GOBIERNO :/. | COMISION PRESIDENCIAL Be covieRNo ABIERTO GUATEMALA | VELeCTRONICO cédigo de resaltado revisién Informatica rojo contrat violeta auditoria O MANUAL de y USO de /Ja NUBE 0 para el ORGANISMO EJECUTIVO 2022INDICE | Pagina Introduccién 2 Tipos de almacenamiento en la nube 5 Enticades a quienes aplicar este manual 8 Principios del manual 8 APARTADO | ‘Consideraciones legales 2 APARTADO Il Disposiciones generales 3 APARTADO II - ‘Administraci6n de la informacién 6 APARTADO IV ‘Seguridad de tecnologia de la informacion 6 APARTADOV Procesamiento de informacion 8 APARTADO VI Propiedad de los datos, recuperacién y accesos 20 APARTADO VIL Fiscalizacion de los servicios en la nube 2 MANUAL d- BEN <2 IS.oN PRESIDENCIA, NUBE « GUATEMALA / BE'GOBIERNO ABIERTO VELECTRONICOINTRODUCCION Elreto del gobierno hacia el future es claro, se ceben proveer servicios complejos con recursos limitadios, asi coro tender con mayor eficacia a cludadanos cada ver més interconectados al internet. Esto se logra a través del ‘escimulo ala innovacién en la entrega de servicios, la creacion de nuevos modelos de participacién cludadana, el aumento de la veloc dad y la agildad de respuesta, asi como el incremento en la seguridad de la informacion digital y el control del gasto public, La inversion requerida por el Estado en infraestructura fisica para los edificios de centros ce datos, equipamiento de hardware y sistemas que lo mantienen con alimentacién ininter/umpida eléctrica, climatizacién para equipo de compute, proteccién contra incendios con supresores, alarmas de evacuacion y dateccién de los mismos, asi como, la constante evolucion natural de la tecnologia que circunda estos actives, ha creado un ciclo constante de actualizacion para mantenerse a la vanguardia tecnologica y de seguridad de informatica Este cielo ocupa el recurso limitado del Estacio mayormente en procurar mantener operand sistemas, mantenerlos seguros y en la infraestructura mas moderna posible para evitar contratiempos, dejando atras las nuevas necesidades generacionales de los ciudadanos y la Agil respuesta a éstas, La oferta tecnolégica contemporanea mira cada vez mvas hacia la entrega de servicios especializadas bajo demanda. Los preveedores de servicios de nube han preparado la infraestructura necesaria, incluyende al ciclo de renovacién y actualizacién y ponen al servicio publico todas estas capacidades cumpliendo con homelagaciones, marcos regulaterios de conformidad, certificaciones y acreditaciones intemacionales de seguridad, normalizacién, calidad, entre otros. Estos proveediores establecen ritmos de innovacién acelerados para faclitar la adopeién y actualizacion tecnolégica, y esté evolucionando la entrega de servicios al ciudadano 0 clente que requiere Asi, poniendo a los ciudadanos y sus necesiciaces primero, se transforman y adquieren las habilidades que se reduieren para atenderlas, construyende més y mejores servicios de innovacién, favoreciendo el uso de MANUAL d- COMISION PRESIDENCIAL, NUBE «» GUATEMALA, DE GOBIERNO ABIERTO Y ELECTRONICOINTRODUCCION techologias de pago por uso, y fjando una visién cle largo plazo de mejorar Ia caliiad del gasto frente al valor final que al mismo tiene para los ciudadanos. Por lo anterior, es fundamental aue los denominados servicios en la ube se conviertan en la opcién para las Tecnologias de la Informacién y Comunicacién del organismo ejecutivo del gobierno de Guatemala. La nube es un compuesto de amplia variedad de tecnologias que van desde la virtualizacién y el procesamiento de datos distriouicos, hacia la estandarizacion y orcenamiento normalizado de servicios. La proyeccién en el mediane plazo podria dar pie segtin las practicas actuales, a una disminucién en el costo en relacion con el madelo actual de algunos renglanes de la ejecucion de gasto del Estado, tanto en el hardware come en el licenciamiento y uso del software, los centros de