¡Que la falta de acuerdo sobre el Brexit no afecte a la Nube!
- Opinión
Neil Thacker, CISO para EMEA de Netskope, plantea en este artículo las medidas que pueden tomar las empresas para mitigar los riesgos de cualquier resultado potencial respecto al acuerdo sobre el Brexit.
Con la posibilidad de que las decisiones en torno al Brexit continúen prolongándose, incluso hasta mucho después de marzo, algunos hemos llegado a un punto crítico en cuanto a las medidas estratégicas que afectan a nuestra organización; no aguantamos más. Por ello y en medio de todos los escenarios posibles: “no hay trato”, “si lo hay”, “no hay Brexit”… considero útil tratar con la única circunstancia de la que sí tenemos seguridad; el escenario de "no hay certeza".
Los beneficios de la nube en un mundo incierto son obvios: su falta de CapEx y su sencilla escalabilidad atraen a las organizaciones que desean ser ágiles y competitivas. Sin embargo, hay preocupaciones residuales que a menudo ralentizan su adopción. Por tanto, y antes de tomar una decisión sobre los servicios cloud -más rápido de lo que lo están haciendo el parlamento de Reino Unido y de la UE- es necesario averiguar qué puede hacer una organización para mitigar los riesgos de cualquier resultado potencial.
1. Residencia de los datos y portabilidad geográfica
Aunque el lugar dónde van a residir los datos es el primer punto a fijar en cualquier Acuerdo de Servicios Cloud, las consecuencias del Brexit podría trastocar ese punto. Por ejemplo, algunas alternativas del Brexit podrían conducir al traslado de las operaciones empresariales a jurisdicciones diferentes para aquellas empresas que quieran seguir siendo residentes de la UE o que lo valoren por razones de competitividad. Por tanto, si la ubicación de los datos es crucial, el proveedor de cloud computing seleccionado debe ser capaz de mover los datos a medida que las decisiones políticas se suceden.
2. Acuerdos de transferencia de datos
Aunque no habrá cambios inmediatos en las normas de protección de datos en Reino Unido, en el caso de un Brexit sin acuerdo, este territorio se convertiría en un "tercer país" a los ojos de la UE, y en lo que respecta a la aplicación de GDPR. Por tanto, cualquier empresa que procese datos entre el Reino Unido y la UE (a través de una arquitectura de información propia o utilizando un servicio cloud), debería prepararse para esta hipotética posibilidad a fin de evitar el incumplimiento de las leyes de Protección de Datos.
3. Soporte de idiomas
Otro tema a tener en cuenta es cómo cambiará la fuerza laboral de una empresa en los próximos años. Y esto no es solo a consecuencia del Brexit: el crecimiento y las adquisiciones conllevan un aumento de la base de usuarios. Por tanto, si una empresa está buscando servicios que requieran una consulta de datos (por ejemplo, DLP inteligente), debe comprobar que su proveedor de servicios puede soportar una amplia gama de idiomas y caracteres, además de la sintaxis y el contexto de estos idiomas.
4. Respaldo a los nuevos modelos de trabajo
Aunque a día de hoy las empresas no se prodiguen en tener empleados remotos o móviles, a largo plazo el Brexit podría derivar en nuevos modelos de trabajo. Por tanto, el apoyo a los usuarios móviles y remotos es esencial en cualquier servicio de TI, eso sí, sin incurrir en prácticas como la habilitación de acceso o actividad sin tener antes una clara percepción de lo que estos usuarios están haciendo. El departamento de TI debe tener constancia de los servicios cloud que realmente se está utilizando y de las implicaciones para el DLP y el cumplimiento de Protección de Datos.
5. Protección de la propiedad intelectual y de la propiedad de los datos
Independientemente del Brexit, muchas organizaciones no están teniendo todo el cuidado a la hora de elegir proveedores de servicios cloud. La Cloud Security Alliance emite criterios objetivos para la evaluación de certificaciones de seguridad, legal, auditoría y de terceros, además de vulnerabilidades y exploits, viabilidad financiera y características de privacidad que deben ser tenidos en cuenta.
6. Evitar el bloqueo
Esta última observación se aleja de los acuerdos de protección de datos para recoger la que es una de las prioridades de la mayoría de los Consejos de Administración en tiempos de incertidumbre: la competitividad. Existe un riesgo real de que los equipos de TI respondan ante los nuevos cambios bloqueando los servicios desconocidos, con la configuración predeterminada de "bloquear". Ahora bien, aunque el Shadow TI puede considerarse como una némesis perpetua, en ocasiones puede ser muy útil para mejorar la agilidad y la productividad, por lo que el bloqueo sistemático dista mucho de ser la respuesta ideal.
En este sentido, y en lugar de bloquear para frenar lo desconocido, lo ideal sería concentrar los esfuerzos en aumentar la visibilidad. Muchos monstruos imaginarios se desvanecen con la luz, y, los que no, pueden ser contrarrestados con mucha más eficacia.