ISO27017-español Compress

TIPO DE DOCUMENTO: Traducción no oficial
TÍTULO: Texto para ISO/IEC 5th WD 27017 basado en DoC (N12767) –

Tecnologías de la Información – Técnicas de Seguridad - Código de
buenas prácticas para controles de seguridad de información en
sistemas o servicios de computación en nube basados en ISO/IEC
27002.
FECHA DEL DOC. ORIGINAL:

ORIGINAL: 14-06-2013
FECHA DE TRADUCCIÓN:
TRADUCCIÓN: 01-02-2018
ESTADO: Traducción en concordancia con el documento de la Resolución 5

(contenido en el SC 27 N12440) de la 46th conferencia del SC
27/WG 1 en Sophia Antipolis (France), 26 de Abril del 2013.
Favor de enviar consultas, comentarios o mejoras al presente

documento a diego.a.nunez.n@gmail.com
diego.a.nunez.n@gmail.com..
Linkedin: https://www.linkedin.com/in/diego-adri%C3%A1n-
n%C3%BA%C3%B1ez-noriega-476b94b/
VERSIÓN DEL DOCUMENTO: 01
N° DE PÁGINAS: 53
Diego Adrián Núñez Noriega Página 1

Cel. (51) 968866681
Email: diego.a.nunez.n@gmail.com
CONTENIDO
PREFACIO………………………………………………………………………………………………………………………………… 7
1. INTRODUCCIÓN……………………………………………………………………………………………………………….. 8
1.1-Visión
1.1- Visión general…….……………………………………………………………………………………………….. 8
1.2-Necesidades
1.2- Necesidades actuales ………………………………………………………………………………………….. 8
1.3-Objetivos
1.3- Objetivos…………………………………………………………………………………………………………….. 8
2. ALCANCE………………………………………………………………………………………………………………………….. 8
3. REFERENCIAS NORMATIVAS……………………………..…………………………………………………………….. 8
4. VISIÓN GENERAL………………………………………………………………………………………………………………. 9
4.1-Estructura
4.1- Estructura de este standard………………………………………………………………………………… 9
4.2-Relación
4.2- Relación con otros estándares…………………………………….…………………………………….. 11
4.3-Relaciones
4.3- Relaciones entre clientes y proveedores de servicios en la nube ……………………….. 11
4.3.1- Relaciones entre clientes y proveedores de servicios en la nube ….... 11
4.3.2- Relaciones con el supplier en servicios en la nube …….……………………. 11
4.4-Evaluación
4.4- Evaluación de riesgos de seguridad de la información en servicios en la nube…... 11
5. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN…………………………….……………………………… 12
5.1-Gestión
5.1- Gestión de la alta dirección para seguridad de la información…………………………... 12
5.1.1- Políticas para la seguridad de la información…………………………………… 12
5.1.2- Revisión de las políticas de seguridad de la información…………………. 13
6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN………………………………………………. 13
6.1-Organización
6.1- Organización Interna………………………………………………………………………………………..…. 13
6.1.1- Roles y responsabilidades de seguridad de la información………………. 13
6.1.2- Segregación de funciones………………………………………………..………………. 14
6.1.3- Contacto con autoridades……………………………………………………………..…. 14
6.1.4- Contacto con grupos especiales de interés ……………………………………. 14
6.1.5- Seguridad de la información en la gestión de proyectos………………. 14
6.2-Dispositivos
6.2- Dispositivos móviles y teletrabajo ………………………………………………………………………. 14
6.2.1 Política de dispositivos
dispositivos móviles………………………………………………………. 15
6.2.2 Teletrabajo………………………………………………………………………………………. 15
7. SEGURIDAD DE LOS RECURSOS HUMANOS ………………………………………………………..…………. 15
7.1- Antes del empleo ……………………………………………………………………………………………….. 15
7.1.1- Selección……………………………………………………………………..……………………. 15
7.1.2- Términos y condiciones del empleo ………………….……………………………. 15
7.2- Durante el empleo …………………………………………………………………………………..…………. 15
7.2.1- Responsabilidades de la Gerencia …………………………………………….………. 15
7.2.2- Conciencia, educación y capacitación sobre la seguridad de la
información………………………………………………………………………………..…………………. 15
7.2.3- Proceso disciplinario………………………………….…………………..…………………. 16
7.3- Terminación y cambio de empleo ………………………………………………..………………….. 16

Cel. (51) 968866681
7.3.1- Terminación o cambio de responsabilidades del empleo……….……….. 16
8. GESTIÓN DE ACTIVOS………………………………………………………………………………..………………….. 16
8.1- Responsabilidad por los activos …………………………………………………………………….. 16
8.1.1- Inventario de activos ………………….………………………………..…………………. 16
8.1.2- Propiedad de los activos ………………….………………………………..…………….. 17
8.1.3- Uso aceptable de los activos ………………………………………..………………….. 17
8.1.4- Retorno de activos………………….………………………………..……………………… 17
8.2- Clasificación de la Información ………………….………………………………..………………….. 18
8.2.1- Clasificación de la información………………….……………………………………. 18
8.2.2- Etiquetado de la información ………………….………………………………………. 18
8.2.3- Manejo de activos………………….…………………………………………………….…. 18
8.3- Manejo de los medios………………….…………………………………………………………………. 18
8.3.1- Gestión de medios removibles ………………….……………………………………. 18
8.3.2- Eliminación de medios ………………….……………………………………………..…. 18
8.3.3- Transferencia de medios físicos ………………….………………………….………. 18
9. CONTROL DE ACCESO………………….…………………………………………………………….……………………. 18
9.1- Requisitos de la empresa para el control de acceso ………………….…………….……. 18
9.1.1- Política de control de acceso………………….………………………………………. 19
9.1.2- Acceso a redes y servicios de red ……………….………………………………….. 19
9.2- Gestión de acceso de usuario ………………….………………………………………..……………. 19
9.2.1- Registro y baja de usuarios ………………….…………………….……………………. 19
9.2.2- Aprovisionamiento de acceso a usuario ………………….…………..…………. 19
9.2.3- Gestión de derechos de acceso privilegiados ………………….……………… 19
9.2.4- Gestión de información de autentificación secreta de usuarios ……. 20
9.2.5- Revisión de derechos de acceso de usuarios ………………….………………. 20
9.2.6- Retiro o ajuste de derechos de acceso ………………….……………………….. 20
9.3- Responsabilidades de los usuarios ………………….……………………………………………… 20
9.3.1- Uso de información de autentificación secreta…………….………………. 20
9.4- Control de acceso al sistema y aplicación ………………….…………………………..………. 20
9.4.1- Restricción de acceso a la información ……………………………………………. 20
9.4.2- Procedimientos de ingreso seguro ………………….……………………….……. 21
9.4.3- Sistema de gestión de contraseñas ………………….……………………….……. 21
9.4.4- Uso de programas utilitarios privilegiados ……….……………………….……. 21
9.4.5- Control de acceso al código fuente de los programas…………………..…. 22
10. CRIPTOGRAFÍA…………………………………………………………………………………………………………...…. 22
10.1- Controles criptográficos ………………………………………………………………………..…..…. 22
10.1.1- Política sobre el uso de controles criptográficos …………………..…….. 22
10.1.2- Gestión de claves………………………………………………………………………..…. 22
11. SEGURIDAD FÍSICA Y AMBIENTAL ………………………………………………………………………..……… 23
11.1- Áreas seguras…………………………………………..………………………………………………..…. 23
11.1.1- Perímetro de seguridad física…………………………………………………………. 23
11.1.2- Controles de ingreso físico…………………………………………………………..…. 23
11.1.3- Asegurar oficinas, áreas e instalaciones……….……………………….………. 24
11.1.4- Protección contra amenazas externas y ambientales……….…….…. 24
11.1.5- Trabajo en áreas seguras……….……………………….……………………………. 24
11.1.6- Áreas de despacho
despacho y carga……….…………………………………………….……. 24