datos, por ejemple: se acondicionan para poner 2 disposicién sus plataformas y que éstas sean de aka disponibilidad con especialistas en cada una de las ramas que se necesitan, claro esta que con los servicios en la nube estas respensabilidades se comparten, La continuidad operacional y recuperacién de los servicios gubernamentales esenciales, parametrizados con relacion a los estandares internacionales y las mejores practicas, asi como la disponibilidad de los proveedores de servicios de nube, que garanticen copias de seguridad y almacenamiento de datos de manera centralizada, y rediundante en los nodos de servicio que ponen a disposicién, esto permitirs un major tiempo objetivo de recuperacién -RTO., y el punto objetivo de recuperacién -RPO-, validados mediante métticas ante desastres y Continuidiad del negcio -BCP- (por sus siglas en el idioma inglés, Business Continuity Plan), situacion que con las précticas actuales es muy complejo aleanzar. MANUAL d- COMISION PRESIDENCIAL, NUBE «» GUATEMALA, DE GOBIERNO ABIERTO Y ELECTRONICOTIPOS DE ALMACENAMIENTO EN LA NUBE Se conocen varias descripciones en lo que respecta este apartado, sin embargo, todos los estandares y descripciones acerca de este tema particular ostentan sus definiciones en estos 4 tipos. 1. Pablico: Almacenamiento en la nube disponible al pUblico en general de forma abierta _¢ ilmitada Es un servicio que se aloja de forma externa al usuatio, pudiéndose acceder facilmente a través de Internet, Google, Amazon Web Services, HUAWEI, Azure (Microsoft) algunos ejemplos de este tipo de almacenamiento en la nube, 2. _Privado: Esta forma de almacenamiento se encuentran dentro de las instalaciones del usuario (usvalmente, ‘9 en instalaciones ce un provesdor de Datacenter externo), es una infraestructura local operada ‘exclusivamente por un solo cliente que la controla y la pone al funcionamjento de su organizacion, y da el Servicio a Sus Usvarios, quienes son parte de sus unidades de trabajo, podtia ser proveida por un tercero ala institucién (medele valido), pero dlejamos claro que, es para uso Inter operacional 3. Hlbride: Combinacién de dos a més nubes que engloba los modelos anteriores (pdblica y privada) que siguen siendio unicas, pero interconectadas en los servicios que se necesitan. El cliente es propietario de una parte, sin embargo, comparte otras. Las nubes hibridas permiten a las empresas tener una gran flexibilidad, portabilidad, interoperablidad, as’ como no incurtir en tantos gastos como en la nube privada, 4, Nube Comunitaria: Este concepto se refiere 2 que la nube esta provista para uso exclusive por una comunidad especifica a organizaciones que tienen preccupaciones compartidas (por ejemplo, misién, requisitos de seguridad, politicas y consiceraciones de cumplimiento), Puede ser propiedad, acrministrada y ‘operada por una © mas de las organizaciones de la comunidad, un tercero © alguna combinacién de ellas, y Puede existir centro o fuera de las instalaciones. MANUAL d- COMISION PRESIDENCIAL, NUBE «» GUATEMALA, DE GOBIERNO ABIERTO Y ELECTRONICOTIPOS DE SERVICIOS QUE OFRECE LA NUBE 1) Cloud Software as a Service (SaaS, derivade del idioma ingles) ‘SaaS es aquella aplicacisn ofrecida por un fabricante de software o proveedar de servicios informaticos a través de Internet, para la utiizacion por varios clientes, El fabricante es el que en ultima instancia se ocupa del mantenimiento dela privacidad de los datos la personalizacién de la aplicacién sobre la base de lo requerido por cada cliente, En este modelo de servicio, el usuario paga por el uso y por la infraestructura necesaria {almacenamiento, seguridad, alojamiento, respaldos de datos) se Iimita a utlizar la herramienta y sus funcionalidades, Algunos ejemplos de SaaS son: Google Workspace, MS365, Documany, TeamBox, Kubbos, Gupiguii, Salesforce, Basecamp, Media Wiki, Moodle, WordPress b) Cloud Platform as a Service (Pas, derivado