ISO 27001 esquema de certificación recomendado para los proveedores de servicios cloud

>>  lunes, 1 de julio de 2013

ISO 27017 a punto de "Cloud"
http://www.sigea.es/ 01/07/2013


Se espera que el estándar ISO 27017 – a puntito de salir del horno - sea una guía o código de buenas prácticas para la aplicación de controles de seguridad de información en sistemas o servicios basados en computación en nube.

Esta norma está aún en proceso de desarrollo, por lo que no sabemos todavía si responderá a muchas de las preguntas que hoy en día nos hacen nuestros clientes cuando se plantean si volcar sus servicios en la nube.

De todas formas, aquí va una relación de 10 de ellas – relacionadas con la seguridad - que deberían ser consideradas por una empresa para ayudarle a determinar si una implementación de nube es adecuada o no:

1. ¿Cómo podría cambiar mis niveles de riesgo un despliegue en la nube?

2. ¿Qué tengo que hacer para asegurarme de que el servicio cloud que pretendo contratar no contraviene mi política de seguridad?

3. Si contrato estos servicios en la nube ¿Podría comprometer mi compromiso de cumplimiento con la legislación vigente en mi país?

4. El proveedor de servicios cloud que estoy barajando ¿Está certificado en algunas de las normas o mejores prácticas de seguridad? (ISO 27001, ISO 20000, WS Trust…)

5. ¿Qué sucede si se produce una violación? ¿Cómo es el proceso de gestión de incidentes del proveedor?

6. ¿Quién es la entidad responsable de la seguridad de mis datos? ¿El proveedor de manera directa? O ¿Existen intermediarios o terceras partes?

7. ¿Cómo puedo asegurar que sólo muevo a la nube los datos necesarios de indispensables y no información adicional que pueda comprometerme?

8. ¿Cómo me aseguro sólo mis empleados autorizados, mis socios y los clientes que yo especifique pueden acceder a mis datos y aplicaciones y nadie más?

9. ¿Cómo están mis datos y aplicaciones alojadas? ¿Qué medidas de seguridad usa mi proveedor?

10. ¿Cuáles son los factores que me dicen que puedo confiar en este proveedor?

Según parece, esta nueva norma no será certificable aunque podrá ser utilizada, como la ISO 27002, como fuente de contramedidas de seguridad a aplicar a servicios en la nube.

O lo que es lo mismo. Por el momento, los proveedores de servicios cloud que pretendan dotar de confianza y de una gestión eficiente en seguridad a sus servicios en la nube, deberán de considerar la norma ISO 27001 como el esquema de certificación recomendado.

Autor: Beatriz Martinez


0 comentarios :

Snap Shots

Get Free Shots from Snap.com

  © Free Blogger Templates Autumn Leaves by Ourblogtemplates.com 2008

Back to TOP