ISO 27001: ¿Cómo se resuelven los problemas de seguridad en la nube?
ISO 27001
Durante el post de hoy queremos ver cómo la ISO 27001 e ISO 27017 pueden ayudar a las empresas a definir de forma adecuada las responsabilidades del entorno en la nube y asegurar la protección de la información.
Las soluciones en la nube son respuestas muy buenas para las organizaciones que buscan ahorrar costes y establecer una respuesta rápida. Las búsquedas en internet pueden mostrar cómo estas soluciones están creciendo de forma rápida. Están siendo adoptadas por las empresas de todos los tamaños, especialmente por parte de las empresas pequeñas y medianas.
Modelos de servicio en la nube
Antes de que se lleve a cabo la evaluación de la seguridad de la información, tenemos que entender cómo los servicios en la nube pueden ser proporcionados a los clientes. Los modelos de servicios de nube más comunes que encontramos en el mercado son:
- Infraestructura como servicio (IaaS). Modelo que sólo ofrece la infraestructura básica de computación,
- Plataforma como servicio (PaaS). Modelo que ofrece más allá de la infraestructura informática, un entorno de desarrollo para los desarrolladores de las aplicaciones.
- Software como servicio (SaaS). Modelo que ofrece a los usuarios finales el acceso a bases de datos y software de aplicación.
La complejidad aumenta de IaaS a SaaS, los activos que se encuentran bajo el control de la empresa comienzan a estar bajo el control del proveedor. Sin embargo, en cuanto a la seguridad de la información, algunas actividades deben permanecer bajo el control de la empresa.
Principales preocupaciones de seguridad de la información y los puntos que deben observarse
Desde el punto de vista de seguridad de la información, las principales preocupaciones que afectan a los modelos de nubes antes mencionados, y lo que debe tener el sentido común de considerar en términos de seguridad:
- Clasificación de la información, etiquetado y gastos de envío. Los datos almacenados y procesados en la nube se encuentran bajo la responsabilidad de la organización. La decisión final sobre la forma en la que se deben clasificar, etiquetar y ser manejados es del cliente. Por lo tanto, si todos los activos se encuentran bajo el control del proveedor, al igual que el método SaaS. La responsabilidad del cliente es con respecto a la seguridad de la información que cubre sólo la aplicación de los controles relacionados con la clasificación ofrecida por el cliente.
- Gestión de la identidad. En los métodos PaaS y SaaS, depende del Sistema de Gestión de Seguridad de la Información. Los grupos de usuarios se pueden dividir en los usuarios necesarios para mantener el funcionamiento del sistema. Los usuarios necesitan administrar el acceso a las funcionalidades de los sistemas y los usuarios finales. En un sistema similar, se debe mantener un control estricto sobre los cuales los usuarios pueden pertenecer a los distintos grupos.
- Monitoreo. Independiente del modelo de la nube adoptado, supervisar los datos puede estar relacionado con los activos de rendimiento o de procesamiento. La información sensible puede verse comprometida mediante los datos monitorizados, por lo que se pueden definir los datos que el proveedor puede controlar y que datos deben facilitarse.
- Privacidad. Este es quizás el aspecto más crítico de seguridad de la información que se relaciona con la adopción de la nube de servicios, ya que mediante el proveedor se puede acceder a todos los datos que se encuentran en la nube en cualquier momento. Las poblaciones en las que opera el proveedor de la nube pueden tener leyes y reglamentos que pueden presentar riesgos para la confidencialidad de la información.
El uso de la norma ISO 27017 para ayudar a los clientes y proveedores de definir las responsabilidades de seguridad en la nube
La norma ISO 27001 proporciona controles para asegurar las responsabilidades en relación con la definición adecuada en cuanto a la seguridad de la información. La norma ISO 27017 ofrece una visión integrada, teniendo en cuenta cómo los clientes y los proveedores deben realizar el mismo control.
Por lo tanto, las recomendaciones generales de la norma sobre las responsabilidades compartidas en entornos de nube puede describirse como:
- Las políticas de seguridad. Las empresas de los clientes deben indicar la relevancia del servicio en la nube para sus actividades de negocios y procesos de seguridad. Los proveedores deben indicar que los requisitos de los clientes de servicios en nube se deben considerar en la gestión de sus propios procesos de seguridad de la información.
- Cláusulas contractuales. Las empresas de los clientes deben incluir cláusulas en los SLA de la nube con respecto a todos los aspectos de seguridad de la información. Las clausulas deben cubrir todas las necesidades de la empresa, además de los propios clientes, incluyendo preocupaciones sobre la privacidad.
- Control de acceso y vigilancia. Los proveedores deben contar con funcionalidades disponibles para permitir que los clientes gestionen, controlen y supervisen las funciones por sí mismos. Depende de la intervención del proveedor.
Software ISO 27001
El Software ISOTools Excellence para la norma ISO 27001, se encuentra capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización. Además, este software permite la automatización del Sistema de Gestión de Seguridad de la Información.