del idioma ingles) El portafolio de servicios de nube ampla las prestaciones cel caso anterior pues se puede desplegar en ella aplicaciones desarrolladas 0 adauiridas por el mismo (cliente/entidad}, para amplar las funcionalidades. Todo ‘eS0, por supuesto, se debera cesarrallar en aquellos lenguajes de programacion que sean aceptados por el proveeder dela nube. En este modelo de nubs, el usuario no podré gestionar la infraestructura de la nube, pero tendra acceso tanto sobre las aplicaciones desplegadas en ella como sobre la contiguracién de las diversas herramientas que utlice. Algunes ejemplos de Paas: Amazon Aurora, Velneo, Abiquo.com, SimpleDB SQS, Google App Engine, Google BigQuery, BOD como servic o, Kubernetes como servicio, Inteligencia artificial Machine Learning como servicio, VMware como servicio, gestién de APIs como servicio. MANUAL d- COMISION PRESIDENCIAL, NUBE «» GUATEMALA, DE GOBIERNO ABIERTO Y ELECTRONICOse debe definir las responsabilidades del proveedor de nube internacional, las del intermediario y las que queden definidas para el cliente. ©) Cloud Infrastructure asa Service (laaS, derivado del idioma ingles) La laaS, es la externalizacién de servidores pata procesamiento, almacenamiento, redes, se facilita la implantacisn € implementacion de contenedores de servicios a la enticiad, el cliente puede tener control sobre los sistemas ‘operatives, el almacenamiento, y un control limitade sobre los componentes de red. Se paga por el nivel de ‘consumo de los recursos: espacio en disco utilizado (va variandio el precio de almacenamiento de archivo muerto yfo histérico, y la cuenta corriente), tiempo de procesamiento -CPU-, espacio en base de datos, transferencia de datos. Este tipo de soluciones desplaza una serie de problemas al provesdor, relacionados con la gestion de las maauinas y el ahorro de costes. Las Infraestructuras come servicio pueden permitir una escalabilidad automitica 0 semiautomatica, de forma que podamos contratar mas recursos sequin se vaya necesitando, Actualmente se pueden mencionar algunos ejemplos de laaS:AbiCloud, Amazon EC2, GoGrid, Google Cloud Plataform, Compute Engine, Azure, entre otros, Es valida hacer mencién de o versas sokiciones de sortware para generar laas, tanto OpenSource como de ambito privado: Vmware, Citrix, 3Tera, Abiquo, Enomaly, Eucaplyptus, Proxmox, OpenNebula.org Ventajas de consideracién actualmente + Econemias de eseala: Los proveedores incrementan el portatolio de servicios hacia el mercado tecnolégico, quion demanda de cada uno de ollos (los servicios) la especializacién en cada area, esto genera un incremento en la demanda y ls confianza de la produccion de los proveedores, el volumen de clientes que contrata cada especialidad podela generar la disminucian de los costos por servicio y por demanda Yio utizacién de cada uno de ellos, lo que genera en cada proveedor altas economias de escala, y que se traduce MANUAL d- COMISION PRESIDENCIAL, NUBE «» GUATEMALA, DE GOBIERNO ABIERTO Y ELECTRONICOvalidar con el intermediario que el proveedor de nube tenga los estandares ‘en reducciones de costo naturales en el mercado de servicios tecnolégicos, por lo que cleberiareflejarse en el mercade de precios y beneficios al contratante, ‘Seguridad, privacidad y conformidad: Al utlizar servicios en la nube, las entidades de gobierno gozaran del Servicio de especialistas de seguridad en los centros de datos del prestador de servicio y de forma conjunta se implementan politicas de seguridad tecnolégica y contra el ciberdelite. Las infraestructuras de la nube ‘estan disefadas y se administran de acuerdo con un gran numero de reglamentos, normas y las mejores practicas recomendiadas a nivel internacional como, por ejemplo: las Normas ISO 27001, [SO 27017, 160 27018, fentre otros. Estos estandares son por mencionar la referencia 2 considerar en el modelo de negocio que sea determinaco por comité