Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FECHA DE TRADUCCIÓN:
TRADUCCIÓN: 01-02-2018
Linkedin: https://www.linkedin.com/in/diego-adri%C3%A1n-
n%C3%BA%C3%B1ez-noriega-476b94b/
N° DE PÁGINAS: 53
PREFACIO………………………………………………………………………………………………………………………………… 7
1. INTRODUCCIÓN……………………………………………………………………………………………………………….. 8
1.1-Visión
1.1- Visión general…….……………………………………………………………………………………………….. 8
1.2-Necesidades
1.2- Necesidades actuales ………………………………………………………………………………………….. 8
1.3-Objetivos
1.3- Objetivos…………………………………………………………………………………………………………….. 8
2. ALCANCE………………………………………………………………………………………………………………………….. 8
3. REFERENCIAS NORMATIVAS……………………………..…………………………………………………………….. 8
4. VISIÓN GENERAL………………………………………………………………………………………………………………. 9
4.1-Estructura
4.1- Estructura de este standard………………………………………………………………………………… 9
4.2-Relación
4.2- Relación con otros estándares…………………………………….…………………………………….. 11
4.3-Relaciones
4.3- Relaciones entre clientes y proveedores de servicios en la nube ……………………….. 11
4.3.1- Relaciones entre clientes y proveedores de servicios en la nube ….... 11
4.3.2- Relaciones con el supplier en servicios en la nube …….……………………. 11
4.4-Evaluación
4.4- Evaluación de riesgos de seguridad de la información en servicios en la nube…... 11
5. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN…………………………….……………………………… 12
5.1-Gestión
5.1- Gestión de la alta dirección para seguridad de la información…………………………... 12
5.1.1- Políticas para la seguridad de la información…………………………………… 12
5.1.2- Revisión de las políticas de seguridad de la información…………………. 13
6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN………………………………………………. 13
6.1-Organización
6.1- Organización Interna………………………………………………………………………………………..…. 13
6.1.1- Roles y responsabilidades de seguridad de la información………………. 13
6.1.2- Segregación de funciones………………………………………………..………………. 14
6.1.3- Contacto con autoridades……………………………………………………………..…. 14
6.1.4- Contacto con grupos especiales de interés ……………………………………. 14
6.1.5- Seguridad de la información en la gestión de proyectos………………. 14
6.2-Dispositivos
6.2- Dispositivos móviles y teletrabajo ………………………………………………………………………. 14
6.2.1 Política de dispositivos
dispositivos móviles………………………………………………………. 15
6.2.2 Teletrabajo………………………………………………………………………………………. 15
7. SEGURIDAD DE LOS RECURSOS HUMANOS ………………………………………………………..…………. 15
7.1- Antes del empleo ……………………………………………………………………………………………….. 15
7.1.1- Selección……………………………………………………………………..……………………. 15
7.1.2- Términos y condiciones del empleo ………………….……………………………. 15
7.2- Durante el empleo …………………………………………………………………………………..…………. 15
7.2.1- Responsabilidades de la Gerencia …………………………………………….………. 15
7.2.2- Conciencia, educación y capacitación sobre la seguridad de la
información………………………………………………………………………………..…………………. 15
7.2.3- Proceso disciplinario………………………………….…………………..…………………. 16
Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en las Directivas
ISO / IEC, Parte 2.
La principal tarea del comité técnico conjunto es preparar estándares internacionales. Los
proyectos de normas internacionales adoptados por el comité técnico conjunto se distribuyen a
los órganos nacionales para su votación. La publicación como Norma Internacional requiere la
aprobación de al menos el 75% de los organismos nacionales que emiten un voto.
La Norma Internacional ISO/IEC 27017 fue preparada por el Comité Técnico ISO / IEC JTC1
Subcomité SC 27, Técnicas de seguridad.
1.3- Objetivos
Las pautas de este estándar incluyen identificación de riesgos y controles asociados para el uso
de servicios en la nube.
EL uso de servicios en la nube reduce el capital de TI y costos de operación. Sin embargo hay
consideraciones adicionales de seguridad a tener en cuenta junto con los beneficios
anticipados.
