TIPO DE DOCUMENTO:
Traducción no oficial
TÍTULO:
Texto para ISO/IEC 5th WD 27017 basado en DoC (N12767) – Tecnologías de la Información – Técnicas de Seguridad - Código de buenas prácticas para controles de seguridad de información en sistemas o servicios de computación en nube basados en ISO/IEC 27002.
FECHA DEL DOC. ORIGINAL: ORIGINAL:
14-06-2013
FECHA DE TRADUCCIÓN: TRADUCCIÓN:
01-02-2018
ESTADO:
Traducción en concordancia con el documento de la Resolución 5 (contenido en el SC 27 N12440) de la 46th conferencia del SC 27/WG 1 en Sophia Antipolis (France), 26 de Abril del 2013. Favor de enviar consultas, comentarios o mejoras al presente documento a
[email protected] [email protected].. Linkedin: https://www.linkedin.com/in/diego-adri%C3%A1nn%C3%BA%C3%B1ez-noriega-476b94b/
VERSIÓN DEL DOCUMENTO:
01
N° DE PÁGINAS:
53
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 1
CONTENIDO PREFACIO………………………………………………………………………………………………………………………………… 1. INTRODUCCIÓN……………………………………………………………………………………………………………….. 1.1-Visión 1.1- Visión general…….……………………………………………………………………………………………….. 1.2-Necesidades 1.2- Necesidades actuales ………………………………………………………………………………………….. 1.3-Objetivos 1.3- Objetivos…………………………………………………………………………………………………………….. 2. ALCANCE………………………………………………………………………………………………………………………….. 3. REFERENCIAS NORMATIVAS……………………………..…………………………………………………………….. 4. VISIÓN GENERAL………………………………………………………………………………………………………………. 4.1-Estructura 4.1- Estructura de este standard………………………………………………………………………………… 4.2-Relación 4.2- Relación con otros estándares…………………………………….…………………………………….. 4.3-Relaciones 4.3- Relaciones entre clientes y proveedores de servicios en la nube ……………………….. 4.3.1- Relaciones entre clientes y proveedores de servicios en la nube ….... 4.3.2- Relaciones con el supplier en servicios en la nube …….……………………. 4.4-Evaluación 4.4- Evaluación de riesgos de seguridad de la información en servicios en la nube…... 5. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN…………………………….……………………………… 5.1-Gestión 5.1- Gestión de la alta dirección para seguridad de la información…………………………... 5.1.1- Políticas para la seguridad de la información…………………………………… 5.1.2- Revisión de las políticas de seguridad de la información…………………. 6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN………………………………………………. 6.1-Organización 6.1- Organización Interna………………………………………………………………………………………..…. 6.1.1- Roles y responsabilidades de seguridad de la información………………. 6.1.2- Segregación de funciones………………………………………………..………………. 6.1.3- Contacto con autoridades……………………………………………………………..…. 6.1.4- Contacto con grupos especiales de interés ……………………………………. 6.1.5- Seguridad de la información en la gestión de proyectos………………. 6.2-Dispositivos 6.2- Dispositivos móviles y teletrabajo ………………………………………………………………………. 6.2.1 Política de dispositivos dispositivos móviles………………………………………………………. 6.2.2 Teletrabajo………………………………………………………………………………………. 7. SEGURIDAD DE LOS RECURSOS HUMANOS ………………………………………………………..…………. 7.1- Antes del empleo ……………………………………………………………………………………………….. 7.1.1- Selección……………………………………………………………………..……………………. 7.1.2- Términos y condiciones del empleo ………………….……………………………. 7.2- Durante el empleo …………………………………………………………………………………..…………. 7.2.1- Responsabilidades de la Gerencia …………………………………………….………. 7.2.2- Conciencia, educación y capacitación sobre la seguridad de la información………………………………………………………………………………..…………………. 7.2.3- Proceso disciplinario………………………………….…………………..…………………. 7.3- Terminación y cambio de empleo ………………………………………………..………………….. Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
7 8 8 8 8 8 8 9 9 11 11 11 11 11 12 12 12 13 13 13 13 14 14 14 14 14 15 15 15 15 15 15 15 15 15 16 16
Página 2
7.3.1- Terminación o cambio de responsabilidades del empleo……….……….. 8. GESTIÓN DE ACTIVOS………………………………………………………………………………..………………….. 8.1- Responsabilidad por los activos …………………………………………………………………….. 8.1.1- Inventario de activos ………………….………………………………..…………………. 8.1.2- Propiedad de los activos ………………….………………………………..…………….. 8.1.3- Uso aceptable de los activos ………………………………………..………………….. 8.1.4- Retorno de activos………………….………………………………..……………………… 8.2- Clasificación de la Información ………………….………………………………..………………….. 8.2.1- Clasificación de la información………………….……………………………………. 8.2.2- Etiquetado de la información ………………….………………………………………. 8.2.3- Manejo de activos………………….…………………………………………………….…. 8.3- Manejo de los medios………………….…………………………………………………………………. 8.3.1- Gestión de medios removibles ………………….……………………………………. 8.3.2- Eliminación de medios ………………….……………………………………………..…. 8.3.3- Transferencia de medios físicos ………………….………………………….………. 9. CONTROL DE ACCESO………………….…………………………………………………………….……………………. 9.1- Requisitos de la empresa para el control de acceso ………………….…………….……. 9.1.1- Política de control de acceso………………….………………………………………. 9.1.2- Acceso a redes y servicios de red ……………….………………………………….. 9.2- Gestión de acceso de usuario ………………….………………………………………..……………. 9.2.1- Registro y baja de usuarios ………………….…………………….……………………. 9.2.2- Aprovisionamiento de acceso a usuario ………………….…………..…………. 9.2.3- Gestión de derechos de acceso privilegiados ………………….……………… 9.2.4- Gestión de información de autentificación secreta de usuarios ……. 9.2.5- Revisión de derechos de acceso de usuarios ………………….………………. 9.2.6- Retiro o ajuste de derechos de acceso ………………….……………………….. 9.3- Responsabilidades de los usuarios ………………….……………………………………………… 9.3.1- Uso de información de autentificación secreta…………….………………. 9.4- Control de acceso al sistema y aplicación ………………….…………………………..………. 9.4.1- Restricción de acceso a la información ……………………………………………. 9.4.2- Procedimientos de ingreso seguro ………………….……………………….……. 9.4.3- Sistema de gestión de contraseñas ………………….……………………….……. 9.4.4- Uso de programas utilitarios privilegiados ……….……………………….……. 9.4.5- Control de acceso al código fuente de los programas…………………..…. 10. CRIPTOGRAFÍA…………………………………………………………………………………………………………...…. 10.1- Controles criptográficos ………………………………………………………………………..…..…. 10.1.1- Política sobre el uso de controles criptográficos …………………..…….. 10.1.2- Gestión de claves………………………………………………………………………..…. 11. SEGURIDAD FÍSICA Y AMBIENTAL ………………………………………………………………………..……… 11.1- Áreas seguras…………………………………………..………………………………………………..…. 11.1.1- Perímetro de seguridad física…………………………………………………………. 11.1.2- Controles de ingreso físico…………………………………………………………..…. 11.1.3- Asegurar oficinas, áreas e instalaciones……….……………………….………. 11.1.4- Protección contra amenazas externas y ambientales……….…….…. 11.1.5- Trabajo en áreas seguras……….……………………….……………………………. 11.1.6- Áreas de despacho despacho y carga……….…………………………………………….……. Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
16 16 16 16 17 17 17 18 18 18 18 18 18 18 18 18 18 19 19 19 19 19 19 20 20 20 20 20 20 20 21 21 21 22 22 22 22 22 23 23 23 23 24 24 24 24
Página 3
