a young woman sits at a desk in front of a screen with a reference to cloud storage

Seguridad en la nube con ISO 27001:2022

André Saeckel

Experto en normas DQS para la seguridad de la información
dic. 29 , 2023
# Seguridad de la información y gestión de riesgos

Según un estudio de Statista, en 2022 el 84% de todas las empresas alemanas ya utilizarían servicios en la nube. Otro 13% está planificando o discutiendo su uso. Por tanto, la proporción global de empresas que utilizan la nube seguirá aumentando. Sin embargo, el uso u operación de estos servicios está asociado con una variedad de riesgos.

Sin medidas adecuadas para aumentar la seguridad en la nube, las empresas están expuestas a considerables riesgos de seguridad al gestionar los datos de sus clientes, independientemente de dónde estén almacenados. El nuevo Control 5.23 "Seguridad de la información para el uso de servicios en la nube" de la norma ISO/IEC 27001:2022 actualizada describe posibles medidas de seguridad. En la siguiente publicación del blog, mostramos qué cubre la nueva medida de seguridad y qué aspectos deben considerarse para una (re)certificación exitosa.

CONTENIDO

¿Por qué es importante la seguridad en la nube?

Desde la nube privada a la pública, ya sea IaaS, PaaS o SaaS: las estructuras y servicios de la nube determinan gran parte del panorama TIC actual de empresas, organizaciones o autoridades. La computación en la nube hace tiempo que se convirtió en una realidad y está cambiando fundamentalmente la forma en que se brindan y utilizan los servicios de TI.

Sin embargo, los riesgos de seguridad asociados con su uso cada vez mayor son complejos y no se limitan al crimen organizado. La gestión inadecuada de identidades y accesos, las configuraciones erróneas y la divulgación involuntaria de datos en la nube por parte de los empleados también se encuentran entre las mayores amenazas.

Así lo confirma el informe anual 2022 de Cloud Security Alliance (CSA ). Además, la falta de seguridad puede afectar la disponibilidad de los servicios y poner en peligro el cumplimiento de diversas regulaciones y estándares que requieren la protección de los datos personales y de los clientes.

Todas estas amenazas llevaron a la ISO (Organización Internacional de Normalización) y a la IEC (Comisión Electrotécnica Internacional) a incluir la seguridad de la información para el uso de servicios en la nube como un elemento separado en el nuevo ISO/CEI 27001:2022 .

whitepaper-ISO 27001-faq-dqs-cover picture

ISO/IEC 27001:2022

44 preguntas y respuestas

Recopilación de detalles interesantes sobre la norma revisada:

  • ¿Cuándo deberíamos hacer la transición al nuevo estándar?
  • ¿De qué se tratan los nuevos controles?
  • ¿Dónde puedo encontrar una lista de correspondencias antiguas y nuevas?

...y 35 más.

Descargar gratis

Seguridad de la información y cumplimiento mejorados

La nueva medida preventiva sirve para garantizar  seguridad de información al utilizar servicios en la nube. Apoya, de acuerdo con los respectivos requisitos de seguridad de una organización, la definición sistemática de procesos de adquisición, uso, gestión y salida.

Dada la variedad de servicios que se ofrecen, el nuevo Control 5.23 del Anexo A exige el cumplimiento de un "enfoque específico por tema".

Esto tiene como objetivo alentar a las empresas a crear políticas de servicios en la nube adaptadas a funciones comerciales individuales. En comparación con una política general que se aplica en todos los ámbitos al uso seguro de los servicios en la nube, los requisitos de cumplimiento se pueden abordar de una manera mucho más granular.

Seguridad en la nube a través del nuevo Control 5.23

La seguridad de la información para el uso de servicios en la nube en esta forma específica de la nube es una medida recientemente introducida en el Anexo A del  nueva norma ISO 27001:2022 . En la versión anterior, los servicios en la nube se ubicaban generalmente en el ámbito de las relaciones con los proveedores.

Debido al uso cada vez mayor y a los enormes avances en el sector de la nube, tiene sentido proteger sistemáticamente los servicios en la nube con una medida de seguridad de la información independiente. Sin embargo, el control A.5.23 debe coordinarse estrechamente con las medidas A.5.21 y A.5.22, que tratan de la seguridad de la información en la cadena de suministro de TIC y la gestión de los servicios de los proveedores.

ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

TIC - Tecnologías de la información y la comunicación

Benefíciese del conocimiento de nuestros expertos

En la economía digital, las TIC libres de errores son esenciales para mantener los procesos comerciales. Las últimas actualizaciones de las normas ISO 27001 y 27002 tienen como objetivo minimizar los riesgos de seguridad. El control 5.30 "Preparación de las TIC para la continuidad del negocio" del Anexo A obliga a las empresas a garantizar la disponibilidad continua de las TIC incluso en caso de interrupciones. Lea nuestra publicación de blog para descubrir qué significa esto para su sistema de gestión de seguridad de la información.

Explore el artículo

Implementación del Control 5.23

En materia de seguridad de la información, las empresas deben definir una serie de aspectos para la implementación del Control 5.23 . Estos incluyen todos los requisitos relevantes, criterios de selección y áreas de aplicación asociados con el uso de un servicio en la nube. Una descripción detallada de las funciones y responsabilidades relevantes determina cómo se utilizan y gestionan estos servicios dentro de una organización.

En el lado externo, se deberá acordar con el proveedor del servicio:

  • ¿Qué medidas de seguridad de la información gestiona el proveedor del servicio?
  • ¿Cuáles son responsabilidad de la propia empresa?

También es importante aclarar cómo se pueden poner a disposición, utilizar y comprobar de forma fiable las medidas de seguridad proporcionadas por el proveedor. Especialmente cuando se utilizan múltiples servicios en la nube de diferentes proveedores, los procesos claramente definidos respaldan el manejo de controles, interfaces y cambios en los servicios.

Sin embargo, debido a los múltiples riesgos de seguridad a los que están expuestas las empresas hoy en día, nunca se pueden descartar por completo los incidentes de seguridad. En tales casos, los procedimientos de gestión de incidentes específicos del servicio ayudan a afrontar el desafío de la mejor manera posible.

Para gestionar tales riesgos, los servicios en la nube deben monitorearse, revisarse y evaluarse utilizando un enfoque definido sistemáticamente de acuerdo con la norma ISO 27001 revisada. Además, la norma requiere que se definan procesos para cambiar o interrumpir el uso de un servicio. Estos también deben incluir estrategias explícitas de salida de los servicios en la nube.

Seguridad de la información certificada según ISO 27001

Proteja su información con un sistema de gestión estándar internacional ★ Implementación efectiva de un proceso de gestión de riesgos ★ Obtenga más información. Sin compromiso y gratuito.

Obtenga más información sobre su certificado ISO 27001

Importancia de los aspectos de seguridad contractual

El diseño contractual de los servicios en la nube es esencial para que la empresa cliente establezca parámetros marco importantes y proporcione protección legal. Sin embargo, los acuerdos de servicios en la nube suelen estar predefinidos y no son negociables. Teniendo esto en cuenta, las empresas deberían prestar especial atención a estos acuerdos y examinarlos de cerca. De esta manera, aseguran que se cumplan los requisitos operativos esenciales para los  objetivos de protección de la seguridad de la información Se cumplan “confidencialidad, integridad, disponibilidad” y procesamiento de la información.

Para garantizar esto, un servicio en la nube debe proporcionar soluciones basadas en tecnologías reconocidas en la industria  estándares para arquitectura e infraestructura. Debe contar con controles de acceso que cumplan con los requisitos de seguridad e incluyan soluciones de monitoreo y protección contra malware. Debe estipularse contractualmente que el procesamiento y almacenamiento de información sensible sólo está permitido en lugares autorizados o dentro de una jurisdicción específica. Esto es importante, por ejemplo, para infraestructuras críticas.

El proveedor de servicios debe brindar soporte específico en caso de un incidente de seguridad en el entorno del servicio en la nube y ofrecer soporte general en la recopilación de evidencia digital. Los requisitos de seguridad también deben cumplirse cuando un servicio se transfiere a proveedores de servicios externos.

Si una empresa quiere abandonar un servicio, el proveedor debe seguir comprometido con el soporte y la disponibilidad del servicio durante un período de tiempo razonable. Por lo tanto, también deben proporcionar copias de seguridad de los datos y la información de configuración y gestionarlos de forma segura si es necesario. Información como archivos de configuración, código fuente y datos confidenciales propiedad de la organización deben proporcionarse previa solicitud o devolverse al finalizar el servicio.

