM (Hybrid Digital Infraestructure Management), lo que obligaría a pensar en los centros de datos denominados “de proximidad”, o en la federación de los mismos.

En todo caso, actualmente cada vez más organizaciones dependen de proveedores externos para ejecutar sus operaciones. Esto ha propiciado que resulte esencial analizar y controlar los riesgos asociados a la externalización de servicios a terceros. Este proceso se denomina comúnmente como gestión de riesgos de terceros o third-party risk management.

La industria financiera ha abordado tradicionalmente este tipo de riesgos, en parte debido a las regulaciones del sector (por ejemplo, las regulaciones en EEUU emitidas por la OCC y la Reserva Federal, publicadas en 2013). No obstante, con el auge de la transformación digital, y más concretamente, de la computación en la nube, la dependencia de terceros ha aumentado notoriamente en todos los sectores. Según el estudio Forrester® Research, 1 de cada 3 encuestados informaron que trabajaban con más terceras partes como proveedores que hace dos años.

Adicionalmente, la externalización de servicios a la nube presenta características especiales que la distinguen de los acuerdos tradicionales de externalización. Por ello, esta newsletter pretende poner foco en la gestión de los riesgos de externalización de servicios a la nube, aportando una visión general sobre esta tecnología y la gestión de riesgos de terceros. Consecuentemente en esta newsletter se abordan los beneficios de la tecnología de computación en la nube y, posteriormente, se analizan los riesgos asociados, poniendo foco en los relacionados con la estrategia organizativa de la empresa y la seguridad de la información.

 

¿Qué es el Cloud Computing?

El cloud computing es un modelo de computación que hace posible el acceso por petición de forma remota a multitud de recursos y servicios proporcionados por un proveedor haciendo uso de internet. Estos recursos pueden ser tanto a nivel hardware como software, y son ofrecidos a los clientes bajo demanda. En otras palabras, la nube es el lugar al que se acude en caso de que se requiera de algún tipo de tecnología, sin necesidad de instalar ningún tipo de programa o aplicación de forma local, permitiendo al cliente desentenderse de la infraestructura tecnológica necesaria para satisfacer sus necesidades particulares. Así pues, este modelo de computación surge en contraposición al concepto de arquitectura on-premise o tradicional, bajo el cual las empresas son propietarias de todos los elementos (centros de datos, sistemas de almacenamiento, etc.) y los  gestionan en sus propias instalaciones, lo cual suele resultar costoso.

En contraposición, los servicios  permiten, entre otros, reducir los costes asociados a los recursos hardware, mejorar los niveles de seguridad de las soluciones ofertadas, facilitar el acceso a los mismos cuando y donde se requiera, y condensar la gestión de toda la computación en un mismo nivel. Además, la computación en la nube permite el acceso de recursos a nivel internacional, siendo la multilocalización uno de los aspectos diferenciales de este modelo respecto a los proveedores de servicios clásicos. Este hecho hace posible que el grado de competitividad de pequeñas empresas y startups aumente y pueda competir con otras compañías de mayor tamaño y capitalización. Esto es lo que se conoce como democratización del acceso a recursos. 

En 1999, Salesforce puso a disposición de sus clientes aplicaciones a través de un sitio web, lo cual plantaría los cimientos de la revolución  vivida en las últimas dos décadas. Tres años más tarde, Amazon lanzaba el primer servicio público de servicios de computación en la nube, AWS, algo a lo que se unieron Google y Microsoft en el año 2009. Desde entonces, el abanico de posibilidades ha ido creciendo, donde cada vez más compañías ofrecen soluciones a sus clientes de este tipo: Oracle, IBM, HP, etc. A su vez, este aumento de proveedores ha ido acompañado de un aumento continuo en el uso de servicios por parte de las empresas durante los últimos años, que se ha visto reflejado en un crecimiento constante del mercado global de la computación en la nube, el cual no parece cesar. En este contexto, hoy en día destacan tres proveedores de servicios, tanto a nivel de cuota de mercado como de servicios prestados: AWS, Microsoft Azure y Google Cloud, representando en conjunto el 60% del mercado global.