Cel. (51) 968866681
11.2- Equipos……….………………………………………………………………………………………….……. 24
11.2.1- Ubicación y protección de de los equipos……….……………………….……….. 24
11.2.2- Servicios de suministro……….……………………………………………….….……. 24
11.2.3- Seguridad del cableado
c ableado……….……………………….………………………………. 24
11.2.4- Mantenimiento de de equipos……….………………………………….……….……. 24
11.2.5- Retiro de activos ……….……………………………………………..…………….……. 25
11.2.6- Seguridad de equipos y activos fuera de las instalaciones…….…….. 25
11.2.7- Disposición o reutilización
reutilización segura de equipos……….…………….……….. 25
11.2.8- Equipos de usuario desatendidos ……….……………………………..……….. 25
11.2.9- Política de escritorio limpio y pantalla limpia ……….…………….……….. 25
12 SEGURIDAD DE LAS OPERACIONES……….……………………………………………………………...……….. 25
12.1- Procedimientos y responsabilidades operativas ……….……………………….……….. 25
12.1.1- Procedimien
P rocedimientos
tos operativos documentados……….……………….……….. 25
12.1.2- Gestión del cambio……….……………………….………………………………….….. 25
12.1.3- Gestión de la capacidad……….……………………….…………………………….….. 26
12.1.4-
12.1.4 - Separación de los entornos de desarrollo, pruebas y operaciones 28
12.2- Protección contra software malicioso (malware) ……….………………………….….. 28
12.2.1- Controles contra software malicioso (malware) ……….…………….….. 28
12.3- Respaldo
Respaldo……….……………………….………………………………………………………….……….….. 28
12.3.1- Respaldo de la información….…………….……….…………………………….….. 28
12.4- Registros y monitoreo ….…………….……….…………………………………………………….….. 29
12.4.1- Registro de eventos….…………….……….………………………………….…….…. 29
12.4.2- Protección de información de registros. ….………………….………….….. 29
12.4.3- Registros del administrador y del operador ….…………….……….………. 29
12.4.4- Sincronización de reloj ….…………….……….…………………..……………….….. 29
12.5- Control del software operacional….…………….………….….…………………………….….. 29
12.5.1- Instalación de software en sistemas operacionales ….………..…….….. 29
12.6- Gestión de vulnerabilidad
vulnerabilidad técnica ….…………….………….….…………………………….…. 30
12.6.1- Gestión de vulnerabilidades técnicas….…………….………….….……….….. 30
12.6.2- Restricciones sobre la instalación de software ….…………….……….….. 30
12.7- Consideraciones para la auditoría de los sistemas de información…………………. 31
12.7.1- Controles de auditoría de sistemas de información …………………..…. 31
13. SEGURIDAD DE LAS COMUNICACIONES…………………………………………………………………………. 31
13.1- Gestión de seguridad de la red………………………………………………………………………. 31
13.1.1- Controles de la red …………………………………………………………………………. 31
13.1.2- Seguridad de servicios de red …………………………………………………………. 31
13.1.3- Segregación en redes……………………………………………………………………... 31
13.2- Transferencia de información………………………………………………………………………... 32
13.2.1- Políticas y procedimientos
procedimientos de transferencia de la información……..
información…….. 32
13.2.2- Acuerdo sobre transferencia de información ………………………………... 32
13.2.3- Mensajes electrónicos
electrónicos…………………………………………………………………..... 32
13.2.4- Acuerdos de confidenciali
c onfidencialidad
dad o no divulgación……………………………... 32
14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS ………………………………….. 32
14.1- Requisitos de seguridad de los sistemas de información ……………………………….. 32
14.1.1- Análisis y especificación de requisitos de seguridad de la
Información………………………………………………………………………………………………. 33
Cel. (51) 968866681
14.1.2-
14.1.2 - Aseguramiento de servicios de aplicaciones
aplicacio nes sobre redes públicas 33
14.1.3- Protección de transacciones
transacciones en servicios de aplicación ………………. 33
14.2- Seguridad en los procesos de desarrollo y soporte ……………………………………. 33
14.2.1- Política de desarrollo
desarrollo seguro……………………………………………………… . 34
14.2.2- Procedimientos de control de cambio del sistema ……………………… 34
14.2.3- Revisión técnica de aplicaciones después de cambios a la
plataforma operativa…………………………………………………………………………………… 34
14.2.4- Restricciones sobre cambios a los paquetes de software …….………… 34
14.2.5- Principios de ingeniería de sistemas seguros…………………………….…… 34
14.2.6- Ambiente de desarrollo seguro …………………………………………………… 34
14.2.7- Desarrollo contratado externamente…………………………………..……… 34
14.2.8- Pruebas de seguridad del sistema ……………………………….……………… 34
14.2.9- Pruebas de aceptación del sistema………………..…………….……………… 34
14.3- Datos de prueba …………………………………………………………………………………………..… 35
14.3.1- Protección de datos de prueba ……………………………………………………..… 35
15. RELACIONES CON LOS PROVEEDORES………….………………………………………………………………… 35
15.1- Seguridad en las relaciones con los proveedores…………………………………………… 35
15.1.1- Política de seguridad de la información para las relaciones
con los proveedores …………………………………………………………………………………… .. 35
15.1.2- Abordar la seguridad dentro de los acuerdos con proveedores ….. 35
15.1.3- Cadena de suministro de tecnología de información y comunicación 36
15.2- Gestión de entrega de servicios del proveedor …………………………………………… 36
15.2.1- Monitoreo y revisión de servicios del proveedor ………….………………… 36
15.2.2- Gestión de cambios a los servicios de proveedores………………………… 37
16. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN ……………………………….… 37
16.1- Gestión de incidentes de seguridad de la información y mejoras…..…………… 37
16.1.1- Responsabilidades y procedimientos………………………………………….…… 37
16.1.2- Reporte de eventos de seguridad de la información……………………… 37
16.1.3- Reporte de debilidades de seguridad de la información …………..…… 37
16.1.4- Evaluación y decisión sobre eventos de seguridad de la información 37
16.1.5- Respuesta a incidentes de seguridad de la información ……………….. 38
16.1.6- Aprendizaje de los incidentes de seguridad de la información …….. 38
16.1.7- Recolección de evidencia …………………………………………………………….. 38
17. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE CONTINUIDAD
DEL NEGOCIO…………………………………………………………………………………………………………………….. 39
17.1- Continuidad de seguridad de la información………………………………………………. 39
17.1.1- Planificación de continuidad de seguridad de la información ………. 39
17.1.2- Implementación de continuidad de seguridad de la información … 39
17.1.3- Verificación, revisión y evaluación de continuidad de seguridad
de la información………………………………………………………………………………………. 39
17.2- Redundancias…………………………………………………………………………………………………… . 40
17.2.1- Disponibilidad de Instalaciones de procesamiento de la información
18. CUMPLIMIENTO……………………………………………………………
………………………………………………………………………………………………… …………………………………………… ……… 40
18.1- Cumplimiento con requisitos legales y contractuales
contractuales ………………………………… . 40
18.1.1- Identificación de requisitos contractuales y de legislación aplicable.. 40
18.1.2- Derechos de propiedad intelectual
intelectual………………………………………………. 40