11.2- Equipos……….………………………………………………………………………………………….……. 11.2.1- Ubicación y protección de de los equipos……….……………………….……….. 11.2.2- Servicios de suministro……….……………………………………………….….……. 11.2.3- Seguridad del cableado c ableado……….……………………….………………………………. 11.2.4- Mantenimiento de de equipos……….………………………………….……….……. 11.2.5- Retiro de activos ……….……………………………………………..…………….……. 11.2.6- Seguridad de equipos y activos fuera de las instalaciones…….…….. 11.2.7- Disposición o reutilización reutilización segura de equipos……….…………….……….. 11.2.8- Equipos de usuario desatendidos ……….……………………………..……….. 11.2.9- Política de escritorio limpio y pantalla limpia ……….…………….……….. 12 SEGURIDAD DE LAS OPERACIONES……….……………………………………………………………...……….. 12.1- Procedimientos y responsabilidades operativas ……….……………………….……….. 12.1.1- Procedimien P rocedimientos tos operativos documentados……….……………….……….. 12.1.2- Gestión del cambio……….……………………….………………………………….….. 12.1.3- Gestión de la capacidad……….……………………….…………………………….….. 12.1.412.1.4 - Separación de los entornos de desarrollo, pruebas y operaciones 12.2- Protección contra software malicioso (malware) ……….………………………….….. 12.2.1- Controles contra software malicioso (malware) ……….…………….….. 12.3- Respaldo Respaldo……….……………………….………………………………………………………….……….….. 12.3.1- Respaldo de la información….…………….……….…………………………….….. 12.4- Registros y monitoreo ….…………….……….…………………………………………………….….. 12.4.1- Registro de eventos….…………….……….………………………………….…….…. 12.4.2- Protección de información de registros. ….………………….………….….. 12.4.3- Registros del administrador y del operador ….…………….……….………. 12.4.4- Sincronización de reloj ….…………….……….…………………..……………….….. 12.5- Control del software operacional….…………….………….….…………………………….….. 12.5.1- Instalación de software en sistemas operacionales ….………..…….….. 12.6- Gestión de vulnerabilidad vulnerabilidad técnica ….…………….………….….…………………………….…. 12.6.1- Gestión de vulnerabilidades técnicas….…………….………….….……….….. 12.6.2- Restricciones sobre la instalación de software ….…………….……….….. 12.7- Consideraciones para la auditoría de los sistemas de información…………………. 12.7.1- Controles de auditoría de sistemas de información …………………..…. 13. SEGURIDAD DE LAS COMUNICACIONES…………………………………………………………………………. 13.1- Gestión de seguridad de la red………………………………………………………………………. 13.1.1- Controles de la red …………………………………………………………………………. 13.1.2- Seguridad de servicios de red …………………………………………………………. 13.1.3- Segregación en redes……………………………………………………………………... 13.2- Transferencia de información………………………………………………………………………... información…….. 13.2.1- Políticas y procedimientos procedimientos de transferencia de la información…….. 13.2.2- Acuerdo sobre transferencia de información ………………………………... 13.2.3- Mensajes electrónicos electrónicos…………………………………………………………………..... 13.2.4- Acuerdos de confidenciali c onfidencialidad dad o no divulgación……………………………... 14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS ………………………………….. 14.1- Requisitos de seguridad de los sistemas de información ……………………………….. 14.1.1- Análisis y especificación de requisitos de seguridad de la Información………………………………………………………………………………………………. Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
24 24 24 24 24 25 25 25 25 25 25 25 25 25 26 28 28 28 28 28 29 29 29 29 29 29 29 30 30 30 31 31 31 31 31 31 31 32 32 32 32 32 32 32
33
Página 4
14.1.214.1.2 - Aseguramiento de servicios de aplicaciones aplicacio nes sobre redes públicas 33 14.1.3- Protección de transacciones transacciones en servicios de aplicación ………………. 33 14.2- Seguridad en los procesos de desarrollo y soporte ……………………………………. 33 14.2.1- Política de desarrollo desarrollo seguro……………………………………………………… . 34 14.2.2- Procedimientos de control de cambio del sistema ……………………… 34 14.2.3- Revisión técnica de aplicaciones después de cambios a la plataforma operativa…………………………………………………………………………………… 34 14.2.4- Restricciones sobre cambios a los paquetes de software …….………… 34 14.2.5- Principios de ingeniería de sistemas seguros…………………………….…… 34 14.2.6- Ambiente de desarrollo seguro …………………………………………………… 34 14.2.7- Desarrollo contratado externamente…………………………………..……… 34 14.2.8- Pruebas de seguridad del sistema ……………………………….……………… 34 14.2.9- Pruebas de aceptación del sistema………………..…………….……………… 34 14.3- Datos de prueba …………………………………………………………………………………………..… 35 14.3.1- Protección de datos de prueba ……………………………………………………..… 35 15. RELACIONES CON LOS PROVEEDORES………….………………………………………………………………… 35 15.1- Seguridad en las relaciones con los proveedores…………………………………………… 35 15.1.1- Política de seguridad de la información para las relaciones con los proveedores …………………………………………………………………………………… .. 35 15.1.2- Abordar la seguridad dentro de los acuerdos con proveedores ….. 35 15.1.3- Cadena de suministro de tecnología de información y comunicación 36 15.2- Gestión de entrega de servicios del proveedor …………………………………………… 36 15.2.1- Monitoreo y revisión de servicios del proveedor ………….………………… 36 15.2.2- Gestión de cambios a los servicios de proveedores………………………… 37 16. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN ……………………………….… 37 16.1- Gestión de incidentes de seguridad de la información y mejoras…..…………… 37 16.1.1- Responsabilidades y procedimientos………………………………………….…… 37 16.1.2- Reporte de eventos de seguridad de la información……………………… 37 16.1.3- Reporte de debilidades de seguridad de la información …………..…… 37 16.1.4- Evaluación y decisión sobre eventos de seguridad de la información 37 16.1.5- Respuesta a incidentes de seguridad de la información ……………….. 38 16.1.6- Aprendizaje de los incidentes de seguridad de la información …….. 38 16.1.7- Recolección de evidencia …………………………………………………………….. 38 17. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO…………………………………………………………………………………………………………………….. 39 17.1- Continuidad de seguridad de la información………………………………………………. 39 17.1.1- Planificación de continuidad de seguridad de la información ………. 39 17.1.2- Implementación de continuidad de seguridad de la información … 39 17.1.3- Verificación, revisión y evaluación de continuidad de seguridad de la información………………………………………………………………………………………. 39 17.2- Redundancias…………………………………………………………………………………………………… . 40 17.2.1- Disponibilidad de Instalaciones de procesamiento de la información ………………………………………………………………………………………………… …………………………………………… ……… 40 18. CUMPLIMIENTO…………………………………………………………… 18.1- Cumplimiento con requisitos legales y contractuales contractuales ………………………………… . 40 18.1.1- Identificación de requisitos contractuales y de legislación aplicable.. 40 18.1.2- Derechos de propiedad intelectual intelectual………………………………………………. 40 Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 5
18.1.3- Protección de registros………………………………………………………………… 18.1.4- Privacidad y protección de datos personales …………………………………… 18.1.5- Regulación de controles c ontroles criptográficos criptográficos………………………………………… . 18.2- Revisiones de seguridad de la información ………………………………………………… .. 18.2.1- Revisión independiente de la seguridad de la información ……………. 18.2.2- Cumplimiento de políticas y normas de seguridad ………………………... 18.2.3- Revisión del cumplimiento técnico ………………………………………………… ANEXO A: CONJUNTO DE CONTROL EXTENDIDO DEL SERVICIO DE CLOUD COMPUTING NORMATIVO)…………………………………………………………………………………………………… CLD.6.3- Relación entre el cliente y el proveedor del servicio en la nube ……………… CLD.6.3.1- Demarcación de responsabilidad ……………………………………………… CLD.6.3.2- Sistema de Intercambio de Información…………………………………… CLD.9.5- Control de acceso de los datos del cliente del servicio en la nube en un entorno virtual compartido ………………………………………………………………………... CLD.9.5.1- Protección del entorno virtual………………………………………………….. CLD.12- Seguridad de las Operaciones……………………………………………………………………………... CLD.12.4- Logeo y Monitoreo..……………………………………………………………………………... CLD.12.4.5- Registro de operaciones de clientes del servicio en la nube Con privilegios …………………………………………………………………………………….…... CLD.13- Seguridad de las Comunicaciones ……………………………………………………………………… .. CLD.13.1- Gestión de Seguridad de la Red ……………………………………………………………. CLD.13.1.4- Cooperación de configuraciones entre red virtual y física……… CLD.16- Gestión de Incidentes de Seguridad de la Información ……………………………………… ... CLD.16.1- Gestión de incidentes de seguridad de la información y mejoras …………. CLD.16.1.8- Implementación del proceso de distribución rápida de información sobre incidentes de seguridad de la información en el entorno de la nube…………….. ANEXO B: RIESGOS DE SEGURIDAD DE LA INFORMACIÓN RELACIONADOS RELACIONADOS A LA NUBE…………. B.1- Amenazas para el cliente del servicio en la nube……………………………………………… B.2- Amenazas para el proveedor de servicios en la nube……………………………………… . BIBLIOGRAFÍA……………………………………………………………………………………………………………………… ..