“La nube proporciona servicios a empresas de todos los tamaños. La nube es para todo el mundo. La nube es democracia”

Marc Benioff | Director Ejecutivo de Salesforce

Características de los servicios Cloud

Su naturaleza multiplataforma hace posible que, simplemente disponiendo de un dispositivo con acceso a internet, se pueda sacar provecho a todos los beneficios que puede ofrecer esta forma de computación. Además de esta, las características principales10 que diferencian esta forma de trabajar de otros frameworks tradicionales son las siguientes:
 

  • Bajo demanda (on demand). Los servicios se adaptan al 100% a las necesidades particulares de cada cliente. Estas necesidades se refieren tanto a la cantidad como al momento, estando siempre disponibles para cualquier finalidad que se requiera.
  • Servicio medido. La actividad queda recogida de manera precisa para controlar y monitorizar en todo momento el uso que se le está dando a los servicios prestados. Esto es fundamental a la hora de controlar los costes asociados por uso, los cuales vendrán dados por el número y tipo de recursos utilizados: pay-as-you-go.
  • Rápida flexibilidad. Los servicios ofertados presentan una alta capacidad de escalado de acuerdo con los recursos requeridos por cada cliente y en cada situación. 
  • Recursos en pool. Los recursos se asignan y reasignan en función de la demanda por parte de los clientes. El consumidor puede desentenderse de la localización de los recursos provistos, logrando alcanzar un alto nivel de abstracción. Además, esta disposición de recursos en múltiples localizaciones favorece la tolerancia a fallos y errores. 
Tipos de servicios Cloud
  • SaaS – Software as a Service. Se pone a disposición del cliente una aplicación software a través del servidor web, ahorrándole la tarea de actualizar o mantener dicha aplicación. Servicios de correo electrónico, aplicaciones de videoconferencias o servicios de intercambio de datos son algunos ejemplos de este modelo Cloud. Se consolida como una de las opciones preferentes en la reciente transformación tecnológica realizada por múltiples compañías a día de hoy. 
  • PaaS – Platform as a Service. Proporciona todos los recursos necesarios para levantar una determinada aplicación, adaptándose a sus requerimientos específicos. Son múltiples los beneficios de este servicio, ya que permite reducir considerablemente los costes en infraestructuras de los clientes o facilitar la escalabilidad de las empresas según la demanda de sus productos. 
  • IaaS – Infrastructure as a Service. Facilita el hardware requerido para lanzar las aplicaciones creadas con los servicios anteriores. Entre los recursos que incluye figuran servicios de almacenamiento de datos y redes, permitiendo a los clientes hacer uso de estos activos hardware sin necesidad de adquirirlos y administrarlos. Este último segmento es uno de los que más ha crecido en los últimos años, y se espera que siga haciéndolo, según el informe emitido por Gartner en 2017.
Tipos de Cloud
  • Nube pública. Estas nubes permiten el acceso simultáneo de múltiples clientes a través de internet, regulando su acceso habitualmente a través de mecanismos de control, lo que as su vez garantiza la seguridad e integridad de la información involucrada.
  • Nube privada. A diferencia del caso anterior, esta nube es propia y única para una organización en particular, no permitiendo la existencia de puntos de acceso públicos.
  • Nube híbrida. Combinación de las dos anteriores, permitiendo el intercambio y movimiento de información entre puntos públicos y privados, según la importancia de los datos o de los servicios asociados.
  • Nube comunitaria. Compañías con intereses comunes comparten un conjunto de servicios y responsabilidades, motivadas por lograr un objetivo final común.   

 

Beneficios

La popularidad adquirida por la computación en la nube ha ido incrementando en los últimos años gracias a las crecientes ventajas que presenta respecto a otras formas de trabajo tradicionales. A continuación, se exponen algunos de los beneficios que han incentivado el movimiento de las infraestructuras tradicionales al entorno de la nube en multitud de empresas y compañías de distintos tamaños y sectores.