Un cliente de servicios en la nube debería considerar, de acuerdo con sus propios requisitos de seguridad, si el acuerdo debería incluir el deber de informar si un proveedor de la nube realiza cambios significativos. Éstas incluyen:

  • Cambios en la infraestructura técnica que afectan la oferta de servicios.
  • Procesamiento o almacenamiento de información en una nueva jurisdicción geográfica o legal

Uso o cambio de proveedores de servicios en la nube homólogos u otros subcontratistas

Seguridad en la nube a través del nuevo Control 5.23 - Conclusión

Según un estudio realizado por el estadista en 2022, el 84% de todas las empresas alemanas utilizarán servicios en la nube. Además, el 13 por ciento se encuentra en fase de toma de decisión o planificación para su uso. Esto significa que la protección de la información personal y de los datos confidenciales es cada vez más importante.

Con la nueva medida de seguridad, ISO e IEC están cerrando una brecha importante en la protección de las arquitecturas TIC modernas y los datos sensibles de empresas, organizaciones y autoridades. Significa que el estándar de seguridad de la información  ISO 27001 , como estándar global, ahora también contribuye a una seguridad en la nube consistente y sistemática.

Independientemente de si su empresa opera en un entorno de nube pública, nube privada o nube híbrida, las mejores prácticas y soluciones de seguridad de la información son esenciales. Ésta es la única manera de garantizar la continuidad y el cumplimiento del negocio. Especialmente en tiempos de escasez de habilidades y redes corporativas descentralizadas, la seguridad de los datos en la nube seguirá ganando importancia en los próximos años.

El nuevo Control 5.23 del Apéndice A proporciona un marco a los usuarios de servicios en la nube. Pueden utilizarlo para poner a prueba sus medidas de seguridad de la información existentes y ajustarlas si es necesario.

Además de una gran cantidad de requisitos organizativos básicos, el nuevo control también subraya la importancia de una estrecha cooperación con el proveedor de servicios en la nube para mantener el intercambio mutuo de información en todo momento. Esto promueve mecanismos recíprocos para monitorear las características definidas del servicio e identificar y reportar incumplimientos de las obligaciones acordadas.

¿Qué significa la actualización para su certificación?

La  nueva norma ISO/IEC 27001:2022 fue publicado en inglés el 25 de octubre de 2022. Esto resulta en los siguientes plazos y períodos para la transición para los usuarios

Conversión de todos los certificados existentes a la nueva versión:

  • Se aplica un período de transición de 3 años a partir del 31 de octubre de 2022.
  • Los certificados emitidos de acuerdo con ISO/IEC 27001:2013 o DIN EN ISO/IEC 27001:2017 solo son válidos hasta el 31 de octubre de 2025, después del cual las normas antiguas se consideran retiradas.

Última fecha para certificaciones iniciales y recertificaciones según la "antigua" ISO 27001:

  • 30 de abril de 2024: a partir del 1 de mayo de 2024, DQS solo realizará auditorías iniciales y de recertificación de acuerdo con la nueva versión 2022.

ISO/CEI 27001:2022 - Seguridad de la información, ciberseguridad y protección de la privacidad - Sistemas de gestión de seguridad de la información - Los requisitos están disponibles en  www.iso.org.

Grupo DQS: know-how concentrado en auditoría

Como muestran los plazos, a las empresas solo les queda un tiempo limitado para adaptar su sistema de gestión de seguridad de la información a los nuevos requisitos y certificarlo. No se debe subestimar la duración y el esfuerzo de todo el proceso de cambio.

Como expertos en auditoría y certificación con casi 40 años de experiencia, estaremos encantados de ayudarle a evaluar su estado actual, por ejemplo en el marco de una  auditoría delta. Pregunta a nuestros experimentados  auditores sobre los principales cambios y su relevancia para su organización. Juntos, discutiremos su potencial de mejora y lo apoyaremos hasta que reciba el nuevo certificado.

Confianza y experiencia

Nuestros textos y folletos están escritos exclusivamente por nuestros expertos en normas o auditores de larga data. Si tiene alguna pregunta sobre el contenido del texto o nuestros servicios a nuestro autor, esperamos escuchar  de usted.

Autor
André Saeckel

Director de producto en DQS para la gestión de la seguridad de la información. Como experto en normas para el área de la seguridad de la información y el catálogo de seguridad informática (infraestructuras críticas), André Säckel es responsable, entre otras, de las siguientes normas y estándares específicos del sector ISO 27001, ISIS12, ISO 20000-1, KRITIS y TISAX (seguridad de la información en la industria automotriz). También es miembro del grupo de trabajo ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional del Instituto Alemán de Normalización DIN.

¿Tiene alguna pregunta?

Estamos a su disposición.
Contáctese con nosotros