NTP ISO 27001

Existen muchos servicios cloud atractivos para las empresas como puede ser:

• Almacenamiento
• Backup
• Aplicaciones de oficina
• Servidores de correo
• Alojamiento web
• Gestión de contacto

Gracias a este abanico de servicios, las pequeñas y medianas empresas pueden valorar cada una de las ventajas que supone para su capital evitar importantes inversiones en software, hardware y personal técnico propio. No obstante, deben ser conscientes de lo que contratan.

 

Los servicios cloud ofrecen interesantes oportunidades para desarrollar trabajos colaborativos. Pues estos ofrecen mejoras en la seguridad si se compara con otras opciones más tradicionales.

Los riesgos valorados por el Instituto Nacional de Ciberseguridad (INCIBE) pueden clasificarse como dos elementos de gran importancia que deben recibir respuesta antes de decidirse por la contratación de cualquier tipo de servicio en la nube:

• ¿Cómo puede distinguirse entre las distintas opciones del mercado?
• ¿Cuál es la más segura?
• ¿Qué aspectos de seguridad del cloud deben considerarse antes de contratar?

La Guía de seguridad en cloud para PYMES de la Agencia Europea de Seguridad (ENSA) propone una serie de preguntas básicas que plantearnos antes de la compra:

Para el servicio que se quiere contratar, ¿cómo gestiona el proveedor los riesgos en relación a la seguridad de la información?

Una buena elección debería incorporar ciertos aspectos como puede ser un punto de contacto para incidentes de seguridad. O la política de seguridad del proveedor, así como sus dependencias con terceros. Es recomendable obtener el certificado en la NTP ISO 27001, además de los informes de cumplimiento y buenas prácticas.

¿Cómo maneja el proveedor los desastres que afecten a los centros de datos o a las conexiones?

En el supuesto de que suceda una catástrofe natural que pudiese afectar al proveedor en recomendable conocer en qué medida permanece activo el sistema cloud del mismo. Así como también de qué manera o cómo se deben llevar a cabo las copias de seguridad. Se deben conocer los planes de seguridad ante catástrofes, los tiempos de recuperación, etc.

¿Cómo se asegura la seguridad del servicio cloud en relación a disputas administrativas y cuestiones legales?

Debemos conocer cómo puede afectarnos que nuestro proveedor tuviese algún problema interno o con terceros, tanto de carácter administrativo como legal. Sobre todo, interesa conocer hasta que nivel se asegura el servicio por parte de los proveedores, cuestión que viene regulada en las cláusulas del contrato.

¿El proveedor nos garantiza que su personal trabaja con medidas de seguridad?

Los proveedores manifiestan y demuestran su profesionalidad a través de certificados profesionales, políticas de incorporación y formación de sus trabajadores. Es valorable la realización de simulacros de ataques para ver qué mecanismos utilizan.

¿Cómo se protegen nuestros procesos y datos de los accesos lógicos y físicos no autorizados?

Es interesante conocer qué tipo de medidas de control de acceso físico y logístico tienen las empresas proveedoras. Esto sirve de ayuda complementaria al Sistema de Gestión de Seguridad de la Información basado en la NTP ISO 27001.

¿Cómo garantiza la seguridad del software? ¿Qué software permanece bajo nuestra responsabilidad?

Para ello pueden solicitarse a los proveedores distintos informes de vulnerabilidad, o procedimientos de actualización y auditorías externas de dicho software.

¿Cómo se puede monitorizar el servicio, qué registros de actividad se toman y cómo podemos obtenerlos cuando necesitemos analizar un incidente?

Tenemos el derecho de poder acceder a los cuadros de mando donde se lleva a cabo la monitorización del rendimiento, además de las alertas y las cuestiones relacionadas con la seguridad del servicio. Junto a este derecho puede incorporarse una cláusula de recuperación de datos en caso de que sea necesario, conociendo así las causas de las desaparición de los mismos.

¿El servicio cloud es portable?

Dado que no sabemos que puede llegar a pasar en un futuro ni las decisiones que deberemos tomar, es recomendable conocer la posibilidad de portabilidad de nuestro sistema cloud. También puede ocurrir que se desee integrar dicho servicio con otra serie de aplicaciones. Por ello, el proveedor debe de facilitarnos los detalles técnicos del software para conocer al detalle estas cuestiones.

¿Qué legislación nacional supone?

Es importante conocer la legislación de aquellas regiones donde operan nuestros proveedores de cloud. Pues en la mayor parte de los casos, estos operan desde centros que se encuentran localizados a millones de kilómetros de nosotros.

 

Software ISO 27001

El Software ISOTools Excellence para la norma ISO 27001 ofrece solución a todas estas preguntas que se plantean a la hora de implementar un Sistema de Gestión de Seguridad de la Información en una organización. Toda protección es importante, por pequeña que sea, pues el mínimo descuido puede conllevar una violación de los datos de la misma.