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
40 41 41 41 41 41 42 43 43 43 43
44 44 44 44 45 43 45 45 45 45 46 47 48 50 52
Página 6
PREFACIO ISO (Organización Internacional para la Estandarización) e IEC (Comisión Electrotécnica Internacional) forman el sistema especializado para la estandarización mundial. Los organismos nacionales que son miembros de ISO o IEC participan en el desarrollo de Normas Internacionales a través de comités técnicos establecidos por la organización respectiva para tratar campos particulares de actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en coordinación con ISO e IEC, también participan en el trabajo. En el campo de la tecnología de la información, ISO e IEC han establecido un comité técnico conjunto, ISO/IEC JTC 1. Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en las Directivas ISO / IEC, Parte 2. La principal tarea del comité técnico conjunto es preparar estándares internacionales. Los proyectos de normas internacionales adoptados por el comité técnico conjunto se distribuyen a los órganos nacionales para su votación. La publicación como Norma Internacional requiere la aprobación de al menos el 75% de los organismos nacionales que emiten un voto. La Norma Internacional ISO/IEC 27017 fue preparada por el Comité Técnico ISO / IEC JTC1 Subcomité SC 27, Técnicas de seguridad.
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 7
1. INTRODUCCIÓN 1.1- Visión general Esta norma internacional proporciona directrices que respaldan la implementación de controles de seguridad de la información para proveedores y clientes de servicios en la nube. La selección de controles apropiados y la aplicación de la guía de implementación proporcionada dependerán de una evaluación de riesgos, así como de cualquier requisito legal, contractual o reglamentario. ISO / IEC 27005 proporciona orientación sobre gestión de riesgos de seguridad de la información, que incluye recomendaciones sobre evaluación de riesgos, tratamiento de riesgos, aceptación de riesgos, comunicación de riesgos, supervisión de riesgos y revisión de riesgos. 1.2- Necesidades actuales Una de las necesidades principales principales respecto al uso de servicios en la nube es cómo los usuarios pueden o podemos obtener dichos servicios de proveedores, de manera que se ajusten a los requerimientos de seguridad de la información solicitados. Asimismo, es necesario proveer a los usuarios información que les permita evaluar aspectos de seguridad de la información de los servicios en la nube a escoger. 1.3- Objetivos El objetivo de este estándar es proveer un marco de referencia para el control de la seguridad y una guía para la implementación tanto para clientes de servicios en la nube como proveedores. Las pautas de este estándar incluyen identificación de riesgos y controles asociados para el uso de servicios en la nube. EL uso de servicios en la nube reduce el capital de TI y costos de operación. Sin embargo hay consideraciones adicionales de seguridad a tener en cuenta junto con los beneficios anticipados. 2. ALCANCE Este estándar brinda pautas para controles de seguridad de la información asociados con servicios en la nube mediante: -
Directrices para la implementación de controles especificados en la ISO/IEc 27002 Directrices para la implementación de controles adicionales relacionados a servicios en la nube.
3. REFERENCIAS NORMATIVAS Los siguientes documentos son indispensables para la aplicación de este documento:
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 8
-
ISO/IEC 27000, Information technology - Security techniques - Information security management systems - Overview and vocabulary. ISO/IEC 27002:2013, Information technology - Security techniques - Code of practice for information security controls.
4. VISIÓN GENERAL 4.1- Estructura de este standard Este estándar internacional está estructurado en un formato similar a la ISO / IEC 27002. En los casos donde los objetivos y controles especificados en la ISO / IEC 27002 son aplicables sin necesidad de información adicional, solo se proporciona una referencia a la ISO en mención. En los casos donde se necesita un objetivo o control con guía de implementación además de los de ISO / IEC 27002, se incluyen en el Anexo A: Conjunto de control extendido del servicio de Cloud Computing (normativo). En los casos en que un control necesita orientación adicional específica para los servicios en la nube, se hace referencia al control 27002 y la referencia es seguida por la guía de implementación específica del servicio en la nube relacionada con el control. La guía de implementación específica del servicio en la nube y otra información se incluyen en las siguientes cláusulas: -
Políticas de seguridad de la información (Cláusula 5) Organización de la seguridad de la información (Cláusula (Cláusula 6) Seguridad de los recursos humanos (Cláusula 7) Gestión de activos (Cláusula 8) Control de acceso (Cláusula 9) Criptografía (Cláusula 10) Seguridad física y ambiental (Cláusula 11) Seguridad de las operaciones (Cláusula 12) Seguridad de las comunicaciones comunicaciones (Cláusula 13) Adquisición, desarrollo y mantenimiento de sistemas (Cláusula 14) Relaciones con los proveedores (Cláusula 15) Gestión de incidentes de seguridad de la información (Cláusula 16) Aspectos de seguridad de la información de la gestión de la continuidad del negocio (Cláusula 17) Cumplimiento (Cláusula 18)
Cada cláusula contiene una o más de las principales categorías de seguridad. Cada categoría de seguridad principal contiene: a) un objetivo de control que indica lo que se debe lograr; y b) uno o más controles que se pueden aplicar para alcanzar el objetivo de control. Las descripciones de control están estructuradas de la siguiente manera:
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 9
Objetivo de control de ISO / IEC 27002 Proporciona la descripción “El objetivo especificado en la cláusula X.X de la ISO/IEC 27002 aplica para este caso”.
Control, guía de implementación, Otra información de ISO / IE C 27002 Proporciona la descripción: “El control X.X.X y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.”
Pautas específicas del sector para servicios en la nube Proporciona la descripción: “Las siguientes pautas específicas para este sector también aplican” seguida de uno de los tres t res tipos de descripción de la guía de servicios en la nube: El tipo 1 cubre el caso donde hay pautas separadas para el cliente del servicio en la nube y para el proveedor.
El tipo 2 cubre el caso en el que solo hay orientación para el cliente del servicio en la nube o para el proveedor del servicio en la nube, pero no para ambos.
El Tipo 3 cubre el caso donde existe la misma orientación tanto para el cliente del servicio en la nube como para el proveedor del servicio en la nube.
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 10
Otra información para el cloud computing Proporciona información adicional que puede ser necesario considerar, cuando el cliente o el proveedor adoptan el servicio en la nube. 4.2- Relación con otros estándares Este Estándar Internacional contiene una descripción general, términos y definiciones, objetivos de control, controles, guía de implementación y otras descripciones de información. Esto se puede aplicar a la gestión de la seguridad de la información de una organización en conformidad con otra familia de normas ISMS como un estándar específico del sector / servicio. 4.3- Relaciones entre clientes y proveedores de servicios en l a nube 4.3.1- Relaciones entre clientes y proveedores de servicios en la nube El cliente de servicios en la nube es el principal responsable de la seguridad de la información almacenada, transmitida y procesada en dichos servicios. El cliente debería conocer y ser consciente de los diferentes modelos de desarrollo y sus características de seguridad. Este standard internacional aplica también para proveedores de servicios en la nube cuyos servicios son provistos por otro proveedor (supplier). En este caso, el proveedor es también un cliente de servicios en la nube. 4.3.2- Relaciones con el supplier en servicios en la nube Las siguientes relaciones con el supplier deberían ser consideradas: o
o
o
La relación del proveedor de servicios en la nube al cliente de dichos servicios, done el proveedor es el supplier. La relación de un proveedor de servicios en la nube con otro proveedor que le brinda dichos servicios, donde ese otro proveedor es el supplier. La relación de un proveedor de servicios en la nube con un desarrollador de servicios en la nube, donde el desarrollador es el supplier.
