ISO 27018 vs ISO 27001: Proteger la privacidad en la nube
ISO 27001
Si su organización ofrece servicios en la nube, es muy probable que muchos de sus clientes le pregunten cómo protege sus datos personales. La norma ISO 27001 es una buena aliada, pero algunos clientes, mas desconfiados, pueden pedirle que cumpla con la norma ISO 27018 especializada en la protección de datos personales en la nube.
El estándar ISO 27018 proporciona las directrices generales de seguridad para los proveedores de la nube y los clientes en la nube.
¿Qué es la ISO 27018?
La norma ISO 27018 “Requisitos para la protección de la información de identificación personal (PII) en sistemas cloud” se centra en la protección de los datos personales en la nube.
El estándar ISO 27018 funciona de dos formas:
- Los controles de la ISO 27002 se incrementan utilizando elementos específicos para garantizar la privacidad en la nube.
- Proporciona nuevos controles de seguridad de los datos personales.
Una de las principales diferencias con la norma ISO 27001 es que las organizaciones no pueden obtener la certificación con la norma ISO 27018, por lo que si su empresa quiere reclamar el reconocimiento del c cumplimiento de la norma ISO 27018 tendrá que ser en forma de autoevaluación.
Las adiciones a los controles ISO 27001 existentes
Las medidas que sugiere la norma ISO 27018 para incrementar los controles existentes son:
La norma ISO 27018 sugiere las mayores adiciones en la sección 12 de seguridad de las operaciones, esto es principal para los controles:
- 1.4 “Separación de desarrollo”, probando los entornos operativos: se utiliza como prueba para datos personales.
- 3.1 “Copia de seguridad de la información”: se deben realizar múltiples copias de datos para lo que se utilizan procedimientos para realizar las copias de seguridad en las que quede registrado cómo se recupera y como se borra la información.
- 4.1 “Registro de eventos”: es un proceso para llevar a cabo la revisión de los registros, grabar el cambio de privacidad de la información y ofrecer información al cliente.
Además de la sección 12 de seguridad de las operaciones existen otros elementos adicionales en otras secciones que son más pequeñas.
Nuevos controles para la nube privacidad
Dentro del Anexo A de la norma ISO 27018 se enumeran los diferentes controles adicionales, que no encontramos en la norma ISO 27001, por lo que deben ser implementados para incrementar el nivel de protección de los datos personales en la nube:
- Los derechos de los clientes a la hora de acceder y borrar datos importantes.
- Procesar los datos que cualquier cliente proporciona.
- No utilizar los datos para marketing y publicidad.
- Eliminar los archivos temporales.
- Notificaciones del cliente en caso de realizar una solicitud de divulgación de los datos.
- Grabar todas las revelaciones de los datos personales.
- Revelar la información sobre todos los contratistas utilizados para procesar los datos personales.
- Notificar al cliente inmediatamente en caso de que se produzca una violación de los datos.
- Gestionar los documentos para las políticas y procedimientos en la nube.
- Establecer una política de seguridad para el traslado y la eliminación de datos personales.
- Establecer acuerdos de confidencialidad para todas las personas que pueden acceder a los datos personales.
- Restringir la impresión de los datos personales.
- Contar con un procedimiento para la restauración de datos.
- Será necesario contar con una autorización para utilizar los datos fuera de las instalaciones.
- Restringir la utilización de los medios de comunicación que no tienen capacidad de cifrado.
- El cifrado de los datos se transmite mediante redes públicas.
- Destruir los medios de comunicación impresos que contengan datos personales.
- Utilizar identificaciones únicas para los clientes de la nube.
- Debe quedar un registro de los accesos de los usuarios de la nube.
- Deshabilitar la utilización de las identificaciones de los usuarios en caso de que caduquen.
- Especificar que los controles de seguridad mínimos se garantizan en los contratos con los clientes.
- Revelar al cliente de la nube en que países se almacenan sus datos.
- Asegurarse de que los datos llegan al destino.
Todo es de sentido común y me parece bastante útil que todos los controles que figuran en un documento único. La norma ISO 27018 ofrece una explicación detallada para cada una de las balas.
ISO 27001 o ISO 27018
Si esto lo vemos desde diferentes puntos de vista, dudaremos a la hora de elegir bien la norma que más nos ayudará será la ISO 27001 o la ISO 27018. Pues a esta duda es fácil contestar, si usted busca dar buena publicidad de que su empresa es segura en la red la ISO 27001 es su norma ya que puede certifícala y mostrarla ante sus clientes, sin embargo la ISO 27018 es mucho mejor desde el punto de vista de seguridad pero no puede mostrar ningún certificado.
Aunque también tiene la opción de utilizarlas juntas, es decir, la norma ISO 27001 le proporcionará el mejor marco para la gestión de la seguridad, mientras que la norma ISO 27018 proporciona excelentes detalles de seguridad específicamente en la nube. En mi opinión lo mejor sería comenzar con la ISO 27001 y añadir piezas de la norma ISO 27018 a medida que avanza en la implementación del proyecto.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.