ISO 27017, ISO 27018 e ISO 27036: Guías de buenas prácticas en Cloud Computing
Se espera que el estándar ISO/IEC 27017 sea una guía o código de buenas prácticas para la aplicación de controles de seguridad de información en sistemas o servicios basados en computación en nube.
Esta norma proporcionará orientación sobre los elementos de seguridad de la información y aspectos de la computación en nube. Será acompañado por la norma ISO/IEC 27018, que cubre los aspectos de privacidad de la computación en nube, e ISO/IEC 27036 la guía de seguridad para para el Outsourcing.
Esta norma está aún en proceso de desarrollo, por lo que no sabemos todavía si responderá a muchas de las preguntas que hoy en día nos hacen nuestros clientes cuando se plantean si volcar sus servicios en la nube.
De todas formas, aquí va una relación de 10 de ellas – relacionadas con la seguridad - que deberían ser consideradas por una empresa para ayudarle a determinar si una implementación de nube es adecuada o no:
1. ¿Cómo podría cambiar mis niveles de riesgo un despliegue en la nube?
2. ¿Qué tengo que hacer para asegurarme de que el servicio cloud que pretendo contratar no contraviene mi política de seguridad?
3. Si contrato estos servicios en la nube ¿Podría comprometer mi compromiso de cumplimiento con la legislación vigente en mi país?
4. El proveedor de servicios cloud que estoy barajando ¿Está certificado en algunas de las normas o mejores prácticas de seguridad? (ISO 27001, ISO 20000, WS Trust…)
5. ¿Qué sucede si se produce una violación? ¿Cómo es el proceso de gestión de incidentes del proveedor?
6. ¿Quién es la entidad responsable de la seguridad de mis datos? ¿El proveedor de manera directa? O ¿Existen intermediarios o terceras partes?
7. ¿Cómo puedo asegurar que sólo muevo a la nube los datos necesarios de indispensables y no información adicional que pueda comprometerme?
8. ¿Cómo me aseguro sólo mis empleados autorizados, mis socios y los clientes que yo especifique pueden acceder a mis datos y aplicaciones y nadie más?
9. ¿Cómo están mis datos y aplicaciones alojadas? ¿Qué medidas de seguridad usa mi proveedor?
10. ¿Cuáles son los factores que me dicen que puedo confiar en este proveedor?
Según parece, esta nueva norma no será certificable aunque podrá ser utilizada, como la ISO 27002, como fuente de contramedidas de seguridad a aplicar a servicios en la nube.
O lo que es lo mismo. Por el momento, los proveedores de servicios cloud que pretendan dotar de confianza y de una gestión eficiente en seguridad a sus servicios en la nube, deberán de considerar la norma ISO 27001 como el esquema de certificación recomendado.
Fuente: Segu-Info
Esta norma proporcionará orientación sobre los elementos de seguridad de la información y aspectos de la computación en nube. Será acompañado por la norma ISO/IEC 27018, que cubre los aspectos de privacidad de la computación en nube, e ISO/IEC 27036 la guía de seguridad para para el Outsourcing.
Esta norma está aún en proceso de desarrollo, por lo que no sabemos todavía si responderá a muchas de las preguntas que hoy en día nos hacen nuestros clientes cuando se plantean si volcar sus servicios en la nube.
De todas formas, aquí va una relación de 10 de ellas – relacionadas con la seguridad - que deberían ser consideradas por una empresa para ayudarle a determinar si una implementación de nube es adecuada o no:
1. ¿Cómo podría cambiar mis niveles de riesgo un despliegue en la nube?
2. ¿Qué tengo que hacer para asegurarme de que el servicio cloud que pretendo contratar no contraviene mi política de seguridad?
3. Si contrato estos servicios en la nube ¿Podría comprometer mi compromiso de cumplimiento con la legislación vigente en mi país?
4. El proveedor de servicios cloud que estoy barajando ¿Está certificado en algunas de las normas o mejores prácticas de seguridad? (ISO 27001, ISO 20000, WS Trust…)
5. ¿Qué sucede si se produce una violación? ¿Cómo es el proceso de gestión de incidentes del proveedor?
6. ¿Quién es la entidad responsable de la seguridad de mis datos? ¿El proveedor de manera directa? O ¿Existen intermediarios o terceras partes?
7. ¿Cómo puedo asegurar que sólo muevo a la nube los datos necesarios de indispensables y no información adicional que pueda comprometerme?
8. ¿Cómo me aseguro sólo mis empleados autorizados, mis socios y los clientes que yo especifique pueden acceder a mis datos y aplicaciones y nadie más?
9. ¿Cómo están mis datos y aplicaciones alojadas? ¿Qué medidas de seguridad usa mi proveedor?
10. ¿Cuáles son los factores que me dicen que puedo confiar en este proveedor?
Según parece, esta nueva norma no será certificable aunque podrá ser utilizada, como la ISO 27002, como fuente de contramedidas de seguridad a aplicar a servicios en la nube.
O lo que es lo mismo. Por el momento, los proveedores de servicios cloud que pretendan dotar de confianza y de una gestión eficiente en seguridad a sus servicios en la nube, deberán de considerar la norma ISO 27001 como el esquema de certificación recomendado.
Fuente: Segu-Info
Comentarios
Publicar un comentario