die cada entidad ‘Comprender que la nube es come un derecho de uso por servicios de tecnologias provis'onados bajo demanda, ‘con un sistema de cobro y/o pago por lo que se usa, se propone el siguiente manual como una base, el cual debe fevelucionar conforme al desarrolla e innovacisn del mercado tecrologico, MANUAL d- NUBE « GUATEMALA, BE 215108 PRESIDEN DE GOBIERNO ABIERTO Y ELECTRONICOENTIDADES A QUIENES APLICA ESTE MANUAL Este Manual es de observancia a todas las pero puede ser usado de manera supletoria por todas las demas instituciones que sonforman el sector puiblico, que buscan alojar sus datos, aplicaciones o servicios en ese entorno, cuando la Institueidn no cuente can un manual propio. PRINCIPIOS DEL MANUAL Este manual se basa en los siguientes principios de conduccién: Las Tecnologias de Ia Informacin y la Comunica (TIC) a nivel de la enticad deben enfocarse en la La infraestructura de TIC es un habilitador clave para la consolidacién y optimizacién a nivel nacional Estandarizar la gestién de la infraestructura permite: © Optimizar el uso de Mejora en la S Mejraen iscaltaden © Goitinuidadlerpresarial eficiente Promover el enfoque ecléctico de nube, primero respetando todos los roles, legislacién y mandatos de los ministerios, secretarias y demas entidades del Organismo Ejecutivo, El siguiente razonamento de este principio se aplica para © Evitarlas mltiples ocurrencias innecesaria de la informacién de personas en las entidades del sector MANUAL d- BE 215108 PRESIDEN NUBE «» GUATEMALA, DE GOBIERNO ABIERTO Y ELECTRONICOLa Administracién y Financiero de las entidades deberan preferir nube antes de evaluar adquisiciones de TIC con el apoyo técnico necesario pblico,y simplificar la complejidad asociada en cada una de ellas (enticlaces © Disenar la infraestructura de TIC de las © Permtrla optimizacisn con arqultecturas modernas que basadas en servicios en la nube puedan : Derivado de Io anterior, Alas i Jue una estrategia alternativa en la innovacién tecnolégica de implementacién, 2 corto, mediano yfo largo plazo necesite. {ICO, por sus siglas en el idioma inglés), Establecer que todos los servicios en nube sean aplicables a las notmativas que regulan la funcion publica es fundamental por lo ue cada caso debe tener un ansisis que sustente su apartadoy la stificacon aecuada pars contatar extn tervico, sm emoargo aendentia Ge beificio eh euantoaloltnanciets > ied i ecrs Rutyae rte tes due Ns aladdin cated contratar las mismas por el tempo que sea necesario en su ineremento o disminucion es de forma agi MANUAL d- NUBE «: GUATEMALA, BE 215108 PRESIDEN DE GOBIERNO ABIERTO Y ELECTRONICOLa Administracion debera elaborar documento contractual, en donde se defina la modalidad del consumo de nube. La versatilidad de su GGfitiaseisiinUeaeiiaceisebalSMIStnGsimGdelas entre ellos: DEBATE c's roito cs pagar seaun ol uso como a Energi Eléctrica te modelo es solicitar un “bolsén" de créditos (cacia uno equivalente a US$1 de uso en la nube, y SU equivalente a la moneda de curso legal). El valor del crédito lo da el proveeder, debe ir ineluidos los imouesosegulados on Custersta, CGRIRERERTISSIURISINGISIS se compromete un pago fj anual, donde se debe respeta el estimade. Hay ‘opciones para Gobierno de Acuerdo de Suscripcion, donde se garantiza el monto anual, y los casos que regula la Ley de Compras y Contrataciones del Estado, un modelo, No esta demas la mencién cle la importancia de det {la25, Peat ‘saa. Este manualorienta a las entidades gubernamentales ce la Repiiblica de Guatemale, a implementar un entorna ‘operative comin con el objetivo de alcanzar mayer dinamismo y agilidad. La computacisn en nube agilza el desarrollo, el soporte y el alojamiento de soluciones TIC, lo que resultara en un mejor rendimiento del servicio y Una implementacisn més rapida de los mismos, Soportar los servicios gubernamentales con computacién en la nube’, da como resultado la