  • Acceso a nuevas tecnologías. Se puede poner a disposición de las empresas nuevos productos y servicios de valor añadido, o nuevas tecnologías según vayan surgiendo (por ejemplo, en el ámbito de Inteligencia Artificial), así como la innovación en nuevo hardware (por ejemplo, avances que permiten mejorar las capacidades de cómputo). Con ello, la empresa puede limitar la inversión inicial que realiza en tecnología innovadoras y, a su vez, reducir el time-to-market en su adquisición e implantación.
  • Escalabilidad. La posibilidad de acceder a determinados recursos en función del uso que se quiera hacer de ellos en cada situación concreta facilita la tarea de adaptarse progresivamente a los requerimientos de almacenamiento o procesamiento según la demanda del producto por parte del cliente. Este hecho aumenta la eficiencia de las compañías, ya que solo se invierte en lo que es realmente necesario en cada momento. Al mismo tiempo, se ofrece una igualdad de condiciones para empresas de menor tamaño para competir con productos de grandes compañías. 
  • Seguridad. Organizaciones con menor desarrollo en el ámbito de la seguridad pueden beneficiarse del entorno que ofrece el proveedor de servicios en la nube. 
  • Movilidad. La movilidad de la computación en la nube ofrece la posibilidad de trabajar en cualquier momento, lugar y dispositivo, siempre que se disponga de conexión a Internet.
  • Visión. Muchos proveedores de servicios  proporcionan servicios que permiten analizar los datos almacenados, ofreciéndoles una vista panorámica de la totalidad de sus datos (siendo esto antes inaccesible).
  • Mejor colaboración. Gracias a la computación en la nube, la colaboración se vuelve más simple, pudiendo compartir información de forma fácil y segura, ofreciendo una sincronización automática de los archivos almacenados y eliminando la necesidad de enviar archivos.
  • Recuperación ante desastres. Aunque no se pueden prevenir o anticipar los desastres, la computación en la nube permite acelerar la recuperación de los datos en múltiples escenarios de emergencia. 
  • Prevención de pérdidas. Con la computación en la nube, la información almacenada permanece segura y accesible desde cualquier ordenador, eliminando los riesgos de pérdida de información inherentes al almacenamiento local. 
  • Actualizaciones automáticas del software. Los proveedores de los servicios  se encargan del mantenimiento de los servidores, llevando a cabo todas las actualizaciones necesarias. 
  • Ventaja competitiva. La computación en la nube supone una ventaja competitiva para la empresa a través de múltiples maneras: proporcionando la tecnología más innovadora posible, convirtiéndose en una empresa más ágil, centrándose en los proyectos al trasladar la responsabilidad de gestionar la infraestructura, entre otros.
  • Sostenibilidad. El uso de servicios  da como resultado una menor huella de carbono, siendo esta tecnología más respetuosa con el medio ambiente.

En vista de estas ventajas, se espera que cada vez sean más los clientes que se sumen a esta forma de trabajar en los próximos años y se vea reflejado de manera más notable el cambio tecnológico que conlleva. 

“No generas tu propia energía. ¿Por qué ibas a generar tu propia computación?”

Jeff Bezos | Presidente y fundador de Amazon 

 

Riesgos

En contraposición a los beneficios expuestos en el apartado anterior, la computación en la nube plantea numerosos riesgos que deben ser identificados y gestionados para llevar a cabo una correcta externalización de los servicios a la nube. 

Cabe destacar que los riesgos derivados del uso de servicios en la nube variarán en función del modelo de servicio y de despliegue. No obstante, en términos generales, se pueden diferenciar riesgos tradicionales relativos a la externalización de servicios y nuevos riesgos que han aparecido con el surgimiento de este paradigma. 
A continuación, se exponen algunos de los principales riesgos a tener en consideración, con base en varias categorizaciones propuestas y a la normativa vigente. 

