La plataforma global e independiente para la comunidad SAP.

¿La nube primero - el cumplimiento después?

Cada vez son más las autoridades públicas y las empresas que se lanzan a la nube. Sin embargo, una digitalización exitosa y sostenible con la ayuda de la computación en nube no puede funcionar sin una estrategia de nube que incluya la gestión de la GRC.
Fabian Januchowski, Conet
15 de marzo de 2023
seguridad informática Header
avatar
Este texto ha sido traducido automáticamente del alemán al español.

Las diversas y prometedoras ofertas de los hiperescaladores, la disponibilidad de cada vez más aplicaciones y servicios "solo en la nube", así como la pandemia como motor de la digitalización: todos estos factores llevan a que a veces se tomen decisiones a corto plazo para las ofertas en la nube y, lamentablemente, los procesos GRC (gobernanza, riesgo y cumplimiento) ya establecidos a menudo se suavizan en favor de una rápida implantación sin ser realmente conscientes de las consecuencias posteriores.

Pero, ¿qué incluye un buen proceso de GRC cuando partes significativas de su TI se externalizan a la nube? Trate los cambios importantes de su entorno informático a la nube del mismo modo que trataría una externalización de personal y procesos empresariales a un proveedor de servicios y hágase las siguientes preguntas:

¿Qué obstáculos legales y reglamentarios hay que superar? Ejemplos como la DSGVO, la nueva ley de diligencia debida en la cadena de suministro o la normativa específica del sector como MaRisk, Bait y Dora en el ámbito de las finanzas deben tenerse en cuenta a la hora de tomar una decisión, por adelantado.

¿Qué procesos quiere trasladar realmente a la nube? Incluso si en el futuro persigue una estrategia que dé prioridad a la nube, puede que no sea aconsejable transferir procesos críticos o sensibles de sistemas alojados localmente a manos de terceros. A menudo se subestima la cuestión de la migración de datos y el almacenamiento de datos en la nube de conformidad con la legislación. La clasificación de los datos puede ayudar en este sentido, pero los riesgos restantes deben gestionarse con medidas técnicas y organizativas (TOM), como el cifrado propietario.

¿A qué riesgos me enfrento? Haga una evaluación conservadora de los posibles costes, pero también de la dependencia real del proveedor de servicios correspondiente. ¿Se ajustan los tiempos de servicio y la disponibilidad a sus necesidades y a los contratos con sus clientes? A menudo, el uso híbrido o un modelo multicloud resulta ser una alternativa más sensata y segura.

¿Están mis empleados preparados para la nube? La formación y la educación son necesarias para garantizar que la transición se realiza sin problemas. También hay que consultar previamente a los órganos internos, como el consejo de personal, el responsable de seguridad informática y el responsable de protección de datos.

¿Quién asume la responsabilidad? Básicamente, la externalización no le exime de sus obligaciones en materia de protección de datos, seguridad de los datos y gestión de riesgos. A menudo se utiliza aquí el término responsabilidad compartida: el proveedor de la nube es responsable de la seguridad de la nube, pero el usuario de la nube es responsable de la seguridad de sus procesos y datos en la nube. Asegúrese de que su comprensión de las responsabilidades coincide con la del proveedor de la nube y de que está contractualmente asegurada en consecuencia.

¿Qué hago cuando las cosas van mal? Los errores ocurren, eso también se aplica a la digitalización. Si se interrumpen los servicios en la nube, fallan los centros de datos, aumentan los costes o el "nuevo mundo" no cumple sus expectativas, hay que contar con una estrategia de salida: ¿Puede volver a incorporar sus procesos y datos localmente en cualquier momento o cambiar a otro proveedor de servicios? Juegue con estos escenarios y documente los pasos correspondientes, de forma similar a su gestión de continuidad de negocio (BCM).

El paso a la nube es un paso hacia el futuro digital. Para garantizar que este paso se da sobre una base sólida, la externalización a la nube debe ir acompañada de un proceso de GRC establecido y de una estrategia de nube desde el principio. El proceso de GRC debe adaptarse al alcance de la externalización deseada para que actúe como facilitador de la transformación digital y no como impedimento.

avatar
Fabian Januchowski, Conet

Fabian Januchowski es Consultor Senior de Cumplimiento Informático en Conet


Escriba un comentario

Trabajar sobre la base de SAP es crucial para el éxito de la conversión a S/4. 

Esto confiere al centro de competencia una importancia estratégica para los clientes actuales de SAP. Independientemente del modelo operativo de S/4 Hana, temas como Automatización, Supervisión, Seguridad, Gestión del ciclo de vida de las aplicaciones y Gestión de datos la base de las operaciones S/4.

Por segunda vez, E3 Magazine organiza una cumbre para la comunidad SAP en Salzburgo con el fin de ofrecer información exhaustiva sobre todos los aspectos del trabajo preliminar de S/4 Hana.

Lugar de celebración

En breve recibirá más información.

Fecha del acontecimiento

Miércoles 21 de mayo y
Jueves, 22 de mayo de 2025

Entrada anticipada

Disponible hasta el viernes 24 de enero de 2025
390 EUROS sin IVA

Entrada normal

590 EUROS sin IVA

Lugar de celebración

Hotel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Fecha del acontecimiento

Miércoles, 5 de marzo, y
Jueves, 6 de marzo de 2025

Entradas

Entrada normal
590 EUR sin IVA
Entrada anticipada

Disponible hasta el 20 de diciembre de 2024

390 EUR sin IVA
El acto está organizado por la revista E3, publicada por B4Bmedia.net AG. Las presentaciones irán acompañadas de una exposición de socios seleccionados de SAP. El precio de la entrada incluye la asistencia a todas las ponencias de la Cumbre Steampunk y BTP 2025, una visita a la zona de exposición, la participación en el acto nocturno y el catering durante el programa oficial. El programa de ponencias y la lista de expositores y patrocinadores (socios de SAP) se publicarán en este sitio web a su debido tiempo.