reduecién inmediata de tiempo para implantar e implementar infraestructura y mantenimiento, Incrementar Ia capacidad de gestién y la productividad de las soluciones de TIC, por medio de las actualizaciones col hardware y el software que gestiona el proveedor del servicio. Mejorar la integracién entre servicios. Se habiltaré una colaboracién més efectiva a medida que las fentdledes Gonen mas faciidad para verfcar y compartir informacion enti matituciones, mejorar la se debe de concertar reuniones de evaluacién y arquitectura para la cotizacién del los servicios requeridos. MANUAL d- NUBE «: GUATEMALA, BE 215108 PRESIDEN DE GOBIERNO ABIERTO Y ELECTRONICOcficiencia y habiltar la creatividad en la prestacién de servicios publicos. Lograr la continuidad operacional y recuperacién de los servicios qubernamentales esenciales. Copias de seguridad y almacenamiento de dates centralizados y redundantes, recuperacién de datos en tiempos de crisis mas rapidos y rentables. las areas urbanas y rurales, brindando servicios sin discriminacién en las regiones sin cobertura fisica en el espacio geogratico nacional por las entidades, promoviendo un modelo virtual donde se atienda la demanda en la misma proporcisn a nivel general. calidad de gasto y camino al gobierno electrénico MANUAL d- BE 215108 PRESIDEN NUBE «» GUATEMALA, DE GOBIERNO ABIERTO Y ELECTRONICO 1Observancia de Asesoria Juridica CONSIDERACIONES LEGALES ‘SUStERTSIESIGEIIMARUSI La sustentacién legal del presente manual, esté contemplado en lo indicade en Ia normativa legal vigente Avticulos de los Dectetos y Acuerdos Gubernatvos siguientes: 1) Constitucién Politica de la Republica de Guatemala Arviculo 30 Publicidad de los actos administrativos. b) Decreto 312002 Ley Organica de la Contraloria General de Cuentas, Articulos 3 literal dy 4 iterales u} © wh €) Decrete 47-2008 Ley para el Reconocimiento de las Comunicaciones y Firmas Electrénicas, Articulos 18 yi. dd) Decreto 57-2008 Ley de Acceso ala Informacion Publica, Articulos 3,8, 30,36, 37, y 39 2} Acuerdo Guberativo numero 9-2017 Reglamente de la Ley Organica de la Contraleria General de ‘Cuentas, articulo 28 literal). f] Acuerdo Cubernativo nGmero 135-2009 Reglamento para Ley para el Reconocimiento de las ‘Comunicaciones y Firmas Electr6nicas, Aricules § 6, 8y 2 4g) Acuerdo Gubernative ntimero 560-2012 y sus reformas, que crea la Comisién Presidencial de Gobierno ‘Abierto y Electrénico, articulos 2 6, MANUAL d- COMISION PRESIDENCIAL, NUBE «» GUATEMALA, DE GOBIERNO ABIERTO Y ELECTRONICO 2COMISION PRESIDENCIAL, DE GOBIERNO ABIERTO Y ELECTRONICO APARTADO II DISPOSICIONES GENERALES 2. Definiciones. Para los efectos de este Manual se establecen las definiclones siguientes: Ti (Tecnologia de la Informacién): Se refiere al uso de equipos de telecomunicaciones y computadoras para la trasmision, procesamientoy almacenamiento de datos. La nocién abarca cuestiones propias de la informatica, la electronica y las telecomuricaciones. TIC (Tecnologias de la informacién y la Comunicacién): Comprende el equipo de compute, software y dispositivos de impresién que sean utlizados para almacener, procesar, convert, proteger, transferir y recuperar informacién (datos, voz, imagenes, video y ob etos informaticos en general. ‘Computacién en la Nube: La computacién ena nube es un modelo que permite acceso de red ubicuo, conveniente y bajo demanda a un grupo compartido de recursos informaticos configurables (por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios) que pueden aprovisionarse implementarse répidamente con un minimo es‘uerzo 0 servicio administrative con interaccion del proveecior. Infraestructura TIC: Consiste en el hardware, sofware, recese instalaciones requeridas para desarrallar, probar, proveer, menitorear, controlar y soportar la de manda de les servicios de TIC Seguridad de la informacién: Capacidad de preservar la confidencialidad, integridad, autenticidad