Lo sabemos, la ciberseguridad y los estándares para proteger tu información suenan a mucho trabajo. Sobre todo si estás por implementar ISO 27001 y no hay controles específicos para toda esa información que guardas en la nube.
No te preocupes, para eso estamos aquí. En este artículo te contamos cuáles son los controles de ISO 27001 e ISO 27002 que te pueden ayudar con este asunto.
ISO 27001 no tiene controles específicos para la nube
Primero que nada, es importante mencionar que ISO 27001 no tiene controles que sean específicos para la seguridad en la nube. Por eso puedes complementar la certificación de ISO 27001 con las siguientes normativas:
- ISO 27017: un conjunto de buenas prácticas de seguridad en el marco de los servicios en la nube
- ISO 27018: proporciona buenas prácticas para proteger datos personales en la nube
Ambas son complemento de la ISO 27001. O sea, que primero debes certificarte en ISO 27001 para luego obtener una certificación en ISO 27017 o ISO 27018.
Por otro lado, la implementación de las cláusulas de ISO 27001 y de los controles de ISO 27002 puede reforzar tu seguridad en la nube.
Ya que tenemos esto claro, veamos qué controles de ISO 27001 pueden ayudar a la seguridad de tu información en la nube.
Hackmetrix insight: ISO 27002 es la guía detallada de controles para implementar la ISO 27001, más no es certificable.
Controles de ISO 27002 aplicables a la nube
Recuerda que no todos los controles le aplican a todas las empresas. Así que dependiendo de tu estructura, necesidades y alcance, son los controles que podrás aplicar.
| Control | Descripción |
| Controles del dominio A.9 | Control de accesos | Estos controles sí son aplicables para todos. Ya que todos los accesos, incluidos los de la nube, aplicaciones, servicios, etc., deben ser controlados y monitoreados. |
| Controles del dominio A.12 | Seguridad de las operaciones | Es probable que éstos controles apliquen a cualquier tipo de infraestructura o servicio de nube porque hablan sobre la gestión de todos los procesos operacionales. Algunos de ellos son: respaldos de información, gestión de capacidad, cambios productivos o de negocio, separación de entornos o ambientes, entre otros. Además, también abarca los controles relacionados a los logs. Un elemento muy importante para monitorear los eventos en los sistemas y aplicaciones de la nube correctamente. |
| Controles del dominio A.13 | Seguridad de las comunicaciones | Estos controles hablan de todo lo relacionado a la seguridad en las redes y medios de comunicación por donde se transfiere información. |
| Controles del dominio A.14 | Adquisición, Desarrollo Y Mantenimiento Del Sistema | Tratan todo lo relacionado al desarrollo seguro y protección de software y aplicaciones. Si la empresa desarrolla en la nube, algunos de éstos controles le podrían aplicar. |
| Controles del dominio A.15 | Relaciones con el proveedor | Recordemos que en la mayoría de los casos, la infraestructura de nube de las empresas es proporcionada por un proveedor, por lo que éstos controles son aplicables para fortalecer la seguridad en la relación con ellos. |
| Controles del dominio A.16 | Gestión De Incidentes De Seguridad De La Información | Conocer la manera en la que el proveedor de nube identifica, notifica y resuelve éstos incidentes es muy importante para definir un plan de recuperación ante desastres. |
| Controles del dominio A.17 | Aspectos De Seguridad De La Información En La Gestión De La Continuidad Del Negocio | Siguiendo la idea del punto anterior, éstos controles aplican a la nube ya que se deben definir y probar periódicamente procedimientos para asegurar la continuidad de las operaciones de la empresa en situaciones de crisis; cómo la caída del servicio de nube. |
Conclusión
Aunque ISO 27001 e ISO 27002 no tienen controles específicos para la seguridad de la información en la nube, hay algunos que puedes aplicar.
Además de eso, si requieres seguridad específica para la nube, puedes certificarte en ISO 27017 y/o 27018, después hacerlo con ISO 27001.
Si te interesa certificarte o tienes alguna duda al respecto, estamos aquí para ayudarte.
