AGENDAR DEMO
INGRESAR

¿Por qué integrar los sistemas de tu empresa con un CLM?

Por Juan Andrés Nuñez 01 ago 2018

A la hora de trabajar con información en la nube, las empresas que prestan este servicio deben garantizar la integridad de los datos de sus clientes. Para ello, existen las normas ISO 27001, 27017 y 27018, las que apuntan a fortalecer la ciberseguridad en servicios cloud. A continuación, te contamos todo lo que necesitas saber al respecto.

Contar con una certificación ISO es uno de los parámetros más importantes a la hora de elegir un proveedor de servicios en la nube. Dicha certificación garantiza altos estándares en la seguridad de la información, uno de los activos más valiosos para las empresas que prestan servicios DBaaS (Data Base as a Service, o Base de Datos como Servicio), al igual que aquellas cuyo modelo es el Saas (Software as a Service).

Al respecto, las normas ISO 27001, 27017 y 27018 constituyen algunos de los principales estándares para resguardar la ciberseguridad y garantizar la integridad de la información alojada en la nube, servicio ofrecido por empresas como Amazon Web Services (AWS) o Google Cloud.

Normas ISO para la seguridad en la nube

1. ISO 27001

A grandes rasgos, la norma ISO 27001 es un estándar generado por la Organización Internacional de Normalización (ISO, por sus siglas en inglés) que describe la manera correcta de gestionar la seguridad de la información al interior de una empresa.

Se trata de la principal norma de seguridad -a nivel global- para el manejo de la información. Su eje central es el Sistema de Gestión de la Seguridad de la Información (SGSI), el cual debe realizarse a través de un "un proceso sistemático, documentado y conocido por toda la organización", tal como lo establece el propio organismo.

Entendiendo que es prácticamente imposible garantizar la total seguridad de la información, la norma ISO 27001 apunta a que las organizaciones conozcan los riesgos asociados al manejo de información, asumiéndolos, minimizándolos y gestionándolos por medio de un proceso documentado, sistemático, estructurado, eficiente, repetible y adaptable a los eventuales cambios que pudieran presentar los riesgos, el entorno y la tecnología.

Para obtener una certificación ISO 27001, la empresa debe cumplir con ciertos pasos:

  • Etapa previa. Aquí, las empresas deben implementar 14 pasos básicos para iniciar su proceso hacia la certificación. Entre los principales, están la utilización de una metodología de gestión de proyectos, contar con el apoyo de toda la dirección en el proceso de implementación, definir el alcance del sistema de seguridad, determinar una política de evaluación de riesgos, implementación de controles y medidas correctivas. 
  • Auditoría de revisión. Personal externo revisará que lo anterior se cumpla para dar curso al proceso de certificación.
  • Auditoría principal. Aquí, un grupo de auditores verificará que las medidas anteriores cumplan con sus objetivos. De estar todo en orden, la empresa puede ser certificada.
  • Revisiones periódicas. Una vez aprobada la certificación, el organismo monitoreará dicha empresa durante 3 años para garantizar que cumpla con los esfuerzos de protección de datos.

2. ISO 27017

La norma ISO 27017 es un estándar de seguridad que proporciona controles tanto para clientes como para proveedores de servicios en la nube.

Su importancia radica en la precisión con la que establece las relaciones entre clientes y proveedores de servicios en la nube, determinando qué puede exigir el cliente y qué información debe proporcionarle el proveedor.

El cumplimiento de esta guía permite fortalecer la ciberseguridad y la gestión del servicio referente a arquitectura, medidas de seguridad, funcionalidades disponibles, tecnología de cifrado y localización geográfica de los datos.

Esta norma contempla 37 controles en la nube -basados en la ISO 27002-, junto a 7 adicionales que permiten fortalecer la seguridad de los servicios cloud.

3. ISO 27018

Finalmente, la norma ISO 27018 constituye un compendio de buenas prácticas -referentes a controles de protección de datos- para servicios cloud, enfocada específicamente en los proveedores.

Su objetivo central es delimitar las normas, procedimientos y controles que los proveedores -en su calidad de "procesadores de datos"- deben aplicar. Además, garantiza el cumplimiento de la normativa legal en cuanto al manejo de datos personales. 

Proveedores de servicios cloud que cumplen con las normas ISO

Puesto que los estándares anteriormente abordados apuntan a fortalecer la ciberseguridad en la nube, los principales proveedores del mercado deben ceñirse a ellos.

Por un lado, Amazon Web Service (AWS) transparenta el cumplimiento de todas las normativas anteriores, además de cumplir con leyes y regulaciones específicas de determinados países. 

Por otro, Google Cloud también pone a disposición de los usuarios el listado de normativas, certificaciones y regulaciones con que cumple para garantizar la ciberseguridad de los datos de sus clientes. Desde luego, el servicio se cumple con los estándares anteriormente revisados.

Contar con estas certificaciones le ha permitido a AWS y a Google Cloud posicionarse como los mejores proveedores de servicios en la nube.  Gracias a los controles implementados, tanto el modelo DBaaS como el SaaS se han vuelto más seguros, confiables, transparentes y efectivos.

New call-to-action

Suscríbete

New call-to-action

Artículos por tópicos

Un encabezamiento claro y audaz

Información adicional en una línea