Cel. (51) 968866681
18.1.3- Protección de registros………………………………………………………………… 40
18.1.4- Privacidad y protección de datos personales …………………………………… 41
18.1.5- Regulación de controles
c ontroles criptográficos
criptográficos………………………………………… . 41
18.2- Revisiones de seguridad de la información ………………………………………………… .. 41
18.2.1- Revisión independiente de la seguridad de la información ……………. 41
18.2.2- Cumplimiento de políticas y normas de seguridad ………………………... 41
18.2.3- Revisión del cumplimiento técnico ………………………………………………… 42
ANEXO A: CONJUNTO DE CONTROL EXTENDIDO DEL SERVICIO DE CLOUD
COMPUTING NORMATIVO)…………………………………………………………………………………………………… 43
CLD.6.3- Relación entre el cliente y el proveedor del servicio en la nube ……………… 43
CLD.6.3.1- Demarcación de responsabilidad ……………………………………………… 43
CLD.6.3.2- Sistema de Intercambio de Información…………………………………… 43
CLD.9.5- Control de acceso de los datos del cliente del servicio en la nube
en un entorno virtual compartido ………………………………………………………………………... 44
CLD.9.5.1- Protección del entorno virtual………………………………………………….. 44
CLD.12- Seguridad de las Operaciones……………………………………………………………………………... 44
CLD.12.4- Logeo y Monitoreo..……………………………………………………………………………... 44
CLD.12.4.5- Registro de operaciones de clientes del servicio en la nube
Con privilegios …………………………………………………………………………………….…... 45
CLD.13- Seguridad de las Comunicaciones ……………………………………………………………………… .. 43
CLD.13.1- Gestión de Seguridad de la Red ……………………………………………………………. 45
CLD.13.1.4- Cooperación de configuraciones entre red virtual y física……… 45
CLD.16- Gestión de Incidentes de Seguridad de la Información ……………………………………… ... 45
CLD.16.1- Gestión de incidentes de seguridad de la información y mejoras …………. 45
CLD.16.1.8- Implementación del proceso de distribución rápida de información
sobre incidentes de seguridad de la información en el entorno de la nube…………….. 46
ANEXO B: RIESGOS DE SEGURIDAD DE LA INFORMACIÓN RELACIONADOS
RELACIONADOS A LA NUBE…………. 47
B.1- Amenazas para el cliente del servicio en la nube……………………………………………… 48
B.2- Amenazas para el proveedor de servicios en la nube……………………………………… . 50
BIBLIOGRAFÍA……………………………………………………………………………………………………………………… .. 52

Cel. (51) 968866681
PREFACIO
ISO (Organización Internacional para la Estandarización) e IEC (Comisión Electrotécnica

Internacional) forman el sistema especializado para la estandarización mundial. Los organismos
nacionales que son miembros de ISO o IEC participan en el desarrollo de Normas Internacionales a
través de comités técnicos establecidos por la organización respectiva para tratar campos
particulares de actividad técnica. Los comités técnicos de ISO e IEC colaboran en campos de
interés mutuo. Otras organizaciones internacionales, gubernamentales y no gubernamentales, en
coordinación con ISO e IEC, también participan en el trabajo. En el campo de la tecnología de la
información, ISO e IEC han establecido un comité técnico conjunto, ISO/IEC JTC 1.
Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en las Directivas
ISO / IEC, Parte 2.
La principal tarea del comité técnico conjunto es preparar estándares internacionales. Los
proyectos de normas internacionales adoptados por el comité técnico conjunto se distribuyen a
los órganos nacionales para su votación. La publicación como Norma Internacional requiere la
aprobación de al menos el 75% de los organismos nacionales que emiten un voto.
La Norma Internacional ISO/IEC 27017 fue preparada por el Comité Técnico ISO / IEC JTC1
Subcomité SC 27, Técnicas de seguridad.