y disponibilidad de la informacion, asi como la prevencién, deteccién y la resolucién de una manera mas sail Servicios en la nube: Son todos aquellos programas, herramientas, equipos de soluciones 0 servicios, que se acceden a través de redes publicas (internet) 0 privadas {VPN, enlaces dedicados} los cuales incluyen, pera no se limitan a: Compute, Redes, Seguridad, Almacenamiento de la informacion, 2ases de Datos, Plataformas de aplicaciones WEB y APP’'s, asi como soluciones para la configuracién, monitoreo yauditoria de cada uno de sus componentes, MANUAL d- NUBE « GUATEMALA, BCOMISION PRESIDENCIAL, DE GOBIERNO ABIERTO Y ELECTRONICO Proveedor de Servicios en la Nube: Se refiere al integrador de la plataforma de servicios de nube a través de centros de datos geograticamente separados uno de otro, siendo los propietarios responsables del mantenimiento de los equipos conectados en red que son necesarios para aichos servicios, mediante un esquema de auto servicio a pequefias, medianas y grandes empresas Sistemas de informacién: Es un conjunto de elementos que interactiian entre si con el propésite de lograr un fin, Dates sensibles o datos personales sensibles: Conforme Io indicado en el Decreto 57-2008 Ley de Acceso a la Informacién Publica, Articulo 9} son aquellos datos personales que se refieren a las caracteristicas fisicas 0 morales de las personas 0 a hechos o circunstancias de su vida privada 0 activicad, tales como los habitos personales, el origen racial, el origen nico, las ideologias y opiniones politicas, las creencias © convieciones religiosas, los estados de salud fisicos © psiquicos, preferencia 0 vida sexual, situacion moral y familiar u otras cuestiones intimas de similar naturaleza Informacién confideneiak: (Conforme lo indicado en el Decreto 57-2008 Ley de Acceso a la Informacién Publica, Articulo 9) es toda informacién en poder de los sujetos obligados que, por mandato Constitucional, 0 disposicién expresa de una ley tenga acceso restringido, 0 haya sido entregada por personas individuales o juridicas baje garantia de confidencialidad. Informacién reservada: (Conforme lo indicado en el Decreto 57-2008 Ley de Acceso a la Informacién Plblica, Articulo 9} es la informacién publica cuyo acceso se encuentra temporalmente restringido por disposicion expresa de una ley. MANUAL d- NUBE « GUATEMALA, 4Se deberd rendir un informe a la maxima autoridad respecto a los sistemas e informacién que se aloje en la nube y posible aplicacién de la Disposicion Interna de Clasificacién de la Informacion . APARTADO III ADMINISTRACION DE LA INFORMACION 3. Tipifleacién de la Informacién. Los organismos del Estado, entidades Auténomas y Descentralizadas, las Municipalidades y sus empresas y demas Instituciones que conforman el sector publico, son los abligados a 4. Proteccién de la Infor fado de proteccién es prioridad y_ 5. Informacién Publica, Informacién Confidencial @ Informacién Reservada, Todas las instituciones ave utllicen el servicio de nube deben garantizar el estricto cumplimiento de lo indicado en el Decreto 57-2008 Ley de Acceso a la Informacién Publica, Articulos 9, 22,23, 30,31, 32, 33,34y 35. Informatica debera de considerar todas las medidas de seguridad MANUAL d- BE 215108 PRESIDEN NUBE «» GUATEMALA, DE GOBIERNO ABIERTO Y ELECTRONICO 6sInformética deberd de considerer todas las medidas de seguridad y téenicas . APARTADO IV SEGURIDAD DE TECNOLOGIA DE LA INFORMACION 6 Gestién de Ia seguridad de la informacién. Gebiendo considerar come minime los aspectos siguientes. ——————EE eee Roles v responsabilidades para la gestion de la sequridad de la informacién; ———— Eee ‘Siileddelosauracdeinonacanibiesdats scence meee ° Peres ese preeree reereerace err eral ,considerande: , para garantizar el acceso a los recursos, Ineluyenao el registro, monitoree continuo y retencion cle la actividad relacionada con estos perm isos, Aplicacién Disposicién