 

Riesgos organizativos

Engloban aquellos riesgos que afectan a la estrategia organizativa de la empresa, pudiendo acarrear el incumplimiento de los objetivos fijados por la empresa. Destacan20:
 

  • Lock-in. Actualmente, la portabilidad de servicios, aplicaciones y datos entre proveedores de servicios cloud es escasa, por lo que un cliente que externalice servicios a un proveedor de nube puede experimentar serias dificultades si surge la necesidad de migrar el servicio a otro proveedor o incluso a un entorno interno.
  • Pérdida de gobernanza. Al utilizar servicios, el cliente cede el control de la infraestructura al proveedor de la nube, así como de varias cuestiones relacionadas con la seguridad. En consecuencia, la estrategia organizativa del cliente podría verse gravemente afectada.
  • Fallo en la cadena de suministro. Un proveedor de servicios  puede subcontratar a su vez servicios a terceros, generando una cadena de dependencias que puede dar lugar a fallos en cascada.
  • Menor control de costes. Los costes asociados a la plataforma, tanto de hardware como de productos, dependen del pricing del proveedor de servicios, así como del uso que la organización hace de los mismos, por lo que se añade incertidumbre al control de costes, lo que requiere de una capa adicional de análisis y estimación a priori.

 

Riesgos de seguridad de la información

Recogen aquellas vulnerabilidades relativas al acceso, uso, divulgación, interrupción, modificación o destrucción no autorizada de información y/o sistemas de información21. Estas vulnerabilidades se concentran en torno a cuatro conceptos clave: 

  • Confidencialidad. Hace referencia al acceso no autorizado o indebido de los datos. Al externalizar servicios a la nube, la confidencialidad de los datos puede verse comprometida al acceder a ellos a través de una conexión a Internet, lo cual aumenta la exposición a ataques. 

    Adicionalmente, fallos o errores en entornos compartidos podrían incurrir en que un tenant tenga acceso a recursos de otro tenant.

  • Integridad. Hace referencia a las modificaciones y eliminaciones no autorizadas por parte de los usuarios. De este modo, se debe asegurar que solo usuarios autorizados puedan alterar la información almacenada.

    En esta línea también se encuentra el riesgo asociado a la eliminación ineficiente de los datos, ya que, dada la reducida visibilidad por parte de los clientes de la localización física de los datos, la información de dicho cliente puede no borrarse íntegramente de los servidores del proveedor de servicios.

  • Disponibilidad. Los usuarios deben poder acceder a los datos cuando y donde quieran, es decir, los proveedores deben proporcionar una conexión sin interrupciones ni desconexiones. 

    En esta línea ha adquirido gran importancia la localización de los datos, ya que el desconocimiento habitual en torno a la localización dificulta el control sobre el almacenamiento de los datos.

  • Autenticación. La externalización de servicios a la nube magnifica los riesgos existentes en torno a la autenticación de los usuarios, siendo un aspecto altamente relacionado con la integridad de los datos.

De este modo, en términos de seguridad de la información, la empresa contratante deberá poner especial atención a las medidas de seguridad integradas en la plataforma  contratada.

 

Compromiso de las APIs de gestión

Hace referencia a las deficiencias en las APIs proporcionadas al cliente por los proveedores  para gestionar e interactuar con los sistemas de información. Estas deficiencias en las APIs conllevarán pérdidas parciales de los servicios, afectando a su disponibilidad.

 

Riesgo operacional

En términos generales, el riesgo operacional hace referencia al riesgo de pérdidas debido a fallos de procesos, personas y sistemas internos o a acontecimientos externos. La migración de servicios a la nube conllevará un aumento del riesgo operacional, que deberá ir a la par de la formación de profesionales en el uso de estos servicios para evitar fallos como consecuencia de los cambios en la operativa de la empresa. Por otra parte, otros riesgos operacionales pueden ser la falta de servicios personalizados24 o el menor control tanto sobre la calidad de los servicios como de la disponibilidad de las aplicaciones.