4.4- Evaluación de riesgos de seguridad de la l a información en servicios en la nube Los requerimientos de seguridad de la información son identificados por los riesgos de seguridad de la información. Cada cliente o proveedor de servicios en la nube debe completar su propia información de evaluación de riesgos de seguridad de la información para determinar el impacto a su negocio en relación a la probabilidad de vulnerar la seguridad de la información o falla de los controles. Gastos en implementar controles deben ser balanceados con el daño al negocio como resultado de fallas en la seguridad de la información. Los clientes de servicios en la nube deberían considerar lo siguiente cuando evalúan riesgos de seguridad de la información para el uso de servicios en la nube. Se hace notar que los factores
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 11
listados abajo pueden afectar tipos de riesgos que están fuera del alcance de este standard como también de seguridad de la información. a) La información divulgada por el proveedor de servicios en la nube sobre los controles de seguridad de la información puede ser limitada o resumida para minimizar los riesgos para el proveedor de servicios en la nube asociados con las divulgaciones. Los proveedores de servicios en la nube pueden ofrecer información más detallada a un cliente actual o futuro del servicio en la nube utilizando un NDA (Non disclosure agreement) u otro documento legal para proteger cualquier información divulgada. b) La información divulgada de la seguridad de los servicios de la nube del proveedor, riesgos y vulnerabilidades, pueden exponer a todos los clientes debido a la naturaleza compartida de los servicios. c) Divulgar una vulnerabilidad conocida relativa a un servicio en la nube, o los recursos de la nube utilizados por dicho servicio, representa un riesgo para el cliente de tal servicio. d) Un riesgo contractual puede surgir de un acuerdo formal de un servicio en la nube, especialmente en casos en los que el proveedor de servicios opera en una jurisdicción diferente a la del cliente. e) El cliente del servicio en la nube debe tener en cuenta los riesgos legales de no proteger sus derechos en la jurisdicción del proveedor de servicios en la nube. f) Riesgos asociados con la disponibilidad de las telecomunicaciones y las TI en el país donde reside el proveedor de servicios en la nube, incluyen los riesgos de desastres naturales, interrupción de las telecomunicaciones y ataques físicos o cibernéticos (ciberataques) en dicho país o región geopolítica. g) El uso de servicios en la nube implica dependencia del proveedor. Cuando el cliente de un servicio en la nube deja de utilizar dicho servicio, o cuando el proveedor deja de brindar el servicio en mención, la disponibilidad de la data y la portabilidad del respectivo servicio debe ser considerada por adelantado. 5. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN 5.1- Gestión de la alta dirección para seguridad de la información El objetivo especificado en la cláusula 5.1 de la ISO/IEC 27002 aplica para este caso. 5.1.1- Políticas para la seguridad de la información El control 5.1.1 y la guía de implementación y otra información especificada especificada en la ISO/IEC 27002 aplican para este caso.
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 12
5.1.2- Revisión de las políticas de seguridad de la información El control 5.1.1 y la guía de implementación y otra información especificada especificada en la ISO/IEC 27002 aplican para este caso. 6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 6.1- Organización Interna El objetivo especificado en la cláusula 6.1 ISO/IEC 27002 aplica. 6.1.1- Roles y responsabilidades de seguridad de la información El control 6.1.1 y la guía de implementación y otra información especificada especificada en la ISO/IEC 27002 aplican para este caso.
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 13
6.1.2- Segregación de funciones El control 6.1.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 6.1.3- Contacto con autoridades El control 6.1.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector t ambién aplican:
6.1.4- Contacto con grupos especiales de interés El control 6.1.4 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
6.1.5- Seguridad de la información en la gestión de proyectos El control 6.1.5 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 6.2- Dispositivos móviles y teletrabajo El objetivo especificado en la cláusula 6.2 ISO/IEC 27002 aplica. Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 14
6.2.1- Política de dispositivos móviles El control 6.2.1 y la guía de implementación y otra información especificada especificada en la ISO/IEC 27002 aplican para este caso. 6.2.2- Teletrabajo El control 6.2.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
7. SEGURIDAD DE LOS RECURSOS HUMANOS 7.1- Antes del empleo El objetivo especificado en la cláusula 7.1 ISO/IEC 27002 aplica. 7.1.1- Selección El control 7.1.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 7.1.2- Términos y condiciones del empleo El control 7.1.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 7.2- Durante el empleo El objetivo especificado en la cláusula 7.2 ISO/IEC 27002 aplica. 7.2.1.- Responsabilidades de la Gerencia El control 7.2.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 7.2.2- Conciencia, educación y capacitación sobre la seguridad de la l a información El control 7.2.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 15
7.2.3- Proceso disciplinario El control 7.2.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 7.3- Terminación y cambio de empleo El objetivo especificado en la cláusula 7.3 ISO/IEC 27002 aplica. 7.3.1- Terminación o cambio de responsabilidades del empleo El control 7.3.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 8. GESTIÓN DE ACTIVOS 8.1- Responsabilidad por los activos El objetivo especificado en la cláusula 8.1 ISO/IEC 27002 aplica. 8.1.1- Inventario de activos El control 8.1.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican: Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 16
Otra información para cloud computing Los activos del cliente del servicio en la nube mantenidos en el entorno de dicho servicio pueden incluir lo siguiente: a) b) c) d)
Información de negocio; Equipos virtualizados; Almacenamiento virtualizado; Software
Los tipos de activos del cliente del servicio en la nube pueden variar dependiendo del servicio. El software utilizado para la provisión de SaaS puede ser un activo del cliente del servicio en la nube para el proveedor de SaaS en relación con IaaS como su infraestructura. 8.1.2- Propiedad de los activos El control 8.1.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 8.1.3- Uso aceptable de los activos El control 8.1.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 8.1.4- Retorno de activos El control 8.1.4 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 17
8.2- Clasificación de la Información El objetivo especificado en la cláusula 8.2 ISO/IEC 27002 aplica. 8.2.1- Clasificación de la información El control 8.2.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 8.2.2- Etiquetado de la información El control 8.2.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 8.2.3- Manejo de activos El control 8.2.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 8.3- Manejo de los medios El objetivo especificado en la cláusula 8.3 ISO/IEC 27002 aplica. 8.3.1- Gestión de medios removibles El control 8.3.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 8.3.2- Eliminación de medios El control 8.3.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
8.3.3- Transferencia de medios físicos El control 8.3.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 9. CONTROL DE ACCESO
9.1- Requisitos de la empresa para el control de acceso El objetivo especificado en la cláusula 9.1 ISO/IEC 27002 aplica.