Interna de Clasificacién de la Informacion MANUAL d- NUBE « GUATEMALA, BE 215108 PRESIDEN DE GOBIERNO ABIERTO Y ELECTRONICO 16Informatica deberé de considerar todas las medidas de seguridad y técnicas El contrato debe contemplar el manejo de las cuentas | 7. Continuidad operativa y recuperacién del servicio. Las instituciones publicas deberan tomar siempre en ‘cuenta las Para lo cual deberan contemplarlas siguientes medidas, Dicha transicion debe de tomar en cuenta: ” MANUAL d- NUBE « GUATEMALA, BE 215108 PRESIDEN DE GOBIERNO ABIERTO Y ELECTRONICOpuede ser internacional sin problema APARTADO V PROCESAMIENTO DE LA INFORMACION Procesami la informacién. SStandSHes HECONOCIOS CON EIMOUSIOWEIML 4s algunas sugerencias como: informacion aloiada en elllos) Serviciols) de Nube esta debidamente replicada {los que correspondlan 9 ‘esa necesidad), priorizada, y catalogada para garantizar su acceso segun determine por medic de un + Disponer de personal técnico, aue conlleve una transferencia de conocimientos del proveedo" nacia les enticiades en terntorio nacional para tener un soporte inicial apropiacio al momento del registro de incidentes, | 8 no se cuenta con comité de seguridad MANUAL d- NUBE « GUATEMALA, BE 215108 PRESIDEN DE GOBIERNO ABIERTO Y ELECTRONICOcontrato 10. i certificaciones MANUAL d- COMISION PRESIDENCIAL, NUBE «» GUATEMALA, DE GOBIERNO ABIERTO Y ELECTRONICO 19en el contrato se deberd contemplar APARTADO VI PROPIEDAD DE LOS DATOS, RECUPERACION Y ACCESOS 2 2S ease 20 MANUAL d- NUBE « GUATEMALA, BE 215108 PRESIDEN DE GOBIERNO ABIERTO Y ELECTRONICO. APARTADO VII FISCALIZACION DE LOS SERVICIOS EN LA NUBE Es importante que el AUSISRIGUEEMEMIEHI tome en consideracién las siguientes sugerencias para poder ‘efectuar una fiscalizacién fortalecida de los servicios prestados por terceros en la nuibe, siendo éstos V4 Accesos para la realzacién de Auditorias en nubs. Todas las insttuciones piblcas, al momento de Convotarfon selves en nube deben ssequrarse que lBfoj@edoroteraue UnlUSUarO@ SOIOTECRU os auditors Gubernamentales nombracos por Contralora General de cuentas las Unidades de Auctorias Internas de los entidades alos recursos relacionados cone orci contratado por la nsttucion ademas proporcionar acceso a ss recursos de nube. su sistemas de informacion ¥ sus bases de datos con ia ture inalided de realizar la eudtora corespondienta Acicionalmente, G{ISFOSSIORCOntatadaINENETOBIGEEION de proporcionarle a la Contraloria General de ‘Cuentas, cuando ésta se lo requiera, toda la informacion vio documentos relacionados con las operaciones y servicios de subcontratacién prestados a la institucién por el contratade. 1s, Auditorialsobrellas!iCertifieaciones €! Auditor Gubernamental debe verificar las certificaciones del proveedor de servicios en la nube. identificando aue se cumple lo reauerido en el numeral 10 v que las acreditaciones son viaentes al momento de la revision, 16. Auditoria sobre Confidencialidad de la Informacién. El Auditor Gubernamental interno y externo de las ‘entidades, debera considerar como minimo en los esténdares dictados a la época los riesaos a los que esta ‘exnuesta la informacion @milosseniciosontiatados) para lo cual es necesario identificar lo siguiente + Verifcar que el servicio contratado cumple con los requerimientos antes mencionados para garantizar la confidencialidad, integridad y disponibilidad de la informacién de acuerdo con su arado de criticidad, come el cumplimiento de los contratos establecidos en las SLAS. CONTRATO, ACTA ADMINISTRATIVA, CARTA DE ENTENDIMIENTO 0 CARTA DE COMPROMISO >, se deberd suscribir para dejar un documento en donde se plasmen los compromisos y obligaciones de las partes para que sean revisados individualmente de sus cumplimientos. MANUAL d- 2.5108 PRESIDENT NUBE «» GUATEMALA, DE GOBIERNO ABIERTO Y ELECTRONICOCOMISION PRESIDENCIAL, DE GOBIERNO ABIERTO Y ELECTRONICO MANUAL d- NUBE + GUATEMALA, 22