Cloud

Como utilizar la norma ISO 27001 para gestionar los servicios en el cloud

cloud

Cloud

Los servicios cloud son vendidos como soluciones, ya que puedes utilizar la herramienta en cualquier lugar y hora. Todo lo que necesitas es un ordenador y una conexión a internet para trabajar con datos, aplicaciones y recursos. Si bien desde el punto de vista del usuario esto es cierto, los servicios en el cloud dependen de una infraestructura física, que tiene que estar en alguna parte, y las decisiones de los proveedores sobre dónde se despliega una infraestructura pueden generar riesgos que deben ser tratados.

Durante este artículo queremos ofreceros los aspectos legales que deben tener en cuenta los usuarios de este servicio. Deberán evaluar los riesgos de un proveedor de servicio en el cloud para obtener los resultados esperados. La ISO 27001 y la ISO 27017 generan un código de buenas prácticas para controlar la seguridad de la información en los servicios que ofrece el cloud, pueden ayudar a abordar de forma adecuada y definir los controles de seguridad.

¿Por qué debería estar preocupado por donde mi proveedor de servicios cloud despliega su infraestructura?

En cada zona del mundo existe diferente legislación, reglamentos y otras cuestiones legales que definen los servicios como prestados o entregados. Su proveedor de cloud puede operar en una zona que tenga una legislación diferente a la suya. Las diferentes tesis jurídicas del servicio pueden dar lugar a riesgos inaceptables para su empresa, lo que supone la revisión de las condiciones del servicio o de los ajustes del plan de tratamiento de riesgos.

¿Cómo son los servicios cloud, localización geográfica, y las cuestiones legales relacionadas entre sí?

Antes de hablar sobre cómo pueden afectar las cuestiones legales a los riesgos del servicio cloud, es necesario comprender como se relaciona la ubicación geográfica. Lo primero que necesitamos saber es que el despliegue de la infraestructura física debe ser abordado desde dos puntos de vista diferentes:

  • Centralizado
  • Descentralizado

En este punto los recursos centralizados establecen una infraestructura física del servicio cloud, se centra en aprovechar la economía. Resulta rentable en las instalaciones que cuentan con un tamaño considerable.

Los recursos descentralizados, establecen una infraestructura física que se extiende para incrementar la disponibilidad y la introducción en nuevos mercados. Esto resulta en las instalaciones que se encuentran en diferentes lugares.

Después de seleccionar los lugares de despliegue más prometedores, la decisión final se examina como las leyes, los reglamentos y otras cuestiones legales que se aplican en los lugares potenciales que pueden afectar al costo y la rentabilidad operacional del proveedor. En este momento es el que los usuarios de servicios cloud deben prestar atención, porque la mejor solución para los proveedores no necesariamente significa que sea lo mejor para los clientes, y en algunos casos es todo lo contrario.

Una empresa debe identificar todos los requisitos legales aplicables del servicio cloud

Click To Tweet

Los riesgos legales para los servicios cloud derivados de la ubicación geográfica

Se debe tener en cuenta la infraestructura del servicio cloud. No debe ser la sede de su proveedor, o desde donde operan sus clientes, esto puede dar lugar a riesgos como:

  • La falta de requisitos legales en conflicto: en caso de litigio entre el usuario y el proveedor, las zonas grises en los sistemas legales involucrados pueden dar lugar a batallas que pueden durar varios años.
  • Las tendencias en los resultados en los ensayos legales: depende de las causas que pueden ser adjudicadas, como aspectos históricos o culturales que pueden recurrir los resultados más favorables.
  • El poder del gobierno sobre los datos: el gobierno local puede tener la autoridad para acceder a los datos almacenados en infraestructuras del cloud.
  • Tecnologías y controles limitados: algunas prácticas y tecnologías no pueden ser permitidas.

¿Cómo puede la norma ISO 27001 ayudar en el servicio cloud?

Según la norma ISO 27001, una empresa debe identificar todos los requisitos legales aplicables a sus servicios cloud. Realiza una evaluación de riesgos para identificar, analizar y evaluar los riesgos legales relativos a la ubicación de la infraestructura de proveedores de servicios cloud. Información útil se puede encontrar en el sitio de los proveedores y las búsquedas por internet.

Situaciones como el acceso limitado a los recursos, ubicaciones en zonas poco seguras y las lagunas en los requisitos legales deben dar lugar a una alerta.

Existen zonas seguras, sobre los recursos críticos, y los términos legalmente claros y justos de servicio que deben mejorar en la evaluación.

Nos debemos asegurar de que los proveedores seleccionados cumplirán con los controles de seguridad a los riesgos que considere pertinente. La norma ISO 27001 recomienda, abordar la seguridad dentro de los acuerdos con proveedores que han firmado acuerdos. Se deben incluir todos los requisitos de seguridad de la información. Los ejemplos que se incluyen, basados en la norma ISO 27001 como controles del Anexo A, son aplicaciones:

  • Defensa del perímetro interno
  • Controles de acceso
  • Planificación de recursos
  • Actividades y procesos para hacer frente a situaciones desastrosas en cuanto a la seguridad de la información
  • Derecho a la infraestructura del proveedor de auditoría

Estos ejemplos son las recomendaciones de la norma ISO 27017 que complementan los controles de la norma ISO 27001:

  • Determinación de las autoridades pertinentes teniendo en cuenta la ubicación en la que se almacena y procesan los datos y la información.
  • Definir las funciones de criptografía para ser puesto a disposición por el proveedor de servicios cloud que son a la vez aptos para fines comerciales y aceptados por la legislación y reglamentados en los lugares en los que los proveedores tienen su infraestructura.

La ubicación de la infraestructura cloud no es irrelevante

Uno de los principales beneficios operativos del cloud es la liberación de carga operativa. Puede esconder algunos peligros mediante la reducción de la percepción del usuario de los riesgos comunes de infraestructura y la adición de nuevos riesgos asociados a la difusión de esta misma infraestructura en regiones con diferentes requisitos legales.

Mediante el uso de la norma ISO 27001 se establecen controles recomendados, se puede retomar el control de dichos riesgos y garantizar que los proveedores de servicios cloud tienen la capacidad de ofrecer el rendimiento de servicio que se espera con la protección adecuada de la información.

Software ISO 27001

El Software ISOTools Excellence ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Volver arriba