2. ALCANCE
Este estándar brinda pautas para controles de seguridad de la información asociados con
servicios en la nube mediante:
3. REFERENCIAS NORMATIVAS
4. VISIÓN GENERAL
Este estándar internacional está estructurado en un formato similar a la ISO / IEC 27002. En los
casos donde los objetivos y controles especificados en la ISO / IEC 27002 son aplicables sin
necesidad de información adicional, solo se proporciona una referencia a la ISO en mención. En los
casos donde se necesita un objetivo o control con guía de implementación además de los de ISO /
IEC 27002, se incluyen en el Anexo A: Conjunto de control extendido del servicio de Cloud
Computing (normativo).
En los casos en que un control necesita orientación adicional específica para los servicios en la
nube, se hace referencia al control 27002 y la referencia es seguida por la guía de implementación
específica del servicio en la nube relacionada con el control. La guía de implementación específica
del servicio en la nube y otra información se incluyen en las siguientes cláusulas:
El tipo 1 cubre el caso donde hay pautas separadas para el cliente del servicio en la nube y para el
proveedor.
El tipo 2 cubre el caso en el que solo hay orientación para el cliente del servicio en la nube o para
el proveedor del servicio en la nube, pero no para ambos.
El Tipo 3 cubre el caso donde existe la misma orientación tanto para el cliente del servicio en la
nube como para el proveedor del servicio en la nube.
Este Estándar Internacional contiene una descripción general, términos y definiciones, objetivos
de control, controles, guía de implementación y otras descripciones de información. Esto se puede
aplicar a la gestión de la seguridad de la información de una organización en conformidad con otra
familia de normas ISMS como un estándar específico del sector / servicio.
Los requerimientos de seguridad de la información son identificados por los riesgos de seguridad
de la información. Cada cliente o proveedor de servicios en la nube debe completar su propia
información de evaluación de riesgos de seguridad de la información para determinar el impacto a
su negocio en relación a la probabilidad de vulnerar la seguridad de la información o falla de los
controles. Gastos en implementar controles deben ser balanceados con el daño al negocio como
resultado de fallas en la seguridad de la información.
Los clientes de servicios en la nube deberían considerar lo siguiente cuando evalúan riesgos de
seguridad de la información para el uso de servicios en la nube. Se hace notar que los factores
El objetivo especificado en la cláusula 5.1 de la ISO/IEC 27002 aplica para este caso.
6.2.2- Teletrabajo
7.1.1- Selección
8. GESTIÓN DE ACTIVOS
Los activos del cliente del servicio en la nube mantenidos en el entorno de dicho servicio pueden
incluir lo siguiente:
a) Información de negocio;
b) Equipos virtualizados;
c) Almacenamiento virtualizado;
d) Software
Los tipos de activos del cliente del servicio en la nube pueden variar dependiendo del servicio. El
software utilizado para la provisión de SaaS puede ser un activo del cliente del servicio en la nube
para el proveedor de SaaS en relación con IaaS como su infraestructura.
9. CONTROL DE ACCESO
9.2.2- Aprovisionamiento
Aprovisionamiento de acceso a usuario
10. CRIPTOGRAFÍA
11.2- Equipos
El volumen total de la capacidad lógica nunca puede exceder el volumen total de la capacidad
física. Si el volumen de los recursos excedió el volumen total de la capacidad física, puede causar
un incidente grave. Por esta razón, monitorear el volumen total de los recursos lógicos y mantener
un cierto volumen disponible es requerido para prevenir incidentes causados por la falta de
recursos.
Diego Adrián Núñez Noriega Página 27
Cel. (51) 968866681
Email: diego.a.nunez.n@gmail.com
12.1.4- Separación de los entornos de desarrollo, pruebas y operaciones
12.3- Respaldo
15.1.1- Política de seguridad de la información para las relaciones con los proveedores
18. CUMPLIMIENTO
Este anexo proporciona objetivos y controles adicionales con guía de implementación, como
un conjunto de controles extendido del servicio de cloud computing. Los objetivos de control
ISO / IEC 27002 relacionados con estos controles no se repiten. Se recomienda que cualquier
organización que implemente estos controles
controles en el contexto de un SGSI, que debe cumplir con
la norma ISO / IEC 27001, amplíe su SOA (declaración de aplicabilidad) mediante la inclusión
de los controles establecidos en este Anexo.
