Política de uso de la nube - PYME

La Política de uso de la nube P27S establece requisitos integrales pero prácticos para gestionar los servicios en la nube en entornos de pequeñas y medianas empresas (pymes). Reconociendo que las pymes a menudo carecen de departamentos de TI a gran escala, esta política está diseñada con responsabilidades claras y simplificadas, como asignar decisiones clave al Director General y al proveedor de TI o soporte técnico, en lugar de funciones especializadas de Director de Seguridad de la Información (CISO) o Centro de Operaciones de Seguridad (SOC), manteniendo a la vez una sólida alineación con los marcos ISO/IEC 27001:2022, GDPR, NIS2 y DORA. La política se aplica a todos los servicios basados en la nube, ya sean gratuitos o de pago, y cubre aplicaciones empresariales comunes como plataformas de compartición de documentos, herramientas SaaS, videoconferencia, correo electrónico, sistemas de respaldo y plataformas de clientes. Cualquier persona que acceda a datos de la empresa, incluso mediante móvil o tableta, debe seguir estas reglas, que exigen aprobación previa para todos los servicios en la nube y prohíben de forma expresa el uso de cuentas personales en la nube para datos empresariales, evitando los riesgos de servicios en la nube no autorizados. Debe mantenerse un registro de servicios en la nube claramente definido para hacer seguimiento de cada plataforma autorizada, la persona responsable, la ubicación de los datos, los permisos de acceso y la información de soporte. Los controles de seguridad son obligatorios: todas las plataformas en la nube deben aplicar autenticación multifactor (MFA) para usuarios y administradores; utilizar contraseñas robustas y complejas; proporcionar registro de auditoría de actividad y restricción de acceso (como listas de permitidos de IP cuando esté disponible); y realizar revisiones periódicas del contenido compartido. Cualquier incumplimiento, como olvidar deshabilitar un usuario o compartir públicamente datos sensibles, se clasifica como incidente de seguridad de la información y está sujeto a acciones correctivas, incluida la revocación de acceso, el reentrenamiento del usuario o, si es necesario, el escalado legal/regulatorio. La política establece requisitos estrictos para la política de conservación de datos y los sistemas de respaldo, indicando que los datos críticos para el negocio o datos regulados deben respaldarse de forma regular, conservarse para satisfacer obligaciones legales u obligaciones del cliente, y debe confirmarse la capacidad de exportación desde las plataformas en la nube para evitar el bloqueo del proveedor. Los contratos de servicios en la nube de pago deben especificar protección de datos, plazos de notificación de violaciones de seguridad notificables, propiedad de los datos y escalado definido. El cumplimiento se monitoriza con comprobaciones al menos dos veces al año sobre el acceso, la contraseña y el estado de administrador, y todas las excepciones documentadas a la política deben justificarse y aprobarse formalmente por el Director General, con controles compensatorios y fechas límite para su resolución. La revisión y la mejora continua están integradas: la política requiere una revisión anual, así como actualizaciones tras incidentes, la introducción de nuevas plataformas o cambios normativos. Los registros archivados se conservan de forma segura conforme a la política de conservación de datos, garantizando que toda la actividad en la nube sea auditable para requisitos internos y externos (incluidos los de ISO). Con su alcance focalizado, esta política proporciona a las pymes una estructura sólida pero manejable para gobernar el uso de la nube, habilitando cumplimiento normativo, gestión de riesgos y continuidad operativa.