Cel. (51) 968866681
1. INTRODUCCIÓN
1.1- Visión general
Esta norma internacional proporciona directrices que respaldan la implementación de controles

de seguridad de la información para proveedores y clientes de servicios en la nube. La selección de
controles apropiados y la aplicación de la guía de implementación proporcionada dependerán de
una evaluación de riesgos, así como de cualquier requisito legal, contractual o reglamentario. ISO /
IEC 27005 proporciona orientación sobre gestión de riesgos de seguridad de la información, que
incluye recomendaciones sobre evaluación de riesgos, tratamiento de riesgos, aceptación de
riesgos, comunicación de riesgos, supervisión de riesgos y revisión de riesgos.
1.2- Necesidades actuales
Una de las necesidades principales

principales respecto al uso de servicios en la nube es cómo los usuarios
pueden o podemos obtener dichos servicios de proveedores, de manera que se ajusten a los
requerimientos de seguridad de la información solicitados. Asimismo, es necesario proveer a
los usuarios información que les permita evaluar aspectos de seguridad de la información de
los servicios en la nube a escoger.
1.3- Objetivos
El objetivo de este estándar es proveer un marco de referencia para el control de la seguridad

y una guía para la implementación tanto para clientes de servicios en la nube como
proveedores.
Las pautas de este estándar incluyen identificación de riesgos y controles asociados para el uso
de servicios en la nube.
EL uso de servicios en la nube reduce el capital de TI y costos de operación. Sin embargo hay
consideraciones adicionales de seguridad a tener en cuenta junto con los beneficios
anticipados.
2. ALCANCE
Este estándar brinda pautas para controles de seguridad de la información asociados con
servicios en la nube mediante:
- Directrices para la implementación de controles especificados en la ISO/IEc 27002

- Directrices para la implementación de controles adicionales relacionados a servicios en la
nube.
3. REFERENCIAS NORMATIVAS
Los siguientes documentos son indispensables para la aplicación de este documento:

Cel. (51) 968866681
- ISO/IEC 27000, Information technology - Security techniques - Information security
management systems - Overview and vocabulary.
- ISO/IEC 27002:2013, Information technology - Security techniques - Code of practice for
information security controls.
4. VISIÓN GENERAL
4.1- Estructura de este standard
Este estándar internacional está estructurado en un formato similar a la ISO / IEC 27002. En los
casos donde los objetivos y controles especificados en la ISO / IEC 27002 son aplicables sin
necesidad de información adicional, solo se proporciona una referencia a la ISO en mención. En los
casos donde se necesita un objetivo o control con guía de implementación además de los de ISO /
IEC 27002, se incluyen en el Anexo A: Conjunto de control extendido del servicio de Cloud
Computing (normativo).
En los casos en que un control necesita orientación adicional específica para los servicios en la
nube, se hace referencia al control 27002 y la referencia es seguida por la guía de implementación
específica del servicio en la nube relacionada con el control. La guía de implementación específica
del servicio en la nube y otra información se incluyen en las siguientes cláusulas:
- Políticas de seguridad de la información (Cláusula 5)

- Organización de la seguridad de la información (Cláusula
(Cláusula 6)
- Seguridad de los recursos humanos (Cláusula 7)
- Gestión de activos (Cláusula 8)
- Control de acceso (Cláusula 9)
- Criptografía (Cláusula 10)
- Seguridad física y ambiental (Cláusula 11)
- Seguridad de las operaciones (Cláusula 12)
- Seguridad de las comunicaciones
comunicaciones (Cláusula 13)
- Adquisición, desarrollo y mantenimiento de sistemas (Cláusula 14)
- Relaciones con los proveedores (Cláusula 15)
- Gestión de incidentes de seguridad de la información (Cláusula 16)
- Aspectos de seguridad de la información de la gestión de la continuidad del negocio
(Cláusula 17)
- Cumplimiento (Cláusula 18)
Cada cláusula contiene una o más de las principales categorías de seguridad.
Cada categoría de seguridad principal contiene:
a) un objetivo de control que indica lo que se debe lograr; y

b) uno o más controles que se pueden aplicar para alcanzar el objetivo de control.
Las descripciones de control están estructuradas de la siguiente manera:

Cel. (51) 968866681
Objetivo de control de ISO / IEC 27002
Proporciona la descripción “El objetivo especificado en la cláusula X.X de la ISO/IEC 27002 aplica
para este caso”.
Control, guía de implementación, Otra información de ISO / IE C 27002

Proporciona la descripción: “El control X.X.X y la guía de implementación y otra información
especificada en la ISO/IEC 27002 aplican para este caso.”
Pautas específicas del sector para servicios en la nube

Proporciona la descripción: “Las siguientes pautas específicas para este sector también aplican”
seguida de uno de los tres
t res tipos de descripción de la guía de servicios en la nube:
El tipo 1 cubre el caso donde hay pautas separadas para el cliente del servicio en la nube y para el
proveedor.
El tipo 2 cubre el caso en el que solo hay orientación para el cliente del servicio en la nube o para
el proveedor del servicio en la nube, pero no para ambos.
El Tipo 3 cubre el caso donde existe la misma orientación tanto para el cliente del servicio en la
nube como para el proveedor del servicio en la nube.

Cel. (51) 968866681
Otra información para el cloud computing
Proporciona información adicional que puede ser necesario considerar, cuando el cliente o el
proveedor adoptan el servicio en la nube.
4.2- Relación con otros estándares
Este Estándar Internacional contiene una descripción general, términos y definiciones, objetivos
de control, controles, guía de implementación y otras descripciones de información. Esto se puede
aplicar a la gestión de la seguridad de la información de una organización en conformidad con otra
familia de normas ISMS como un estándar específico del sector / servicio.
4.3- Relaciones entre clientes y proveedores de servicios en l a nube
4.3.1- Relaciones entre clientes y proveedores de servicios en la nube
El cliente de servicios en la nube es el principal responsable de la seguridad de la

información almacenada, transmitida y procesada en dichos servicios. El cliente debería
conocer y ser consciente de los diferentes modelos de desarrollo y sus características de
seguridad. Este standard internacional aplica también para proveedores de servicios en la
nube cuyos servicios son provistos por otro proveedor (supplier). En este caso, el
proveedor es también un cliente de servicios en la nube.
4.3.2- Relaciones con el supplier en servicios en la nube
Las siguientes relaciones con el supplier deberían ser consideradas:
o La relación del proveedor de servicios en la nube al cliente de dichos servicios,

done el proveedor es el supplier.
o La relación de un proveedor de servicios en la nube con otro proveedor que le
brinda dichos servicios, donde ese otro proveedor es el supplier.
o La relación de un proveedor de servicios en la nube con un desarrollador de
servicios en la nube, donde el desarrollador es el supplier.
4.4- Evaluación de riesgos de seguridad de la

l a información en servicios en la nube
Los requerimientos de seguridad de la información son identificados por los riesgos de seguridad
de la información. Cada cliente o proveedor de servicios en la nube debe completar su propia
información de evaluación de riesgos de seguridad de la información para determinar el impacto a
su negocio en relación a la probabilidad de vulnerar la seguridad de la información o falla de los
controles. Gastos en implementar controles deben ser balanceados con el daño al negocio como
resultado de fallas en la seguridad de la información.
Los clientes de servicios en la nube deberían considerar lo siguiente cuando evalúan riesgos de
seguridad de la información para el uso de servicios en la nube. Se hace notar que los factores

