De acuerdo con Seguridad como Servicio: Beneficios de Negocio con Perspectivas de Seguridad, Gobierno y Aseguramiento, entre los cuestionamientos más importantes para asegurarse que los riesgos sean gestionados son:
1. ¿Qué modelo de servicio de nube es el que mejor satisfice nuestras necesidades?
2.¿Dónde se localizará la información y qué políticas de retención se aplicarán?
3.¿Cómo se protegerá la información (qué controles físicos y lógicos se implementarán)?
4.¿Cómo incluiremos al proveedor y los servicios subcontratados en los planes de continuidad del negocio y de recuperación de desastres?
5.¿Pueden transferirse los datos a otro proveedor si el contrato se termina?
"Las empresas pueden tercerizar servicios de seguridad de la información, pero no pueden tercerizar la responsabilidad de la seguridad", señaló Patrick Hanrion, CISM, CISSP, CNE, director de Seguridad y Privacidad de McGladery LLP, y autor del reporte. “Responder a estas preguntas ayuda a comprobar que los controles para proteger los activos de información de la empresa se implementen de manera eficiente” agregó.
La guía de ISACA resalta que las compañías que utilizan SecaaS deben continuar con el análisis periódico de la información y activos de TI que sean críticos para ellas así como gestionar los riesgos asociados con usar a un proveedor externo para proteger los mismos.
"Sin la comprensión de estos datos de vital importancia, no hay forma de que la empresa determine qué servicios de seguridad necesita y contra qué amenazas se debe proteger", indicó Hanrion.
La Seguridad como Servicio define las estrategias para abordar el
riesgo, así como las consideraciones clave de gobierno y de
aseguramiento basadas en los lineamientos del marco COBIT. El reporte
está disponible sin costo en
