¿Seguridad de los servicios cloud? Las siglas que necesita saber
DEMO
Datos de contacto

¿Seguridad de los servicios cloud? Las siglas que necesita saber

Technology

¿Seguridad de los servicios cloud? Las siglas que necesita saber

June 28, 2016 Mark Goldin

La seguridad es, obviamente, una de las principales preocupaciones para cualquier empresa que desee migrar sus datos y procesos a la nube, sobre todo cuando se trata de la gestión del talento ya que requiere la protección de datos muy sensibles, los datos personales de los empleados. Pero lo que es menos claro es lo que en realidad hay que saber a la hora de evaluar a los proveedores y sus prácticas de seguridad. Y es aún más complicado cuando vemos la gran cantidad de acrónimos asociados con las normas de seguridad y las certificaciones.

Aquí hay una descripción rápida de las certificaciones que los proveedores de servicios de gestión del talento en la nube deben tener, o deben estar trabajando para obtenerlas, lo que significan y por qué son importantes.

ISO/IEC 27001:2013

Publicada por la ISO, una organización internacional independiente, no gubernamental. ISO/IEC 27001:2013 es una norma que "especifica los requisitos para establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información en el contexto de la organización."

En resumen, es un conjunto de reglas y controles destinados a orientar a las empresas en lo relacionado con la gestión de la seguridad de la información. Si bien la norma ISO/IEC 27001:2013 comenzó como un estándar para las empresas en Europa, ahora se aplica a nivel mundial.

Actualmente muchas compañías requieren esta certificación ISO a los proveedores de servicios en la nube y su mantenimiento  a lo largo de la vida de un contrato de servicios.

Hay que tener en cuenta que la "certificación ISO" y "compatibilidad con ISO" son cosas diferentes.

Una certificación ISO lo que demuestra es que una empresa, o bien cumple con todos los requisitos de la norma ISO/IEC 27001:2013 o con un subconjunto específico de los controles, y el estado de esos controles ha sido revisado por un auditor independiente. La certificación es un proceso continuo; Los auditores comprueban los requisitos cada año y buscan mejoras. Es importante preguntar a los proveedores de servicios en la nube por una SOA (Declaración de Aplicabilidad), un documento de registro y control de las medidas de seguridad que son aplicadas.

La compatibilidad ISO significa que una empresa declara que sigue los requisitos de la norma ISO, pero nunca han sido certificados oficialmente. Esta es una práctica aceptable. Sin embargo, las empresas deben revisar las medidas de seguridad del proveedor, especialmente si el proveedor va a gestionar información delicada.

ISO/IEC 27018:2014

Muchos proveedores de servicios en la nube están en el proceso de añadir la norma ISO/IEC 27018:2014 a su certificación ISO/IEC 27001. Se trata de un nuevo estándar. La norma ISO/IEC 27018:2014 "establece los objetivos de control comúnmente aceptados, controles y directrices para la aplicación de medidas para proteger la información de identificación personal (PII) de acuerdo con los principios de privacidad de la norma ISO/IEC 29100 para el entorno de computación en nube pública."

Al igual que la norma ISO/IEC 27001: 2013, la ISO / IEC 27018: 2014 se convertirá, muy probablemente, en un requisito específico para muchos contratos de prestación de servicios en la nube.

SSAE 16 SOC 1 y SOC 2

La Declaración de normas para  certificaciones Nº 16 (SSAE 16), también conocida como SOC 1, (SOC es " Control de Servicio de Organización") fue finalizada por la Junta de Normas de Auditoría del Instituto Americano de Contadores Públicos Certificados (AICPA) en 2010. SSAE 16 describe los controles del proveedor de servicios y permite a las empresas comprender mejor los procesos y procedimientos que ayudan a construir credibilidad y confianza sobre los proceso de prestación de servicio de los proveedores de nube.

SOC 2, basado en los principios y criterios de la AICPA, describe algunos de los controles específicos para la seguridad y la privacidad. Es otro de los estándares de cumplimiento que cada vez más compañías están incluyendo en los contratos de servicios para los proveedores de servicios en la nube.

Para demostrar que se cumple con SSAE 16 y los principios y criterios de confianza de la AICPA, las compañías deben presentar SOC 1 y/o los informes de SOC 2. Se debe solicitar a un proveedor de nube la presentación de "SOC 1, Tipo II" y/o el informe "SOC 2, Tipo II", que confirman que los controles han sido probados (el Tipo I es una simple descripción de cómo una empresa ejecuta los controles). Hay que prestar especial atención a quién audita el informe; las empresas más grandes son las que generalmente más profundizan en este tipo de auditorías. Es importante leer detenidamente el informe para evaluar los fallos de control o las excepciones que los auditores hayan observado.

ISAE 3402 Tipo II

Esta es la versión europea del 16 SSAE SOC 1, Tipo II. Los proveedores por lo general no necesitan tener ambos certificados, pero si lo tienen es muy positivo.

FedRAMP

El Programa Federal de Gestión de Riesgos en Autorización, FedRAMP, "es un programa del gobierno de los Estados Unidos basado en el Instituto Nacional de Estándares y Tecnología (NIST) Publicación Especial 800-53, Revisión 4, que proporciona un enfoque estandarizado para la evaluación de la seguridad, autorización y monitorización continua de productos y servicios en la nube".

El proceso de certificación FedRAMP es arduo y un  proveedor puede tardar varios años en conseguir la "Autoridad para Usar" (Authority to Operate, ATO). Por lo tanto, si un proveedor de servicios en la nube está certificado en FedRAMP significa que sus prácticas de seguridad y controles tienen un listón muy alto.

Para ver los proveedores de servicios en la nube que actualmente están certificados en FedRAMP, consulte el listado en el sitio web del programa.

CSA CCM

Un estándar emergente es Cloud Security Alliance Cloud Controls Matrix (CSA CCM) que está "diseñado específicamente para proporcionar los principios fundamentales de seguridad que deben seguir los proveedores de nube y para ayudar a los clientes a evaluar el riesgo general de seguridad de un proveedor de servicios en la nube." La matriz (disponible para su descarga aquí) es un marco de control diseñado por el CSA; los controles se asignan a otras normas de seguridad principales, como las descritas anteriormente.

Los proveedores de servicios cloud no están obligados a utilizar este framework. Pero si lo hacen, o están trabajando para adoptarlo, indica que hay un fuerte compromiso con la seguridad. Se puede preguntar a los proveedores si han completado el cuestionario CSA (Consensus Assessments Initiative Questionnaire) o visitar el registro CSA STAR para ver si se han presentado.

PCI

El Payment Card Industry Data Security Standard (PCI DSS) (PCI DSS) es un conjunto de normas establecidas para asegurar que las empresas que procesan, almacenan o transmiten información de tarjetas de crédito mantienen un entorno seguro. Con el fin de obtener la certificación, los proveedores de servicios en la nube que pertenezcan a esta categoría deben implementar y mantener el estándar. Pueden encontrar más información sobre PCI en https://www.pcisecuritystandards.org.

Los requisitos de seguridad que un vendedor de servicios en la nube debe cumplir para proteger los datos de un cliente dependen, en gran medida, del tipo de información que manejen. Cuánto más sensibles sean los datos, más importante será la adopción de los estándares de la industria. En cualquier caso, todos los proveedores de servicios cloud deben ser capaces de demostrar con exactitud a sus clientes lo que están haciendo para garantizar la seguridad.

About Mark Goldin
Comments

Want to hear more?

Our RSS Feeds

Cornerstone Blog Feed

Learn how our Integrated Talent Management Solutions can help you face tough challenges.
Check out our products

Tags

Archives