Control
La demarcación de responsabilidad entre las organizaciones del cliente y el proveedor del
servicio en la nube debería ser definida y documentada.
Guía de implementación
implementación
Control
Un sistema de intercambio de información entre el cliente y el proveedor de servicio en la
nube debería ser desarrollado y mantenido.
CLD.9.5- Control de acceso de los datos del cliente del servicio en la nube en un entorno
virtual compartido
Control
El entorno virtual del cliente en un servicio basado en la nube debería saer protegido de otros
clientes y usuarios no autorizados.
Guía de implementación
implementación
Control
El registro de operaciones de clientes con usuarios privilegiados debería ser adquirido y
almacenado para esclarecer el límite de responsabilidad.
Guía de implementación
implementación
Tras la configuración de la red virtual, la consistencia de las configuraciones entre la red virtual
y física debe verificarse en función de la política de seguridad de la red de la organización .
Guía de implementación
implementación
Control
EL proceso de distribución rápida de información sobre incidentes de seguridad de la información
en el entorno de la nube debería ser implementado para compartir información con los clientes
inmediatamente después que estos ocurran.
Guía de implementación
implementación
A pesar de esta pérdida inherente de control, el cliente del servicio en la nube aún necesita
responsabilizarse del uso de los servicios en la nube para mantener el conocimiento de la
situación, sopesar alternativas, establecer prioridades y efectuar cambios en la seguridad y la
privacidad que sean lo mejor para el organización. El cliente logra esto al garantizar que el
contrato con el proveedor y su acuerdo de nivel de servicio asociado (SLA) tenga las disposiciones
adecuadas para la seguridad y la privacidad. En particular, el SLA debe ayudar a mantener las
protecciones legales de la privacidad en relación con los datos almacenados en los sistemas del
proveedor. El cliente también debe garantizar la integración adecuada de los servicios en la nube
con sus propios sistemas para administrar la seguridad y la privacidad.
Hay una serie de riesgos de seguridad asociados con la computación en la nube que deben
abordarse adecuadamente, tanto para el cliente del servicio en la nube como para el proveedor
del servicio en la nube:
Las siguientes amenazas son aquellas que afectan directamente al cliente del servicio en la nube,
debido a que pueden afectar sus intereses de negocio, aspectos legales, privacidad, o seguridad.
No todos los clientes estarán en riesgo de todas estas amenazas, los riesgos variarán dependiendo
de la naturaleza del cliente y del servicio en la nube que está siendo usado:
- Fallas de asilamiento.
asilamiento. Los recursos compartidos y multiusuario son características
definidas de la nube pública. Esta categoría de riesgo cubre la falla de los mecanismos que
separan el uso de datos, almacenamiento, memoria, ruteo e incluso reputación entre
diferentes usuarios o clientes (por ejemplo, los denominados ataques guest-hopping).
- Protección de datos.
datos. La nube plantea varios riesgos de protección de datos para los
clientes y proveedores de la nube. Las principales preocupaciones son la exposición o la
liberación de datos sensibles, pero también incluyen la pérdida o la falta de disponibilidad
de datos. En algunos casos, puede ser difícil para el cliente del servicio en la nube verificar
de manera efectiva las prácticas de manejo de datos del proveedor y así asegurarse de
que los datos se manejen de manera legal. Este problema se agrava en los casos de
transferencias múltiples de datos, por ejemplo, entre servicios en la nube federados.
- Riesgos evolutivos.
evolutivos. Un servicio en la nube que haya superado la evaluación de seguridad
del cliente durante la fase de adquisición podría tener nuevas vulnerabilidades
introducidas durante su ciclo de vida debido a cambios en los componentes de software
introducidos por el proveedor de servicios en la nube.