 

Cumplimiento y riesgos legales

A la hora de externalizar un servicio, es necesario cerciorarse del cumplimiento de todos los requerimientos legales y reglamentarios vigentes, ya que su incumplimiento podría acarrear elevadas multas y afectar notoriamente a la reputación de la empresa. Esta tarea puede resultar ardua debido a las múltiples jurisdicciones en las que operan los proveedores de servicios  y a la heterogeneidad de requisitos reglamentarios entre diferentes países. Más concretamente, estos problemas legales suelen surgir en torno a la privacidad de los datos, la propiedad de los datos, los derechos de autor, la localización de los datos, cuestiones contractuales, etc.

 

Riesgo reputacional

Puede definirse como el riesgo actual o futuro sobre los ingresos, los fondos propios o la liquidez de la institución que se deriva de daños a su reputación.  En esta línea, la insatisfacción de los clientes, así como fallos en la seguridad o las infracciones normativas derivados de la externalización de servicios pueden dañar considerablemente la reputación de la entidad. Adicionalmente, cualquier opinión pública negativa del proveedor de servicios , puede suponer un riesgo reputacional para la empresa. 


Continuidad de negocio

Al externalizar un servicio a un tercero, surge una dependencia de continuidad de negocio respecto al proveedor; en otras palabras, se delega parcialmente la continuidad de negocio al proveedor. De este modo, si el proveedor de servicios  sufriera un ataque, también afectaría de forma directa a la organización contratante. 
 

Riesgo de concentración

Surge de la dependencia excesiva de un proveedor de servicios , a nivel empresa o a nivel sectorial, pudiendo acarrear pérdidas potenciales suficientemente importantes como para poner en peligro la solvencia de la empresa o del sector respectivamente.

 

Gestión del riesgo de externalización de servicios en la nube

Tal y como se ha expuesto en el apartado anterior, el uso de los servicios en la nube lleva asociado una serie de riesgos y amenazas que deben tomarse en consideración. Por consiguiente, la identificación y gestión de estos riesgos se convierte en un factor clave para llevar a cabo una correcta externalización de servicios en la nube, pudiendo por ende disfrutar de los beneficios que esta delegación de servicios ofrece.

De este modo, cabe señalar que es posible transferir por parte del cliente determinados riesgos al proveedor de servicios en la nube (aunque no todos pueden ser transferidos). Adicionalmente, hay que tener en consideración que en estos casos se subcontratará la responsabilidad, pero no la obligación de rendir cuentas. 

En esta línea, son varios los reguladores que han publicado recientemente normativa relativa a la gestión de la externalización de servicios en la nube con el objetivo de ayudar a las entidades reguladas a adoptar soluciones basadas en la nube. 

En el ámbito europeo, la EBA, la ESMA y la EIOPA han publicado una serie de directrices que pretenden ayudar a las entidades reguladas a identificar, controlar y abordar los riesgos que surgen de los contratos de externalización en la nube, destacando el alineamiento de las mismas. 

En consecuencia, aunque estas directrices solo tienen aplicación directa sobre las entidades reguladas, pueden ser consideradas como un conjunto de buenas prácticas de cara a llevar a cabo una correcta gestión de la subcontratación de servicios en la nube. De este modo, tomando las diferentes directrices como punto de referencia, se exponen las pautas enunciadas en líneas generales.

 

Gobierno

Las entidades deberán disponer de una estrategia de externalización de servicios en la nube definida y actualizada que sea coherente con el resto de estrategias de la entidad y con sus políticas y procesos internos. 

En consecuencia, la entidad deberá tener una asignación clara de las funciones y responsabilidades relativas a la gestión y el control de este tipo de acuerdos; asegurándose de que se estén asignando los recursos suficientes.  

