En 2015 la ISO publicó la norma “ISO/IEC 27017 – Técnicas de seguridad – Código de prácticas sobre los controles de seguridad de la información para servicios de cómputo en la nube” y en el año 2019 la “ISO/IEC 27018 – Técnicas de seguridad – Código de prácticas para la protección de información personal en nubes públicas”. Como su nombre lo indica, buscan brindar una guía para la implementación de controles de seguridad y protección de información personal en la nube a través de los controles definidos en la norma ISO 27002.
Estas normas surgen a partir de la necesidad de la protección de la información derivado del uso del cómputo en la nube para las organizaciones y personas, los modelos de servicios en la nube como la infraestructura, la plataforma y el software como servicio, los modelos de despliegue en la nube y las responsabilidades de protección de información entre el proveedor y el cliente del servicio. En la sesión se revisaron temas relevantes como:
• Las normas ISO/IEC 27017 e ISO/IEC 27018 y el desarrollo de un programa de seguridad del cómputo en la nube.
• La gestión de riesgos en el cómputo en la nube y sus controles específicos de seguridad de la información.
• La gestión de la documentación y la concientización de la seguridad en el cómputo en la nube.
• La gestión de incidentes, desarrollo de pruebas, monitoreo y mejora de la seguridad en el cómputo en la nube.
Te compartimos la grabación completa de la sesión.
Revive el webinar Seguridad del Cómputo en la Nube
Si no puedes visualizar el webinar da clic aquí
Consulta las respuestas de Jorge Luna a las preguntas realizadas por la audiencia
PREGUNTAS
1.- Martha Castiblanco
¿Qué se debe hacer para la información personal que sale del país donde ha sido inicialmente creada?
En un ambiente Cloud hay que tomar en consideración los requerimientos legales o contractuales que limiten la gestión de la información fuera del país de origen (con el fin de evitar incumplimientos y posibles sanciones).
¿De quién es la responsabilidad y cómo solventar esta situación en el aspecto legal?
La principal responsabilidad será del dueño, socio(s) y director general de la organización la cual debe ser delegada al personal operativo y de servicio relacionado con la información en el cloud. Si existen restricciones legales o contractuales respecto a la gestión de la información fuera del país de origen hay que evaluar con el proveedor cloud la posibilidad de que la información se mantenga dentro de los límites geográficos del país o buscar otro proveedor que garantice el cumplimiento con el requisito.
2.- José Romero
Buen día. Tengo entendido que una de las diferencias entre la nube pública y privada, es que en la pública la infraestructura e información se puede encontrar en cualquier parte del mundo y en la privada se tiene focalizada en algún sitio en específico.
La principal diferencia entre la nube privada y publica es que la infraestructura y servicios de la nube privada son para uso exclusivo del cliente o propietario de la información, es decir, no se comparte con ningún otra compañía o cliente del proveedor de ser el caso.
Una nube privada y la información que en ella se gestiona se puede encontrar en México o en cualquier otra parte del mundo dependiendo de las necesidades de la organización. Principalmente se elige una nube privada debido al alto grado de sensibilidad de la información para un negocio donde no se puede aceptar el riesgo de que la misma se encuentre compartida con otras organizaciones como lo es en la nube pública a través de la llamada “tenencia múltiple”.
Conoce al ponente de este webinar
JORGE LUNA
Profesional de TI, Especialista en Seguridad de la Información. Gestión de Riesgos y Continuidad del Negocio
Te invitamos a leer “Seguridad del cómputo en la nube o cloud computing”