Cel. (51) 968866681
listados abajo pueden afectar tipos de riesgos que están fuera del alcance de este standard como
también de seguridad de la información.
a) La información divulgada por el proveedor de servicios en la nube sobre los controles de

seguridad de la información puede ser limitada o resumida para minimizar los riesgos para
el proveedor de servicios en la nube asociados con las divulgaciones. Los proveedores de
servicios en la nube pueden ofrecer información más detallada a un cliente actual o futuro
del servicio en la nube utilizando un NDA (Non disclosure agreement) u otro documento
legal para proteger cualquier información divulgada.
b) La información divulgada de la seguridad de los servicios de la nube del proveedor, riesgos
y vulnerabilidades, pueden exponer a todos los clientes debido a la naturaleza compartida
de los servicios.
c) Divulgar una vulnerabilidad conocida relativa a un servicio en la nube, o los recursos de la
nube utilizados por dicho servicio, representa un riesgo para el cliente de tal servicio.
d) Un riesgo contractual puede surgir de un acuerdo formal de un servicio en la nube,
especialmente en casos en los que el proveedor de servicios opera en una jurisdicción
diferente a la del cliente.
e) El cliente del servicio en la nube debe tener en cuenta los riesgos legales de no proteger
sus derechos en la jurisdicción del proveedor de servicios en la nube.
f) Riesgos asociados con la disponibilidad de las telecomunicaciones y las TI en el país donde
reside el proveedor de servicios en la nube, incluyen los riesgos de desastres naturales,
interrupción de las telecomunicaciones y ataques físicos o cibernéticos (ciberataques) en
dicho país o región geopolítica.
g) El uso de servicios en la nube implica dependencia del proveedor. Cuando el cliente de un
servicio en la nube deja de utilizar dicho servicio, o cuando el proveedor deja de brindar el
servicio en mención, la disponibilidad de la data y la portabilidad del respectivo servicio
debe ser considerada por adelantado.
5. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN
5.1- Gestión de la alta dirección para seguridad de la información
El objetivo especificado en la cláusula 5.1 de la ISO/IEC 27002 aplica para este caso.
5.1.1- Políticas para la seguridad de la información
El control 5.1.1 y la guía de implementación y otra información especificada

especificada en la ISO/IEC
27002 aplican para este caso.

Cel. (51) 968866681
5.1.2- Revisión de las políticas de seguridad de la información

6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
6.1- Organización Interna
El objetivo especificado en la cláusula 6.1 ISO/IEC 27002 aplica.
6.1.1- Roles y responsabilidades de seguridad de la información


Cel. (51) 968866681
6.1.2- Segregación de funciones
El control 6.1.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002

aplican para este caso.
6.1.3- Contacto con autoridades

aplican para este caso. Las siguientes pautas específicas para este sector t ambién aplican:
6.1.4- Contacto con grupos especiales de interés

6.1.5- Seguridad de la información en la gestión de proyectos

6.2- Dispositivos móviles y teletrabajo

Cel. (51) 968866681
6.2.1- Política de dispositivos móviles

especificada en la ISO/IEC 27002
6.2.2- Teletrabajo

7. SEGURIDAD DE LOS RECURSOS HUMANOS
7.1- Antes del empleo
7.1.1- Selección

7.1.2- Términos y condiciones del empleo

7.2- Durante el empleo
7.2.1.- Responsabilidades de la Gerencia

7.2.2- Conciencia, educación y capacitación sobre la seguridad de la

l a información

aplican para este caso. Las siguientes pautas específicas para este sector también aplican:

Cel. (51) 968866681
7.2.3- Proceso disciplinario

7.3- Terminación y cambio de empleo
7.3.1- Terminación o cambio de responsabilidades del empleo

8. GESTIÓN DE ACTIVOS
8.1- Responsabilidad por los activos
8.1.1- Inventario de activos


Cel. (51) 968866681
Otra información para cloud computing
Los activos del cliente del servicio en la nube mantenidos en el entorno de dicho servicio pueden
incluir lo siguiente:
a) Información de negocio;
b) Equipos virtualizados;
c) Almacenamiento virtualizado;
d) Software
Los tipos de activos del cliente del servicio en la nube pueden variar dependiendo del servicio. El
software utilizado para la provisión de SaaS puede ser un activo del cliente del servicio en la nube
para el proveedor de SaaS en relación con IaaS como su infraestructura.
8.1.2- Propiedad de los activos

8.1.3- Uso aceptable de los activos

8.1.4- Retorno de activos


Cel. (51) 968866681
8.2- Clasificación de la Información

8.2.1- Clasificación de la información

8.2.2- Etiquetado de la información

8.2.3- Manejo de activos

8.3- Manejo de los medios
8.3.1- Gestión de medios removibles

8.3.2- Eliminación de medios

8.3.3- Transferencia de medios físicos

9. CONTROL DE ACCESO
9.1- Requisitos de la empresa para el control de acceso

Cel. (51) 968866681
9.1.1- Política de control de acceso

9.1.2- Acceso a redes y servicios de red.

9.2- Gestión de acceso de usuario
9.2.1- Registro y baja de usuarios

9.2.2- Aprovisionamiento
Aprovisionamiento de acceso a usuario

9.2.3- Gestión de derechos de acceso privilegiados


Cel. (51) 968866681
9.2.4- Gestión de información de autentificación secreta de usuarios

9.2.5- Revisión de derechos de acceso de usuarios

9.2.6- Retiro o ajuste de derechos de acceso

9.3- Responsabilidades de los usuarios
9.3.1- Uso de información de autentificación secreta

9.4- Control de acceso al sistema y aplicación
9.4.1- Restricción de acceso a la información


Cel. (51) 968866681
9.4.2- Procedimientos de ingreso seguro

9.4.3- Sistema de gestión de contraseñas

9.4.4- Uso de programas utilitarios privilegiados


Cel. (51) 968866681
Las capacidades orientadas al administrador del sistema del servicio en la nube se pueden
proporcionar como programas utilitarios que pueden ser capaces de anular los controles del
sistema y de la aplicación. El uso de estos programas por parte de los usuarios finales de un cliente
del servicio en la nube debe estar restringido
r estringido y estrictamente controlado.
9.4.5- Control de acceso al código fuente de los programas