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 18
9.1.1- Política de control de acceso El control 9.1.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
9.1.2- Acceso a redes y servicios de red. El control 9.1.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
9.2- Gestión de acceso de usuario El objetivo especificado en la cláusula 9.2 ISO/IEC 27002 aplica. 9.2.1- Registro y baja de usuarios El control 9.2.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 9.2.2- Aprovisionamiento Aprovisionamiento de acceso a usuario El control 9.2.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 9.2.3- Gestión de derechos de acceso privilegiados El control 9.2.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 19
9.2.4- Gestión de información de autentificación secreta de usuarios El control 9.2.4 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
9.2.5- Revisión de derechos de acceso de usuarios El control 9.2.5 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 9.2.6- Retiro o ajuste de derechos de acceso El control 9.2.6 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 9.3- Responsabilidades de los usuarios El objetivo especificado en la cláusula 9.3 ISO/IEC 27002 aplica. 9.3.1- Uso de información de autentificación secreta El control 9.3.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 9.4- Control de acceso al sistema y aplicación El objetivo especificado en la cláusula 9.4 ISO/IEC 27002 aplica. 9.4.1- Restricción de acceso a la información El control 9.4.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 20
9.4.2- Procedimientos de ingreso seguro El control 9.4.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 9.4.3- Sistema de gestión de contraseñas El control 9.4.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 9.4.4- Uso de programas utilitarios privilegiados El control 9.4.4 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
Otra información para cloud computing Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 21
Las capacidades orientadas al administrador del sistema del servicio en la nube se pueden proporcionar como programas utilitarios que pueden ser capaces de anular los controles del sistema y de la aplicación. El uso de estos programas por parte de los usuarios finales de un cliente del servicio en la nube debe estar restringido r estringido y estrictamente controlado. 9.4.5- Control de acceso al código fuente de los programas El control 9.4.5 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 10. CRIPTOGRAFÍA 10.1- Controles criptográficos El objetivo especificado en la cláusula 10.1 ISO/IEC 27002 aplica. 10.1.1- Política sobre el uso de controles criptográficos criptográficos El control 10.1.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
10.1.2- Gestión de claves El control 10.1.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 22
11. SEGURIDAD FÍSICA Y AMBIENTAL 11.1- Áreas seguras El objetivo especificado en la cláusula 11.1 ISO/IEC 27002 aplica. 11.1.1- Perímetro de seguridad física El control 11.1.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
Otra información para el cloud computing El proveedor de servicios en la nube debe considerar un balance entre el soporte de los clientes del servicio en la nube y los riesgos de seguridad de la información cuando se deifine el alcance de la información sobre los perímetros de seguridad física y los controles asociados que se proporcionarán a los clientes del servicio en la nube. 11.1.2- Controles de ingreso físico El control 11.1.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 23
11.1.3- Asegurar oficinas, áreas e instalaciones i nstalaciones El control 11.1.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
11.1.4- Protección contra amenazas externas y ambientales El control 11.1.4 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
11.1.5- Trabajo en áreas seguras El control 11.1.5 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 11.1.6- Áreas de despacho y carga El control 11.1.6 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 11.2- Equipos El objetivo especificado en la cláusula 11.2 ISO/IEC 27002 aplica. 11.2.1- Ubicación y protección de los equipos El control 11.2.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 11.2.2- Servicios de suministro El control 11.2.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
11.2.3- Seguridad del cableado El control 11.2.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 11.2.4- Mantenimiento de equipos El control 11.2.4 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 24
11.2.5- Retiro de activos El control 11.2.5 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 11.2.6- Seguridad de equipos y activos fuera de las instalaciones El control 11.2.6 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 11.2.7- Disposición o reutilización segura de equipos El control 11.2.7 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
11.2.8- Equipos de usuario desatendidos El control 11.2.8 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
11.2.9- Política de escritorio limpio y pantalla limpia El control 11.2.9 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 12 SEGURIDAD DE LAS OPERACIONES
12.1- Procedimientos y responsabilidades operativas El objetivo especificado en la cláusula 12.1 ISO/IEC 27002 aplica.
12.1.1- Procedimientos operativos documentados El control 12.1.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
12.1.2- Gestión del cambio El control 12.1.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 25
Otra información para cloud computing En caso que el cliente del servicio en la nube provea servicios a usuarios internos o externos utilizando el servicio en la nube, puede solicitar la información de cambios en los sistemas y servicios al proveedor para mantener la provisión de especificaciones y niveles de servicio. Ejemplo de este caso es un proveedor SaaS que depende de IaaS. Las certificaciones de seguridad son útiles, relacionadas con los sistemas y servicios que representan la infraestructura compartida con otros clientes del servicio en la nube del proveedor. 12.1.3- Gestión de la capacidad El control 12.1.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 26
Otra información para cloud computing El cliente del servicio en la nube puede considerar lo siguiente en la gestión de la capacidad si le fue entregada por el proveedor del servicio: a) entorno del sistema: 1) Capacidad de almacenamiento de datos; 2) Capacidad Capacidad de las redes redes y equipos, equipos, incluida la red virtual en el entorno del servicio en la nube (por ejemplo, ancho de banda, número máximo m áximo de sesiones); 3) Rendimiento del sistema esperado o acordado; 4) Tiempo de entrega para tener capacidad adicional o rendimiento del sistema, y unidad mínima de entrega; 5) Capacidad máxima y rendimiento del sistema; 6) Redundancia y diversidad de sistemas 7) Redundancia y diversidad de accesos a la red. r ed. b) estadísticas sobre el uso de recursos del sistema: 1) estadísticas en un período de tiempo t iempo dado; 2) uso máximo de recursos del sistema. El volumen total de la capacidad lógica nunca puede exceder el volumen total de la capacidad física. Si el volumen de los recursos excedió el volumen total de la capacidad física, puede causar un incidente grave. Por esta razón, monitorear el volumen total de los recursos lógicos y mantener un cierto volumen disponible es requerido para prevenir incidentes causados por la falta de recursos. Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 27
12.1.4- Separación de los entornos de desarrollo, pruebas y operaciones El control 12.1.4 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
12.2- Protección contra software malicioso (malware) El objetivo especificado en la cláusula 12.2 ISO/IEC 27002 aplica.
12.2.1- Controles contra software malicioso (malware) El control 12.2.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
12.3- Respaldo El objetivo especificado en la cláusula 12.3 ISO/IEC 27002 aplica.
12.3.1- Respaldo de la información El control 12.3.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también a plican:
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 28
12.4- Registros y monitoreo El objetivo especificado en la cláusula 12.4 ISO/IEC 27002 aplica.
12.4.1- Registro de eventos El control 12.4.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector t ambién aplican:
12.4.2- Protección de información de registros. El control 12.4.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
12.4.3- Registros del administrador y del operador El control 12.4.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
12.4.4- Sincronización de reloj El control 12.4.4 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
12.5- Control del software operacional El objetivo especificado en la cláusula 12.5 ISO/IEC 27002 aplica.
12.5.1- Instalación de software en sistemas operacionales El control 12.5.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 29
12.6- Gestión de vulnerabilidad técnica El objetivo especificado en la cláusula 12.6 ISO/IEC 27002 aplica.
12.6.1- Gestión de vulnerabilidades vulnerabilidades técnicas El control 12.6.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
12.6.2- Restricciones sobre la instalación de software El control 12.6.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 30
12.7- Consideraciones para la auditoría de los l os sistemas de información El objetivo especificado en la cláusula 12.7 ISO/IEC 27002 aplica.
12.7.1- Controles de auditoría de sistemas de información El control 12.7.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 13. SEGURIDAD DE LAS COMUNICACIONES
13.1- Gestión de seguridad de la red El objetivo especificado en la cláusula 13.1 ISO/IEC 27002 aplica.
13.1.1- Controles de la red El control 13.1.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Otra información para el cloud computing El portal o consola en tiempo real para el cliente del servicio en la nube es una herramienta útil para compartir información sobre la situación del entorno del cloud computing.
13.1.2- Seguridad de servicios de red El control 13.1.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
13.1.3- Segregación en redes El control 13.1.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 31
Otra información para el cloud computing Ejemplo de casos en los que se requiere segregación de redes al proveedor son:
a) Competidores dentro de una misma industria coexisten en el mismo entorno cloud. b) Cuando disposiciones regulatorias dictan segregar o aislar un determinado tipo de tráfico de red. 13.2- Transferencia de información El objetivo especificado en la cláusula 13.2 ISO/IEC 27002 aplica.
13.2.1- Políticas y procedimientos de transferencia de la información El control 13.2.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
13.2.2- Acuerdo sobre transferencia de información El control 13.2.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
13.2.3- Mensajes electrónicos El control 13.2.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
13.2.4- Acuerdos de confidencialidad o no divulgación El control 13.2.4 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO MANTENIMIENTO DE SISTEMAS 14.1- Requisitos de seguridad de los sistemas de información El objetivo especificado en la cláusula 14.1 ISO/IEC 27002 aplica. Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 32
14.1.1- Análisis y especificación de requisitos de seguridad de la información El control 14.1.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
14.1.2- Aseguramiento de servicios de aplicaciones sobre redes públicas El control 14.1.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
14.1.3- Protección de transacciones en servicios de aplicación El control 14.1.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
14.2- Seguridad en los procesos de desarrollo y soporte El objetivo especificado en la cláusula 14.2 ISO/IEC 27002 aplica.
