Norma ISO 27001
Si en tu empresa se ofrecen servicios en la nube, es probable que muchos de sus clientes se pregunten cómo protege sus datos personales. La norma ISO 27001 es una buena aliada, pero los clientes más desconfiados le pueden pedir que cumpla con la ISO 27018 que se encuentra especializada en la protección de datos personales en la nube.
La norma ISO 27018 proporciona las directrices generales de seguridad para todos los proveedores de la nube y los clientes de dicha nube.
¿Qué es la ISO 27018?
La norma ISO 27018 “Requisitos para la protección de la información de identificación personal (PII) en sistemas cloud” se centra en proteger en los datos personales en la nube.
La norma ISO 27018 funciona de dos formas diferentes:
- Todos los controles de la norma ISO 27002 se incrementan usando diferentes elementos específicos para garantizar la privacidad de la nube.
- Facilitar nuevos controles de seguridad de todos los datos personales.
Una de las grandes diferencias de la norma ISO 27001 es que las empresas no pueden obtener la certificación con la norma ISO 27018, por lo que si su organización desea reclamar el reconocimiento de cumplimiento de la norma ISO 27018 debe ser en forma de autoevaluación.
Las adiciones a los controles ISO 27001 existentes
Las medidas que se sugieren en la norma ISO 27018 para incrementar los controles existentes son:
La ISO 27018 sugiere que las mayores adiciones se encuentran en la sección 12 “Seguridad de operaciones”, siendo esto lo principal para los controles:
- “Separación de desarrollo”, se prueban los entornos operativos: se utiliza como prueba para los datos personales.
- “Copia de seguridad de la información”: se tienen que llevar a cabo diferentes copias de datos para lo que se usan procedimientos para llevar a cabo las copias de seguridad en las que quede registrado cómo se recupera y como se borra la información.
- “Registro de eventos”: es un proceso para realizar la revisión de los registros, grabar el cambio de privacidad de la información y ofrecer información al cliente.
Dentro de la sección 12 de seguridad en las operaciones existen otros elementos adicionales en otras secciones que son más pequeñas.
Nuevos controles para la nube privacidad
Dentro del Anexo A de la norma ISO 27018 se enumeran los distintos controles adicionales, que no encontramos en la norma ISO 27001, por lo que deben ser implantados para incrementar el nivel de protección de los datos personales en la nube:
- Los derechos de los clientes a la hora de acceder y borrar todos los datos importantes.
- Se deben procesar los datos que cualquier cliente
- No usar los datos para marketing y publicidad.
- Eliminar todos los archivos temporales.
- Notificar el cliente en caso de llevar a cabo una solicitud de divulgación de los datos.
- Grabar las diferentes revelaciones de los datos personales.
- Revelar la información sobre los diferentes contratistas usados para procesar los datos personales.
- Notificar al cliente de forma inmediata en caso de que se produzca una violación de los datos.
- Gestión de los documentos para las políticas y procedimiento en la nube.
- Establecer una política de seguridad para el traslado y la eliminación de datos personales.
- Fijar los acuerdos de confidencialidad para todos los individuos que pueden acceder a los datos personales.
- Restringir la impresión de los datos personales.
- Contar con un procedimiento para restaurar los datos.
- Es necesario contar con una autorización para utilizar los datos fuera de las instalaciones.
- Se debe restringir el uso de los medios de comunicación que presenta la capacidad.
- El cifrado de los datos se transmite mediante las redes públicas.
- Destruir los medios de comunicación que se encuentran impresos que contengan datos personales.
- Usar identificaciones únicas para los clientes de la nube.
- Se debe ofrecer un registro de los accesos de los usuarios a la nube.
- Deshabilitar la utilización de todas las identificaciones de los usuarios en caso de que caduquen.
- Especificar que los controles de seguridad mínimos se garantizan en los contratos con los clientes.
- Revelar al cliente de la nube en que países se almacenan los datos.
- Asegurarse que todos los datos llegan al destino especificado.
Todo es de sentido común y puede ser muy útil que todos los controles figuren en un documento único. La ISO 27018 ofrece una explicación detallada sobre cada uno de los controles.
ISO 27001 o ISO 27018
Podemos verlo desde distintos puntos de vista, puede ser que dudemos a la hora de elegir la norma que más nos ayudará y saber si será la ISO 27001 o la ISO 27018. Pues a esta duda es fácil contestar, si usted busca ofrecer una buena publicidad de su organización es segura en la red debe utilizar la ISO 27001, ya que se puede certificar y ser mostrada a sus clientes, sin embargo la norma ISO 27018 es mucho mejor desde el punto de vista de seguridad específicamente en cloud, pero no se puede mostrar ningún certificado.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.
¿Desea saber más?
Entradas relacionadas
Compliance La ley 30424, ha sido modificada por el D. Leg. 1352, que exige la implantación de un…
Proveedores Hoy en día pocos fabricantes dan la importancia que tiene a auditar sus proveedores sin darse cuenta…
Ley 29783 Durante este artículo hablaremos sobre cómo se puede automatizar los requisitos establecidos en la ley 29783.…
Gestión del rendimiento La gestión del rendimiento es uno de los siete subsistemas que componen el Sistema Administrativo…