10. CRIPTOGRAFÍA
10.1- Controles criptográficos
10.1.1- Política sobre el uso de controles criptográficos

criptográficos

10.1.2- Gestión de claves


Cel. (51) 968866681
11. SEGURIDAD FÍSICA Y AMBIENTAL
11.1- Áreas seguras
11.1.1- Perímetro de seguridad física


El proveedor de servicios en la nube debe considerar un balance entre el soporte de los clientes
del servicio en la nube y los riesgos de seguridad de la información cuando se deifine el alcance de
la información sobre los perímetros de seguridad física y los controles asociados que se
proporcionarán a los clientes del servicio en la nube.
11.1.2- Controles de ingreso físico


Cel. (51) 968866681
11.1.3- Asegurar oficinas, áreas e instalaciones
i nstalaciones

11.1.4- Protección contra amenazas externas y ambientales

11.1.5- Trabajo en áreas seguras

11.1.6- Áreas de despacho y carga

11.2- Equipos
11.2.1- Ubicación y protección de los equipos

11.2.2- Servicios de suministro

11.2.3- Seguridad del cableado

11.2.4- Mantenimiento de equipos


Cel. (51) 968866681
11.2.5- Retiro de activos

11.2.6- Seguridad de equipos y activos fuera de las instalaciones

11.2.7- Disposición o reutilización segura de equipos

11.2.8- Equipos de usuario desatendidos

11.2.9- Política de escritorio limpio y pantalla limpia

12 SEGURIDAD DE LAS OPERACIONES
12.1- Procedimientos y responsabilidades operativas
12.1.1- Procedimientos operativos documentados

12.1.2- Gestión del cambio


Cel. (51) 968866681
En caso que el cliente del servicio en la nube provea servicios a usuarios internos o externos
utilizando el servicio en la nube, puede solicitar la información de cambios en los sistemas y
servicios al proveedor para mantener la provisión de especificaciones y niveles de servicio.
Ejemplo de este caso es un proveedor SaaS que depende de IaaS.
Las certificaciones de seguridad son útiles, relacionadas con los sistemas y servicios que
representan la infraestructura compartida con otros clientes del servicio en la nube del proveedor.
12.1.3- Gestión de la capacidad


Cel. (51) 968866681
El cliente del servicio en la nube puede considerar lo siguiente en la gestión de la capacidad si le
fue entregada por el proveedor del servicio:
a) entorno del sistema:

1) Capacidad de almacenamiento de datos;
2) Capacidad
Capacidad de las redes
redes y equipos,
equipos, incluida la red virtual en el entorno del servicio en
la nube (por ejemplo, ancho de banda, número máximo
m áximo de sesiones);
3) Rendimiento del sistema esperado o acordado;
4) Tiempo de entrega para tener capacidad adicional o rendimiento del sistema, y unidad
mínima de entrega;
5) Capacidad máxima y rendimiento del sistema;
6) Redundancia y diversidad de sistemas
7) Redundancia y diversidad de accesos a la red.
r ed.
b) estadísticas sobre el uso de recursos del sistema:

1) estadísticas en un período de tiempo
t iempo dado;
2) uso máximo de recursos del sistema.
El volumen total de la capacidad lógica nunca puede exceder el volumen total de la capacidad
física. Si el volumen de los recursos excedió el volumen total de la capacidad física, puede causar
un incidente grave. Por esta razón, monitorear el volumen total de los recursos lógicos y mantener
un cierto volumen disponible es requerido para prevenir incidentes causados por la falta de
recursos.
Cel. (51) 968866681
12.1.4- Separación de los entornos de desarrollo, pruebas y operaciones

12.2- Protección contra software malicioso (malware)
12.2.1- Controles contra software malicioso (malware)

12.3- Respaldo
12.3.1- Respaldo de la información

aplican para este caso. Las siguientes pautas específicas para este sector también a plican:

Cel. (51) 968866681
12.4- Registros y monitoreo
12.4.1- Registro de eventos

aplican para este caso. Las siguientes pautas específicas para este sector t ambién aplican:
12.4.2- Protección de información de registros.

12.4.3- Registros del administrador y del operador

12.4.4- Sincronización de reloj

12.5- Control del software operacional
12.5.1- Instalación de software en sistemas operacionales


Cel. (51) 968866681
12.6- Gestión de vulnerabilidad técnica
12.6.1- Gestión de vulnerabilidades

vulnerabilidades técnicas

12.6.2- Restricciones sobre la instalación de software


Cel. (51) 968866681
12.7- Consideraciones para la auditoría de los
l os sistemas de información
12.7.1- Controles de auditoría de sistemas de información

13. SEGURIDAD DE LAS COMUNICACIONES
13.1- Gestión de seguridad de la red
13.1.1- Controles de la red


El portal o consola en tiempo real para el cliente del servicio en la nube es una herramienta útil
para compartir información sobre la situación del entorno del cloud computing.
13.1.2- Seguridad de servicios de red

13.1.3- Segregación en redes


Cel. (51) 968866681
Ejemplo de casos en los que se requiere segregación de redes al proveedor son:
a) Competidores dentro de una misma industria coexisten en el mismo entorno cloud.

b) Cuando disposiciones regulatorias dictan segregar o aislar un determinado tipo de
tráfico de red.
13.2- Transferencia de información
13.2.1- Políticas y procedimientos de transferencia de la información

13.2.2- Acuerdo sobre transferencia de información

13.2.3- Mensajes electrónicos

13.2.4- Acuerdos de confidencialidad o no divulgación

14. ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO

MANTENIMIENTO DE SISTEMAS
14.1- Requisitos de seguridad de los sistemas de información

Cel. (51) 968866681
14.1.1- Análisis y especificación de requisitos de seguridad de la información

14.1.2- Aseguramiento de servicios de aplicaciones sobre redes públicas

14.1.3- Protección de transacciones en servicios de aplicación

14.2- Seguridad en los procesos de desarrollo y soporte

Cel. (51) 968866681
14.2.1- Política de desarrollo seguro

14.2.2- Procedimientos de control de cambio del sistema

14.2.3- Revisión técnica de aplicaciones después de cambios a la plataforma operativa