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 33
14.2.1- Política de desarrollo seguro El control 14.2.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
14.2.2- Procedimientos de control de cambio del sistema El control 14.2.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 14.2.3- Revisión técnica de aplicaciones después de cambios a la plataforma operativa El control 14.2.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 14.2.4- Restricciones sobre cambios a los paquetes de software El control 14.2.4 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 14.2.5- Principios de ingeniería de sistemas seguros El control 14.2.5 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
14.2.6- Ambiente de desarrollo seguro El control 14.2.6 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
14.2.7- Desarrollo contratado externamente El control 14.2.7 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
14.2.8- Pruebas de seguridad del sistema El control 14.2.8 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
14.2.9- Pruebas de aceptación del sistema El control 14.2.9 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Otra información para el cloud computing Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 34
En el caso de cloud computing, las pruebas de aceptación del sistema aplican principalmente al servicio en sí y al uso del servicio por el cliente. 14.3- Datos de prueba El objetivo especificado en la cláusula 14.3 ISO/IEC 27002 aplica. 14.3.1- Protección de datos de prueba El control 14.3.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. 15. RELACIONES CON LOS PROVEEDORES 15.1- Seguridad en las relaciones con los l os proveedores El objetivo especificado en la cláusula 15.1 ISO/IEC 27002 aplica. 15.1.1- Política de seguridad de la información para las relaciones con los proveedores El control 15.1.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
15.1.2- Abordar la seguridad dentro de los acuerdos con proveedores El control 15.1.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 35
Otra información para el cloud computing Algunos clientes de servicios en la nube pueden colocar condiciones específicas en los acuerdos del servicio relacionados a recursos humanos del proveedor involucrados en la entrega del servicio. Si el proveedor estuviera de acuerdo con estas condiciones, entonces él está obligado a reflejar estas condiciones y asignarlas al proyecto.
15.1.3- Cadena de suministro de tecnología de información y comunicación El control 15.1.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
15.2- Gestión de entrega de servicios del proveedor El objetivo especificado en la cláusula 15.2 ISO/IEC 27002 aplica. 15.2.1- Monitoreo y revisión de servicios del proveedor El control 15.2.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 36
15.2.2- Gestión de cambios a los servicios de proveedores El control 15.2.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
16. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN 16.1- Gestión de incidentes de seguridad de la información y mejoras El objetivo especificado en la cláusula 16.1 ISO/IEC 27002 aplica. 16.1.1- Responsabilidades y procedimientos El control 16.1.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
16.1.2- Reporte de eventos de seguridad de la información El control 16.1.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
16.1.3- Reporte de debilidades de seguridad de la información El control 16.1.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
16.1.4- Evaluación y decisión sobre eventos de seguridad de la información El control 16.1.4 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 37
16.1.5- Respuesta a incidentes de seguridad de la información El control 16.1.5 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
16.1.6- Aprendizaje de los incidentes de seguridad de la información El control 16.1.6 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
16.1.7- Recolección de evidencia El control 16.1.7 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 38
17. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE CONTINUIDAD DEL NEGOCIO 17.1- Continuidad de seguridad de la información El objetivo especificado en la cláusula 17.1 ISO/IEC 27002 aplica.
17.1.1- Planificación de continuidad de seguridad de la información El control 17.1.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
17.1.2- Implementación de continuidad de seguridad de la información El control 17.1.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
17.1.3- Verificación, revisión y evaluación de continuidad c ontinuidad de seguridad de la información El control 17.1.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 39
17.2- Redundancias El objetivo especificado en la cláusula 17.2 ISO/IEC 27002 aplica. 17.2.1- Disponibilidad de Instalaciones de procesamiento de la información El control 17.2.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
18. CUMPLIMIENTO 18.1- Cumplimiento con requisitos legales y contractuales El objetivo especificado en la cláusula 18.1 ISO/IEC 27002 aplica. 18.1.1- Identificación de requisitos contractuales y de legislación aplicable El control 18.1.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
18.1.2- Derechos de propiedad intelectual El control 18.1.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
18.1.3- Protección de registros El control 18.1.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 40
18.1.4- Privacidad y protección de datos personales El control 18.1.4 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
Otra información para el cloud computing ISO / IEC 27018 “Código de buenas prácticas para controles de protección de datos para servicios informáticos públicos ” puede referirse a este tema.
18.1.5- Regulación de controles criptográficos El control 18.1.5 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
18.2- Revisiones de seguridad de la información El objetivo especificado en la cláusula 18.2 ISO/IEC 27002 aplica.
18.2.1- Revisión independiente de la seguridad de la información El control 18.2.1 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso.
18.2.2- Cumplimiento de políticas y normas de seguridad El control 18.2.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 41
18.2.3- Revisión del cumplimiento cumplimiento técnico El control 18.2.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002 aplican para este caso. Las siguientes pautas específicas para este sector también aplican:
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 42
ANEXO A: CONJUNTO DE CONTROL EXTENDIDO DEL SERVICIO DE CLOUD COMPUTING (NORMATIVO) Este anexo proporciona objetivos y controles adicionales con guía de implementación, como un conjunto de controles extendido del servicio de cloud computing. Los objetivos de control ISO / IEC 27002 relacionados con estos controles no se repiten. Se recomienda que cualquier organización que implemente estos controles controles en el contexto de un SGSI, que debe cumplir con la norma ISO / IEC 27001, amplíe su SOA (declaración de aplicabilidad) mediante la inclusión de los controles establecidos en este Anexo. CLD.6.3- Relación entre el cliente y el proveedor del servicio en la nube
CLD.6.3.1- Demarcación de responsabilidad Control La demarcación de responsabilidad entre las organizaciones del cliente y el proveedor del servicio en la nube debería ser definida y documentada. Guía de implementación implementación
Otra información para cloud computing La ambigüedad en los roles y en la definición de responsabilidades relacionadas con temas como propiedad de datos, control de acceso, mantenimiento de la infraestructura puede dar lugar a disputas comerciales o legales (especialmente cuando se trata de terceros, o cuando el proveedor de servicios en la nube también es cliente o subcontratista de servicios en la nube). CLD.6.3.2- Sistema de Intercambio de Información Control Un sistema de intercambio de información entre el cliente y el proveedor de servicio en la nube debería ser desarrollado y mantenido.
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 43
Guía de implementación implementación
CLD.9.5- Control de acceso de los datos del cliente del servicio en la nube en un entorno virtual compartido
CLD.9.5.1- Protección del entorno virtual Control El entorno virtual del cliente en un servicio basado en la nube debería saer protegido de otros clientes y usuarios no autorizados. Guía de implementación implementación
Otra información para cloud computing En el caso de que el entorno virtual sea proporcionado mediante un software, por ejm. sistema operativo virtual, la configuración de red y el almacenamiento se pueden virtualizar y la segregación de las redes físicas se puede invalidar. La segregación de otros clientes del servicio en la nube en entornos virtualizados virtualizados por software debe diseñarse diseñarse e implementarse implementarse utilizando la función de segregación del software. En caso de que la información del cliente del servicio en la nube se almacene en un área de almacenamiento físicamente compartida con "tabla de metadatos" del servicio en la nube, la segregación de información de otros clientes del servicio en la nube puede implementarse mediante control de acceso a la "tabla de metadatos". CLD.12- Seguridad de las Operaciones CLD.12.4- Logeo y Monitoreo El objetivo especificado en la cláusula 12.4 ISO/IEC 27002 aplica. Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 44
CLD.12.4.5- Registro de operaciones de clientes del servicio en la nube con privilegios Control El registro de operaciones de clientes con usuarios privilegiados debería ser adquirido y almacenado para esclarecer el límite de responsabilidad. Guía de implementación implementación
CLD.13- Seguridad de las Comunicaciones CLD.13.1- Gestión de Seguridad de la Red El objetivo especificado en la cláusula 13.1 ISO/IEC 27002 aplica.
CLD.13.1.4- Cooperación de configuraciones entre red virtual y física Tras la configuración de la red virtual, la consistencia de las configuraciones entre la red virtual y física debe verificarse en función de la política de seguridad de la red de la organización . Guía de implementación implementación
Otra información para cloud computing En un entorno en la nube asado en tecnología virtualizada, la red virtual es configuraada sobre infraestructura virtual sobre la red física. En dicho entorno, la inconsistencia de las políticas de red podría causar caídas del sistema y/o violaciones de control de acceso. CLD.16- Gestión de Incidentes de Seguridad de la Información CLD.16.1- Gestión de incidentes de seguridad de la información y mejoras El objetivo especificado en la cláusula 13.1 ISO/IEC 27002 aplica.