- Problemas transfronterizos.
transfronterizos. Una característica de la computación en la nube es que los
sistemas del proveedor de servicios en la nube pueden estar ubicados en una jurisdicción
diferente a la del cliente, o los sistemas del proveedor pueden dividirse en varias
jurisdicciones. Este es un problema para el cliente, ya que puede no estar claro qué
regulaciones y leyes se aplicarán al servicio en la nube y a los datos y aplicaciones
asociados con el servicio y podría ocasionar que el cliente incumpla las reglamentaciones
de la jurisdicción "de origen". Una característica de la computación en la nube es que los
sistemas del proveedor de servicios en la nube pueden estar ubicados en una jurisdicción
diferente a la del cliente, o los sistemas del proveedor pueden dividirse en varias
jurisdicciones. Este es un problema para el cliente, ya que puede no estar claro qué
regulaciones y leyes se aplicarán al servicio en la nube y a los datos y aplicaciones
asociados con el servicio y podría ocasionar que el cliente incumpla las reglamentaciones
de la jurisdicción "de origen".
Mientras que estos riesgos aplican principalmente para el cliente, es importante notar que ellos
también pueden aplicar al proveedor, si el proveedor depende de la nube de alguno de sus
suppliers.
Esta cláusula considera las amenazas que afectan directamente al proveedor de servicios en la
nube. Dichas amenazas pueden afectar la capacidad del proveedor para ofrecer un servicio en la
nube, hacer negocios, retener clientes y evitar dificultades legales o reglamentarias. Las amenazas
- Falla de aislamiento. La
aislamiento. La computación en la nube generalmente implica compartir recursos
entre múltiples clientes. Existe la posibilidad de que fallen los mecanismos de aislamiento
que mantienen separados los datos y las aplicaciones de diferentes clientes. Este riesgo es
una amenaza para la reputación del proveedor y para el negocio del proveedor. La
exposición no intencional de los activos del cliente podría ser la causa de litigio.
- Conflicto Jurisdiccional.
Jurisdiccional. Un proveedor de servicios en la nube puede operar centros de
datos en múltiples jurisdicciones y puede mover datos entre centros de datos.
Dependiendo del país de acogida, los datos estarán regidos por diferentes leyes aplicables,
y también pueden ser diferentes a las que se aplica a cualquier cliente de servicios en la
nube en particular. Algunas jurisdicciones, como la UE, requieren una amplia protección
de la información de identificación personal, que no debe procesarse en países que no
proporcionan un nivel suficiente de protección garantizada. Tratar los datos
incorrectamente puede dar lugar a sanciones legales.
- Amenazas internas. Donde
internas. Donde los humanos están involucrados, siempre existe el riesgo de
que las personas actúen de manera maliciosa o descuidada y pongan en riesgo la
seguridad del servicio. Los empleados del proveedor de servicios en la nube que emplean
credenciales inseguras, las acciones maliciosas de empleados descontentos o criminales
expertos que obtienen un puesto en el personal del proveedor representan una amenaza
importante para cualquier empresa. Deben existir controles apropiados para limitar el
acceso a los datos y las aplicaciones de los clientes y para monitorear cualquier actividad
sospechosa.
BIBLIOGRAFÍA
[1] ISO/IEC 17788, Information technology — Distributed application platforms and services —
Cloud computing ─ Overview and Vocabulary
[2] ISO/IEC 17789, Information technology — Distributed Application Platforms and Services
— Cloud Computing — Reference Architecture
[3] NIST, SP800-144 Guidelines on Security and Privacy in Public Cloud Computing
[5]
[5] NIST, Effectively and Securely Using the Cloud Computing Paradigm
[6]
[6] ENISA, Cloud Computing Benefits, risks and recommendations for information security
[7]
[7] ENISA, Cloud Computing Information Assurance Framework
[8] Cloud Security Alliance, Security Guidance for Critical Areas of Focus in Cloud Computing
V2.1
[10] Cloud Security Alliance, Domain 12: Guidance for Identity & Access Management V2.1
[12] ISACA, Cloud Computing: Business Benefits With Security, Governance and Assurance
Perspectives
[13]
[13] ISACA, Cloud Computing Management Audit/Assurance Program
[14] U.S. CIO Council, Proposed Security Assessment & Authorization for U.S. Government Cloud
Computing
[15]
[15] ISO/IEC16680 The Open Group Service Integration Maturity Model (OSIMM)
[16] ITU-T Recommendation X.805 (2003), Security architecture for systems providing end-to-
end communications.