14.2.4- Restricciones sobre cambios a los paquetes de software

14.2.5- Principios de ingeniería de sistemas seguros

14.2.6- Ambiente de desarrollo seguro

14.2.7- Desarrollo contratado externamente

14.2.8- Pruebas de seguridad del sistema

14.2.9- Pruebas de aceptación del sistema


Cel. (51) 968866681
En el caso de cloud computing, las pruebas de aceptación del sistema aplican principalmente
al servicio en sí y al uso del servicio por el cliente.
14.3- Datos de prueba
14.3.1- Protección de datos de prueba

15. RELACIONES CON LOS PROVEEDORES
15.1- Seguridad en las relaciones con los

l os proveedores
15.1.1- Política de seguridad de la información para las relaciones con los proveedores

15.1.2- Abordar la seguridad dentro de los acuerdos con proveedores


Cel. (51) 968866681
Algunos clientes de servicios en la nube pueden colocar condiciones específicas en los
acuerdos del servicio relacionados a recursos humanos del proveedor involucrados en la
entrega del servicio. Si el proveedor estuviera de acuerdo con estas condiciones, entonces él
está obligado a reflejar estas condiciones y asignarlas al proyecto.
15.1.3- Cadena de suministro de tecnología de información y comunicación

15.2- Gestión de entrega de servicios del proveedor
15.2.1- Monitoreo y revisión de servicios del proveedor


Cel. (51) 968866681
15.2.2- Gestión de cambios a los servicios de proveedores

16. GESTIÓN DE INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN
16.1- Gestión de incidentes de seguridad de la información y mejoras
16.1.1- Responsabilidades y procedimientos

16.1.2- Reporte de eventos de seguridad de la información

16.1.3- Reporte de debilidades de seguridad de la información

16.1.4- Evaluación y decisión sobre eventos de seguridad de la información


Cel. (51) 968866681
16.1.5- Respuesta a incidentes de seguridad de la información

16.1.6- Aprendizaje de los incidentes de seguridad de la información

16.1.7- Recolección de evidencia


Cel. (51) 968866681
17. ASPECTOS DE SEGURIDAD DE LA INFORMACIÓN EN LA GESTIÓN DE CONTINUIDAD DEL
NEGOCIO
17.1- Continuidad de seguridad de la información
17.1.1- Planificación de continuidad de seguridad de la información

17.1.2- Implementación de continuidad de seguridad de la información

17.1.3- Verificación, revisión y evaluación de continuidad

c ontinuidad de seguridad de la información


Cel. (51) 968866681
17.2- Redundancias
17.2.1- Disponibilidad de Instalaciones de procesamiento de la información

18. CUMPLIMIENTO
18.1- Cumplimiento con requisitos legales y contractuales
18.1.1- Identificación de requisitos contractuales y de legislación aplicable

18.1.2- Derechos de propiedad intelectual

18.1.3- Protección de registros


Cel. (51) 968866681
18.1.4- Privacidad y protección de datos personales


ISO / IEC 27018 “Código de buenas prácticas para controles de protección de datos para
servicios informáticos públicos ” puede referirse a este tema.
18.1.5- Regulación de controles criptográficos

18.2- Revisiones de seguridad de la información
18.2.1- Revisión independiente de la seguridad de la información

18.2.2- Cumplimiento de políticas y normas de seguridad


Cel. (51) 968866681
18.2.3- Revisión del cumplimiento
cumplimiento técnico


Cel. (51) 968866681
ANEXO A: CONJUNTO DE CONTROL EXTENDIDO DEL SERVICIO DE CLOUD
COMPUTING (NORMATIVO)
Este anexo proporciona objetivos y controles adicionales con guía de implementación, como
un conjunto de controles extendido del servicio de cloud computing. Los objetivos de control
ISO / IEC 27002 relacionados con estos controles no se repiten. Se recomienda que cualquier
organización que implemente estos controles
controles en el contexto de un SGSI, que debe cumplir con
la norma ISO / IEC 27001, amplíe su SOA (declaración de aplicabilidad) mediante la inclusión
de los controles establecidos en este Anexo.
CLD.6.3- Relación entre el cliente y el proveedor del servicio en la nube
CLD.6.3.1- Demarcación de responsabilidad
Control
La demarcación de responsabilidad entre las organizaciones del cliente y el proveedor del
servicio en la nube debería ser definida y documentada.
Guía de implementación
implementación

La ambigüedad en los roles y en la definición de responsabilidades relacionadas con temas
como propiedad de datos, control de acceso, mantenimiento de la infraestructura puede dar
lugar a disputas comerciales o legales (especialmente cuando se trata de terceros, o cuando el
proveedor de servicios en la nube también es cliente o subcontratista de servicios en la nube).
CLD.6.3.2- Sistema de Intercambio de Información
Control
Un sistema de intercambio de información entre el cliente y el proveedor de servicio en la
nube debería ser desarrollado y mantenido.

Cel. (51) 968866681
implementación
CLD.9.5- Control de acceso de los datos del cliente del servicio en la nube en un entorno
virtual compartido
CLD.9.5.1- Protección del entorno virtual
Control
El entorno virtual del cliente en un servicio basado en la nube debería saer protegido de otros
clientes y usuarios no autorizados.
implementación

En el caso de que el entorno virtual sea proporcionado mediante un software, por ejm.
sistema operativo virtual, la configuración de red y el almacenamiento se pueden virtualizar y
la segregación de las redes físicas se puede invalidar. La segregación de otros clientes del
servicio en la nube en entornos virtualizados
virtualizados por software debe diseñarse
diseñarse e implementarse
implementarse
utilizando la función de segregación del software.
En caso de que la información del cliente del servicio en la nube se almacene en un área de
almacenamiento físicamente compartida con "tabla de metadatos" del servicio en la nube, la
segregación de información de otros clientes del servicio en la nube puede implementarse
mediante control de acceso a la "tabla de metadatos".
CLD.12- Seguridad de las Operaciones
CLD.12.4- Logeo y Monitoreo

Cel. (51) 968866681
CLD.12.4.5- Registro de operaciones de clientes del servicio en la nube con privilegios
Control
El registro de operaciones de clientes con usuarios privilegiados debería ser adquirido y
almacenado para esclarecer el límite de responsabilidad.
implementación
CLD.13- Seguridad de las Comunicaciones
CLD.13.1- Gestión de Seguridad de la Red
CLD.13.1.4- Cooperación de configuraciones entre red virtual y física
Tras la configuración de la red virtual, la consistencia de las configuraciones entre la red virtual
y física debe verificarse en función de la política de seguridad de la red de la organización .
implementación