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 45
CLD.16.1.8- Implementación del proceso de distribución rápida de información sobre incidentes de seguridad de la información en el entorno de la nube Control EL proceso de distribución rápida de información sobre incidentes de seguridad de la información en el entorno de la nube debería ser implementado para compartir información con los clientes inmediatamente después que estos ocurran. Guía de implementación implementación
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 46
ANEXO B: RIESGOS DE SEGURIDAD DE LA INFORMACIÓN RELACIONADOS A LA NUBE Aunque las preocupaciones de seguridad y privacidad cuando se usan servicios de computación en la nube son similares a las de los servicios tradicionales, las preocupaciones se amplifican para el cliente del servicio en la nube mediante el control externo sobre los activos de la organización y el potencial de mala administración de esos activos. La transición a la computación en la nube pública implica una transferencia de responsabilidad y control al proveedor del servicio en la nube sobre la información, así como los componentes del sistema que anteriormente estaban bajo el control directo de la organización or ganización del cliente. La transición suele ir acompañada de una pérdida de control directo sobre la gestión de las operaciones y también una pérdida de influencia sobre las decisiones tomadas sobre el entorno informático. A pesar de esta pérdida inherente de control, el cliente del servicio en la nube aún necesita responsabilizarse del uso de los servicios en la nube para mantener el conocimiento de la situación, sopesar alternativas, establecer prioridades y efectuar cambios en la seguridad y la privacidad que sean lo mejor para el organización. El cliente logra esto al garantizar que el contrato con el proveedor y su acuerdo de nivel de servicio asociado (SLA) tenga las disposiciones adecuadas para la seguridad y la privacidad. En particular, el SLA debe ayudar a mantener las protecciones legales de la privacidad en relación con los datos almacenados en los sistemas del proveedor. El cliente también debe garantizar la integración adecuada de los servicios en la nube con sus propios sistemas para administrar la seguridad y la privacidad. Hay una serie de riesgos de seguridad asociados con la computación en la nube que deben abordarse adecuadamente, tanto para el cliente del servicio en la nube como para el proveedor del servicio en la nube:
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 47
B.1- Amenazas para el cliente del servicio en la nube Las siguientes amenazas son aquellas que afectan directamente al cliente del servicio en la nube, debido a que pueden afectar sus intereses de negocio, aspectos legales, privacidad, o seguridad. No todos los clientes estarán en riesgo de todas estas amenazas, los riesgos variarán dependiendo de la naturaleza del cliente y del servicio en la nube que está siendo usado: -
Pérdida de gobierno. En el despliegue de nubes públicas, los clientes necesariamente ceden el control al proveedor sobre un número de problemas que pueden afectar la seguridad. Al mismo tiempo, los acuerdos acuerdos de nivel e servicio de la nube (SLA) pueden no ofrecer un compromiso para proveer las capacidades necesarias por parte del proveedor, dejando así brechas en la seguridad.
-
Ambigüedad de responsabilidad. Dado que el uso de los servicios de computación en la nube abarca el cliente y las organizaciones proveedoras, la responsabilidad por los aspectos de seguridad puede distribuirse entre ambas organizaciones, con la posibilidad de que partes vitales de las defensas queden desprotegidas si no se asigna claramente la responsabilidad. Es probable que la división de responsabilidades entre las organizaciones de clientes y proveedores varíe según el modelo que se use para la computación en la nube (por ejemplo, IaaS versus SaaS). También es necesario que el acuerdo de servicio, los SLA y la descripción del servicio en la nube sean claros en los aspectos de seguridad y privacidad asociadas con el servicio en la nube.
-
Fallas de asilamiento. asilamiento. Los recursos compartidos y multiusuario son características definidas de la nube pública. Esta categoría de riesgo cubre la falla de los mecanismos que separan el uso de datos, almacenamiento, memoria, ruteo e incluso reputación entre diferentes usuarios o clientes (por ejemplo, los denominados ataques guest-hopping).
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 48
-
Dependencia de un proveedor. proveedor. La dependencia de los servicios patentados de un proveedor de servicios en la nube en particular podría llevar al cliente a vincularse con ese proveedor. Los servicios que no admiten la portabilidad de aplicaciones y datos a otros proveedores aumentan el riesgo de falta de disponibilidad de datos y servicios.
-
Riesgos legales y de cumplimiento. cumplimiento. La migración para utilizar la nube puede poner en riesgo la inversión para lograr la certificación (por ejemplo, estándares industriales o requisitos regulatorios) si el proveedor no puede proporcionar evidencia de su propio cumplimiento de los requisitos pertinentes o si no permite auditoría por el cliente. Es responsabilidad del cliente verificar que el proveedor cuente con las certificaciones apropiadas, pero también es necesario que el cliente de la nube tenga en claro la división de responsabilidades de seguridad entre el consumidor y el proveedor, y que garantice que las responsabilidades del cliente sean manejadas apropiadamente cuando se usan servicios en la nube.
-
Gestión de incidentes de seguridad. seguridad . La detección, la generación de informes y la gestión posterior de infracciones de seguridad es una preocupación para los clientes del servicio en la nube, que confían en el proveedor para manejar estos asuntos.
-
Vulnerabilidad de la interface de gestión. gestión. Las interfaces de gestión de clientes de un proveedor de nube pública suelen ser accesibles a través de Internet y median el acceso a conjuntos de recursos más grandes que los típicos proveedores de alojamiento tradicionales y, por lo tanto, suponen un mayor riesgo, especialmente cuando se combinan con acceso remoto y vulnerabilidades del navegador web.
-
Protección de datos. datos. La nube plantea varios riesgos de protección de datos para los clientes y proveedores de la nube. Las principales preocupaciones son la exposición o la liberación de datos sensibles, pero también incluyen la pérdida o la falta de disponibilidad de datos. En algunos casos, puede ser difícil para el cliente del servicio en la nube verificar de manera efectiva las prácticas de manejo de datos del proveedor y así asegurarse de que los datos se manejen de manera legal. Este problema se agrava en los casos de transferencias múltiples de datos, por ejemplo, entre servicios en la nube federados.
-
Comportamiento malicioso de personas internas. internas. Los daños causados por las acciones maliciosas de los empleados internos que trabajan dentro de una organización pueden ser sustanciales, dado el acceso y las autorizaciones que puedan tener. Esto se complica en el entorno de computación en la nube, ya que dicha actividad puede ocurrir dentro de la organización del cliente y en la organización or ganización proveedora, o ambas.
-
Fallas del negocio del proveedor. proveedor . Tales fallas podrían hacer que los datos y las aplicaciones esenciales esenciales para el negocio del consumidor no estén disponibles.
-
Indisponibilidad del servicio. servicio . Esto podría deberse a una serie de factores, desde fallas de equipos o software en el centro de datos del proveedor, hasta fallas en las comunicaciones.
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 49
-
Fallas de migración e integración. integración. La migración para utilizar los servicios en la nube puede implicar el traslado de datos y aplicaciones del entorno del cliente al entorno del proveedor, con cambios de configuración asociados (por ejemplo, el direccionamiento de la red). La migración de una parte de la infraestructura de TI del cliente a un proveedor de servicios en la nube puede requerir cambios sustanciales en el diseño de la infraestructura (por ejemplo, políticas de red y seguridad). Las aplicaciones y los datos migrados también requieren la integración con otros sistemas del cliente y puede fallar en impactos funcionales y no funcionales.
-
Riesgos evolutivos. evolutivos. Un servicio en la nube que haya superado la evaluación de seguridad del cliente durante la fase de adquisición podría tener nuevas vulnerabilidades introducidas durante su ciclo de vida debido a cambios en los componentes de software introducidos por el proveedor de servicios en la nube.
