Política de uso de la nube

La Política de uso de la nube (P27) proporciona un estándar unificado y obligatorio para adoptar, gestionar y gobernar servicios de computación en la nube, abarcando los modelos Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) y Software-as-a-Service (SaaS). Su objetivo es garantizar que todo el uso organizativo de plataformas en la nube sea seguro, cumpla con las obligaciones reglamentarias pertinentes y respalde la eficiencia operativa y la innovación, protegiendo la confidencialidad, integridad y disponibilidad (CID) de los activos de información. El alcance de la política es integral y se aplica a todos los empleados, contratistas, proveedores terceros y consultores que participen en cualquier aprovisionamiento, configuración, administración o uso de servicios en la nube. Este alcance se extiende a despliegues de nube pública, privada, híbrida y comunitaria, cubre todas las clasificaciones de datos e incluye explícitamente tanto entornos internos como entornos alojados por el proveedor, así como la prevención de servicios en la nube no autorizados y del uso de nubes personales con fines empresariales. Los objetivos clave de la política incluyen: definir directrices y líneas base claras para la adopción de la nube, minimizar los riesgos operativos y de cumplimiento normativo (como configuraciones incorrectas, violaciones de la seguridad de los datos y acceso no autorizado) y exigir controles sólidos de seguridad y privacidad mediante obligaciones contractuales, evaluación continua y derechos de auditoría para todos los proveedores de nube. La política exige el mantenimiento central de un inventario de activos de servicios en la nube, supervisado por el Director de Seguridad de la Información (CISO), que cataloga proveedores aprobados, tipos de servicio, calificaciones de riesgo, propietarios del negocio y atributos contractuales, respaldando una gestión rigurosa del ciclo de vida y la monitorización continua del cumplimiento. Los roles y responsabilidades se delimitan con precisión, asignando funciones de gestión y supervisión entre la alta dirección, el Director de Seguridad de la Información (CISO), el Arquitecto de seguridad en la nube, Operaciones de TI, Adquisición, Legal y Cumplimiento, los propietarios de datos y los usuarios finales. La política aplica controles técnicos y procedimentales estrictos: gestión de identidades y accesos basada en identidades (con RBAC y autenticación multifactor obligatorios para cuentas administrativas), configuraciones de seguridad de línea base, cifrado (utilizando estándares aprobados por NIST), requisitos de registro de auditoría e integración del servicio en la nube con sistemas de Security Information and Event Management (SIEM). Los contratos con proveedores de nube deben abordar derechos de auditoría, notificación de violaciones de seguridad, devolución/supresión de datos y monitorización del cumplimiento. Los datos solo pueden transferirse a la nube tras su clasificación de datos, y las transferencias transfronterizas deben cumplir con normativas establecidas como el GDPR. La gestión del riesgo es central: cualquier desviación requiere excepciones documentadas, planes de tratamiento de riesgos detallados, aprobación por el Director de Seguridad de la Información (CISO) o el Arquitecto de seguridad en la nube, y revisión multinivel para escenarios de alto riesgo. La gobernanza continua se refuerza mediante monitorización continua del cumplimiento, integración con la respuesta a incidentes (escalada a través de la Política de respuesta a incidentes (P30)), revisiones anuales y actualizaciones intermedias impulsadas por resultados de incidentes, migraciones o cambios normativos. Los incumplimientos de las disposiciones de la política, como el uso de cuentas en la nube no autorizadas o la omisión de controles requeridos, activan un abanico de consecuencias, desde formación hasta acciones legales o terminación. La Política de uso de la nube se interrelaciona con políticas relacionadas sobre política de seguridad de la información, gestión de cambios, clasificación de datos, criptografía, registro de auditoría y monitorización, respuesta a incidentes y auditoría y cumplimiento, reforzando aún más su papel como base autorizada de gobernanza de la nube.