Además, las entidades deberán mantener un registro actualizado sobre todos los acuerdos de subcontratación en la nube.

 

Evaluación de riesgos

Antes de llevar a cabo la externalización de un servicio a la nube, debe realizarse un análisis previo en el que:

  • Se valore si las funciones a subcontratar son críticas. 
  • Se identifiquen y evalúen todos los riesgos relevantes. 
  • Se lleve a cabo una due diligence del proveedor de servicios cloud. 
  • Se identifiquen y evalúen posibles conflictos de interés.

Como cabría esperar, el alcance de este análisis dependerá de la criticidad de la función a analizar. Asimismo, si hubiese cambios en los servicios contratados o en la situación del proveedor de servicios, se deberían actualizar estos análisis.

 

Términos contractuales

En los acuerdos de externalización de servicios , deberán establecerse por escrito los derechos y obligaciones de ambas partes, debiendo reflejar la posibilidad de que la empresa contratante rescinda el contrato en cualquier momento. Adicionalmente, las diferentes directrices especifican una serie de términos mínimos que deben incluir los contratos de externalización de servicios  (fecha de inicio y finalización, obligaciones financieras, niveles de servicio acordados, etc.). 
 

Seguridad de la información

Tal y como se expuso en el apartado anterior, la seguridad de la información es uno de los principales riesgos en los servicios . Por ello, se deben establecer una serie de requisitos de seguridad de la información en las políticas y procedimientos internos de la empresa, así como en el contrato de externalización. 

Las directrices de la ESMA son las más detalladas en este aspecto, especificando que en el caso de funciones críticas se deberán incluir requisitos relativos a la gestión de entidades y accesos, al cifrado y gestión de claves, a la seguridad de la red, a la integración con APIs y a la ubicación de los datos, entre otros.

 

Estrategia de salida

Las entidades contratantes deben asegurarse de que puedan salir de los acuerdos de subcontratación en la nube sin interrumpir sus actividades y servicios y sin perjuicio del cumplimiento de sus obligaciones. Para ello, las entidades deben elaborar planes de salida, identificar soluciones alternativas y elaborar planes de migración para retirar el servicio externalizado.

 

Derechos de acceso y auditoría

Los acuerdos de externalización de servicios deben permitir el ejercicio efectivo de los derechos de acceso y auditoría al proveedor de servicios o, en caso de no ser posible, acordar alternativas que permitan conseguir un resultado similar.  

Por último, en el caso de las entidades reguladas, las autoridades competentes deberán evaluar los riesgos derivados de los contratos de externalización de servicios en la nube como parte de su proceso de supervisión. Más concretamente, deberán evaluar si: (1) cuentan con la gobernanza, los recursos y los procesos operativos necesarios para llevar a cabo acuerdos de externalización en la nube, (2) identifican y gestionan los riesgos relevantes derivados de dichos acuerdos y (3) vigilan la evolución del riesgo de concentración.

 

Conclusiones

En los últimos años, la computación en la nube ha revolucionado el panorama de las nuevas tecnologías y el mundo empresarial, vislumbrándose un movimiento de las infraestructuras tradicionales al entorno  en multitud de empresas y compañías de todos los tamaños y sectores.

Este cambio de paradigma ha sido incentivado por las numerosas ventajas que presenta el uso de este tipo de servicios (reducción de costes, escalabilidad, seguridad, etc.) y, por consiguiente, ha propiciado un aumento notorio de la dependencia de terceros por parte de las empresas.

De este modo, la gestión de riesgos de terceros pone de manifiesto la importancia de identificar y gestionar los riesgos asociados para llevar a cabo una correcta externalización de los servicios en la nube, pudiéndose diferenciar riesgos tradicionales relativos a la externalización de servicios y nuevos riesgos asociados a esta tecnología. 


La newsletter “Gestión del riesgo de externalización de servicios en la nube​" ya está d​​isponible para su descarga en la web de la Cátedra tanto en español como en inglés​.​​