-
Problemas transfronterizos. transfronterizos. Una característica de la computación en la nube es que los sistemas del proveedor de servicios en la nube pueden estar ubicados en una jurisdicción diferente a la del cliente, o los sistemas del proveedor pueden dividirse en varias jurisdicciones. Este es un problema para el cliente, ya que puede no estar claro qué regulaciones y leyes se aplicarán al servicio en la nube y a los datos y aplicaciones asociados con el servicio y podría ocasionar que el cliente incumpla las reglamentaciones de la jurisdicción "de origen". Una característica de la computación en la nube es que los sistemas del proveedor de servicios en la nube pueden estar ubicados en una jurisdicción diferente a la del cliente, o los sistemas del proveedor pueden dividirse en varias jurisdicciones. Este es un problema para el cliente, ya que puede no estar claro qué regulaciones y leyes se aplicarán al servicio en la nube y a los datos y aplicaciones asociados con el servicio y podría ocasionar que el cliente incumpla las reglamentaciones de la jurisdicción "de origen".
-
Eliminación de datos insegura e incompleta. incompleta. Las solicitudes para eliminar recursos de la nube, por ejemplo, cuando un cliente termina el uso de un servicio en la nube con un proveedor, pueden no dar como resultado la eliminación completa completa de los datos dato s del cliente de los sistemas del proveedor. La eliminación adecuada o puntual de los datos también puede ser imposible, ya sea porque se almacenan copias adicionales de los datos, pero no están disponibles, o porque el disco que se va a eliminar también almacena datos de otros clientes. En el caso de multiclientes y la reutilización de recursos de hardware, esto representa un mayor riesgo para el cliente que en el caso del hardware dedicado.
Mientras que estos riesgos aplican principalmente para el cliente, es importante notar que ellos también pueden aplicar al proveedor, si el proveedor depende de la nube de alguno de sus suppliers. B.2- Amenazas para el proveedor de servicios en la nube Esta cláusula considera las amenazas que afectan directamente al proveedor de servicios en la nube. Dichas amenazas pueden afectar la capacidad del proveedor para ofrecer un servicio en la nube, hacer negocios, retener clientes y evitar dificultades legales o reglamentarias. Las amenazas Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 50
a un determinado proveedor de servicios en la nube dependerán de sus ofertas de servicios y entornos específicos. -
Ambigüedad de responsabilidad. Dado que el uso de servicios en la nube se extiende a través de las organizaciones de consumidores y proveedores, la responsabilidad por los aspectos de seguridad se puede extender a ambas organizaciones. La ambigüedad relacionada con las funciones y la definición de responsabilidades relacionadas con cuestiones como la propiedad de los datos, el control de acceso y el mantenimiento de la infraestructura pueden dar lugar a disputas comerciales o legales.
-
Inconsistencia y conflicto de mecanismos de protección. protección. Debido a la arquitectura descentralizada de una infraestructura en la nube, sus mecanismos de protección pueden ser inconsistentes entre los módulos de seguridad distribuidos. Por ejemplo, un acceso denegado por un módulo de Gestión de identidades y accesos (IAM) puede ser otorgado por otro. Esta incoherencia podría causar problemas para el usuario autorizado y podría ser explotada por un atacante, lo que comprometería la confidencialidad y la integridad.
-
Falla de aislamiento. La aislamiento. La computación en la nube generalmente implica compartir recursos entre múltiples clientes. Existe la posibilidad de que fallen los mecanismos de aislamiento que mantienen separados los datos y las aplicaciones de diferentes clientes. Este riesgo es una amenaza para la reputación del proveedor y para el negocio del proveedor. La exposición no intencional de los activos del cliente podría ser la causa de litigio.
-
Acceso no autorizado a los sistemas del proveedor. proveedor . La computación en la nube inevitablemente implica proporcionar acceso a partes de los sistemas del proveedor para usuarios “cliente” y “administrador”. El riesgo es que este acceso también podría proporcionar inadvertidamente acceso a partes de los sistemas del proveedor destinados solo para uso del personal autorizado del proveedor.
-
Conflicto Jurisdiccional. Jurisdiccional. Un proveedor de servicios en la nube puede operar centros de datos en múltiples jurisdicciones y puede mover datos entre centros de datos. Dependiendo del país de acogida, los datos estarán regidos por diferentes leyes aplicables, y también pueden ser diferentes a las que se aplica a cualquier cliente de servicios en la nube en particular. Algunas jurisdicciones, como la UE, requieren una amplia protección de la información de identificación personal, que no debe procesarse en países que no proporcionan un nivel suficiente de protección garantizada. Tratar los datos incorrectamente puede dar lugar a sanciones legales.
-
Amenazas internas. Donde internas. Donde los humanos están involucrados, siempre existe el riesgo de que las personas actúen de manera maliciosa o descuidada y pongan en riesgo la seguridad del servicio. Los empleados del proveedor de servicios en la nube que emplean credenciales inseguras, las acciones maliciosas de empleados descontentos o criminales expertos que obtienen un puesto en el personal del proveedor representan una amenaza importante para cualquier empresa. Deben existir controles apropiados para limitar el acceso a los datos y las aplicaciones de los clientes y para monitorear cualquier actividad sospechosa.
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 51
-
Vulnerabilidad de la cadena de suministro. suministro. La confiabilidad de un proveedor de servicios en la nube depende de un análisis de riesgo de vulnerabilidad de su cadena de suministro. Este análisis de riesgos implica identificar y recopilar información sobre los componentes adquiridos del proveedor de servicios en la nube para computación, redes y almacenamiento que se utilizan para proporcionar servicios en la nube. Las actividades típicas de seguridad de la cadena de suministro del proveedor de servicios en la nube incluyen: o
o
o
Background de la Información sobre los participantes en la cadena de suministro del proveedor de servicios en la nube. Validación de hardware, software y servicios utilizados por el proveedor de servicios en la nube. Inspección del hardware y software del proveedor de servicios en la nube cuando es recibido para garantizar que no se manipuló durante el tránsito.
BIBLIOGRAFÍA [1]
ISO/IEC 17788, Information technology — Distributed application platforms and services — Cloud computing ─ Overview and Vocabulary
[2]
ISO/IEC 17789, Information technology — Distributed Application Platforms and Services — Cloud Computing — Reference Architecture
[3]
NIST, SP800-144 Guidelines on Security and Privacy in Public Cloud Computing
[4]
NIST, SP800-145 The NIST Definition of Cloud Computing Draft
[5] [5]
NIST, Effectively and Securely Using the Cloud Computing Paradigm
[6] [6]
ENISA, Cloud Computing Benefits, risks and recommendations for information security
[7] [7]
ENISA, Cloud Computing Information Assurance Framework
[8]
Cloud Security Alliance, Security Guidance for Critical Areas of Focus in Cloud Computing V2.1
[9]
Cloud Security Alliance, Top Threats to Cloud Computing V1.0
[10]
Cloud Security Alliance, Domain 12: Guidance for Identity & Access Management V2.1
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 52
[11]
Cloud Security Alliance, CSA Cloud Controls Matrix V1.1
[12]
ISACA, Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives
[13] [13]
ISACA, Cloud Computing Management Audit/Assurance Program
[14]
U.S. CIO Council, Proposed Security Assessment & Authorization for U.S. Government Cloud Computing
[15] [15]
ISO/IEC16680 The Open Group Service Integration Maturity Model (OSIMM)
[16]
ITU-T Recommendation X.805 (2003), Security architecture for systems providing end-toend communications.
[17]
ISO/IEC 18028-1:2006, Information technology - Security techniques - IT network security Part 1: Network security management.
[18]
ISO/IEC 18028-2:2006, Information technology - Security techniques - IT network security Part 2: Network security architecture.
[19]
ISO/IEC 18028-3:2005, Information technology - Security techniques - IT network security Part 3: Securing communications between networks using security gateways.
[20]
ISO/IEC 18028-4:2005, Information technology - Security techniques - IT network security Part 4: Securing remote access.
[21]
ISO/IEC 18028-5:2006, Information technology - Security techniques - IT network security Part 5: Securing communications across networks using virtual private networks
[22]
ISO/IEC 18043:2006, Information technology - Security techniques - Selection, deployment and operations of intrusion detection systems.
[23]
ISO/IEC TR 18044, Information Information technology - Security techniques - Information security incident management.
Diego Adrián Núñez Noriega Cel. (51) 968866681 Email:
[email protected]
Página 53
