ISO 27001: Los requisitos legales en el cloud
ISO 27001
La implantación de un Sistema de Gestión de la Seguridad de la Información basado en la norma ISO 27001 aumenta la seguridad a la hora de trabajar con el cloud. Al surgir las soluciones cloud se ha transformado el modelo de prestación de servicios TIC en las organizaciones.
El principal objetivo de utilizar el modelo cloud es mejorar la eficacia y la eficiencia de los servicios prestados a los clientes de las empresas, y no como se piensa que está ligado a la mejora tecnológica. Por lo que la mejora en los servicios prestado es el detonante para utilizar el sistema cloud, y cada día son más las organizaciones que lo incorporan a sus sistemas.
Hoy día ya conviven sistemas de cloud basados en modelos públicos y otros que están basados en modelos de cloud privada. Referente a la cloud pública el mayor exponente que podemos encontrar el correo electrónico. Para ofrecer este servicio debemos tener en cuenta que hay unos condicionantes que deben ser mantenidos para ofrecer un buen servicio, es decir, no se puede permitir la organización que se sistema se quede obsoleto, por lo que debe tener una partida económica destinada a la actualización del sistema.
El correo electrónico ha pasado de ser un servicio poco usado a ser un servicio utilizado a diario por parte de las organizaciones, ya que mejoran la comunicación entre sus empleados. La apuesta por el cloud público no es exclusivo de algunas organizaciones, sino que por el contrario son muchas las empresas que se inclinan por este servicio, aunque las organizaciones están evolucionando hacia el cloud privado que ofrece mucha más seguridad respecto a la información que se intercambia entre los usuarios, para realizar el cambio se deben transformar los CPDs.
Para realizar una consolidación se pueden incorporar tecnologías de virtualización, que no es exactamente cloud pero si forma parte del camino a recorrer. Los resultados que se obtengan de realizar la virtualización resultan interesantes para consolidar los proyectos clave en el diseño de la solución generada para la plataforma de la prestación de servicios de cloud privada.
Se puede utilizar la misma arquitectura realizar para consolidad el CPD durante el comienzo del despliegue de todas las tecnologías necesarias para utilizar los servicios que ofrece el sistema TIC de la organización. La virtualización de las sesiones previstas para cada usuario facilita la utilización del uso masivo de terminales ligeros abriendo un amplio rango de posibilidades para los usuarios, aunque esto tiene sus inconvenientes que pueden minimizarse gracias a la norma ISO27001 que nos das la pautas para conseguir la mayor seguridad posible.
Consolidar las diferentes formas de entrar al mismo portal de aplicaciones multidispositivo facilita el acercamiento de los usuarios de la herramienta al servicio TIC de la organización.
El concepto de cloud lleva generando controversia desde hace mucho tiempo en foros del sector TIC. Las empresas se encuentran ajenas a esta situación y de una forma u otra, el concepto, las posibilidades que genera y el cambio de paradigma cada día se encuentran más presentes en las preocupaciones de empresarios y de responsables TIC.
El cambio de paradigma en el papel que tienen las TIC en las organizaciones es lo que más preocupa hoy en día. El cloud como abanico de solución para los servicios TIC lleva consigo una serie de condiciones que no pueden ser vinculadas inicialmente al TIC, como puede ser las condiciones jurídicas y las organizativas, que toman su propio protagonismo a la hora de adoptar los servicios cloud, en mayor caso en el cloud público.
Cómo aparentemente parece bastante sencilla la adquisición del cloud y sus servicios, así como la desvinculación de este sistema tecnológico, puede llevar a la organización ha adquirir este sistema sin tomas la precauciones técnicas necesarias que deben ser tomadas por los responsables TIC de la organización. Surge la necesidad de incorporar la participación de los responsables en el ámbito funcional a los servicios cloud, para ello se establece un contexto diferente al establecido habitualmente en servicio TIC. Mientras que por parte de los responsables TIC deben entender el papel que tienen como prescriptores, los responsables del ámbito funcional deben entender las responsabilidades y los riegos que se asume cuando se adquiere el cloud. La norma ISO-27001 puede facilitar mucho el trabajo realizado por los responsables.
Las organizaciones deben llevar un camino que se inicia en el paradigma de las relaciones entre los responsables y la situación organizativa. Los proyectos encargados de adaptar los requisitos jurídicos a los proyectos de administración electrónica son piezas claves para demostrar que dichos proyectos, si no tienen una amplia base tecnológica, no será posible llevar a buen fin sin una adecuada dirección que gestione las condiciones jurídicas, técnicas y organizativas. El éxito que se alcance en este tipo de proyectos asegura el nivel de madurez de la organización a la hora de implementar el sistema cloud.
Las condiciones jurídicas que rodena a las soluciones cloud, deben ser perfectamente estudiadas por la organización antes de implementarla. Se debe realizar un examen minucioso sobre las condiciones jurídicas que afectan a la organización.
La madurez que tenga la organización a la hora de contemplar los requisitos legales exigidos en materia de protección de datos puede verse influenciada por la implantación de un Sistema de Gestión de la Seguridad de la Información basado en la norma ISO 27001, ya que este tema debe considerarse a la hora de implantar el proyecto de cloud. Otro factor a tener en cuenta es la producción que generan los usuarios al utilizar el cloud. La confidencialidad de la información es el aspecto más importante a tener en cuenta a la hora de utilizar el cloud, para asegurar dicha confidencialidad podemos utilizar las ventajas que nos ofrece la norma ISO27001.
Sin embargo, las condiciones legales no deben convertirse en una barrera para aprobar modelos cloud, aunque si es un requisito indispensable a tener en cuenta a la hora de implantar la modalidad del servicio.
SGSI
El Software ISO para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información ISO-27001, lo cual aporta un ahorro de recursos, entre ellos dinero y tiempo.