En un entorno en la nube asado en tecnología virtualizada, la red virtual es configuraada sobre
infraestructura virtual sobre la red física. En dicho entorno, la inconsistencia de las políticas de
red podría causar caídas del sistema y/o violaciones de control de acceso.
CLD.16- Gestión de Incidentes de Seguridad de la Información
CLD.16.1- Gestión de incidentes de seguridad de la información y mejoras

Cel. (51) 968866681
CLD.16.1.8- Implementación del proceso de distribución rápida de información sobre incidentes
de seguridad de la información en el entorno de la nube
Control
EL proceso de distribución rápida de información sobre incidentes de seguridad de la información
en el entorno de la nube debería ser implementado para compartir información con los clientes
inmediatamente después que estos ocurran.
implementación

Cel. (51) 968866681
ANEXO B: RIESGOS DE SEGURIDAD DE LA INFORMACIÓN RELACIONADOS A
LA NUBE
Aunque las preocupaciones de seguridad y privacidad cuando se usan servicios de computación en

la nube son similares a las de los servicios tradicionales, las preocupaciones se amplifican para el
cliente del servicio en la nube mediante el control externo sobre los activos de la organización y el
potencial de mala administración de esos activos. La transición a la computación en la nube
pública implica una transferencia de responsabilidad y control al proveedor del servicio en la nube
sobre la información, así como los componentes del sistema que anteriormente estaban bajo el
control directo de la organización
or ganización del cliente. La transición suele ir acompañada de una pérdida de
control directo sobre la gestión de las operaciones y también una pérdida de influencia sobre las
decisiones tomadas sobre el entorno informático.
A pesar de esta pérdida inherente de control, el cliente del servicio en la nube aún necesita
responsabilizarse del uso de los servicios en la nube para mantener el conocimiento de la
situación, sopesar alternativas, establecer prioridades y efectuar cambios en la seguridad y la
privacidad que sean lo mejor para el organización. El cliente logra esto al garantizar que el
contrato con el proveedor y su acuerdo de nivel de servicio asociado (SLA) tenga las disposiciones
adecuadas para la seguridad y la privacidad. En particular, el SLA debe ayudar a mantener las
protecciones legales de la privacidad en relación con los datos almacenados en los sistemas del
proveedor. El cliente también debe garantizar la integración adecuada de los servicios en la nube
con sus propios sistemas para administrar la seguridad y la privacidad.
Hay una serie de riesgos de seguridad asociados con la computación en la nube que deben
abordarse adecuadamente, tanto para el cliente del servicio en la nube como para el proveedor
del servicio en la nube:

Cel. (51) 968866681
B.1- Amenazas para el cliente del servicio en la nube
Las siguientes amenazas son aquellas que afectan directamente al cliente del servicio en la nube,
debido a que pueden afectar sus intereses de negocio, aspectos legales, privacidad, o seguridad.
No todos los clientes estarán en riesgo de todas estas amenazas, los riesgos variarán dependiendo
de la naturaleza del cliente y del servicio en la nube que está siendo usado:
- Pérdida de gobierno. En el despliegue de nubes públicas, los clientes necesariamente

ceden el control al proveedor sobre un número de problemas que pueden afectar la
seguridad. Al mismo tiempo, los acuerdos
acuerdos de nivel e servicio de la nube (SLA) pueden no
ofrecer un compromiso para proveer las capacidades necesarias por parte del proveedor,
dejando así brechas en la seguridad.
- Ambigüedad de responsabilidad. Dado que el uso de los servicios de computación en la

nube abarca el cliente y las organizaciones proveedoras, la responsabilidad por los
aspectos de seguridad puede distribuirse entre ambas organizaciones, con la posibilidad
de que partes vitales de las defensas queden desprotegidas si no se asigna claramente la
responsabilidad. Es probable que la división de responsabilidades entre las organizaciones
de clientes y proveedores varíe según el modelo que se use para la computación en la
nube (por ejemplo, IaaS versus SaaS). También es necesario que el acuerdo de servicio, los
SLA y la descripción del servicio en la nube sean claros en los aspectos de seguridad y
privacidad asociadas con el servicio en la nube.
- Fallas de asilamiento.
asilamiento. Los recursos compartidos y multiusuario son características
definidas de la nube pública. Esta categoría de riesgo cubre la falla de los mecanismos que
separan el uso de datos, almacenamiento, memoria, ruteo e incluso reputación entre
diferentes usuarios o clientes (por ejemplo, los denominados ataques guest-hopping).

Cel. (51) 968866681
- Dependencia de un proveedor.
proveedor. La dependencia de los servicios patentados de un
proveedor de servicios en la nube en particular podría llevar al cliente a vincularse con ese
proveedor. Los servicios que no admiten la portabilidad de aplicaciones y datos a otros
proveedores aumentan el riesgo de falta de disponibilidad de datos y servicios.
- Riesgos legales y de cumplimiento.

cumplimiento. La migración para utilizar la nube puede poner en
riesgo la inversión para lograr la certificación (por ejemplo, estándares industriales o
requisitos regulatorios) si el proveedor no puede proporcionar evidencia de su propio
cumplimiento de los requisitos pertinentes o si no permite auditoría por el cliente. Es
responsabilidad del cliente verificar que el proveedor cuente con las certificaciones
apropiadas, pero también es necesario que el cliente de la nube tenga en claro la división
de responsabilidades de seguridad entre el consumidor y el proveedor, y que garantice
que las responsabilidades del cliente sean manejadas apropiadamente cuando se usan
servicios en la nube.
- Gestión de incidentes de seguridad.

seguridad . La detección, la generación de informes y la gestión
posterior de infracciones de seguridad es una preocupación para los clientes del servicio
en la nube, que confían en el proveedor para manejar estos asuntos.
- Vulnerabilidad de la interface de gestión.

gestión. Las interfaces de gestión de clientes de un
proveedor de nube pública suelen ser accesibles a través de Internet y median el acceso a
conjuntos de recursos más grandes que los típicos proveedores de alojamiento
tradicionales y, por lo tanto, suponen un mayor riesgo, especialmente cuando se
combinan con acceso remoto y vulnerabilidades del navegador web.
- Protección de datos.
datos. La nube plantea varios riesgos de protección de datos para los
clientes y proveedores de la nube. Las principales preocupaciones son la exposición o la
liberación de datos sensibles, pero también incluyen la pérdida o la falta de disponibilidad
de datos. En algunos casos, puede ser difícil para el cliente del servicio en la nube verificar
de manera efectiva las prácticas de manejo de datos del proveedor y así asegurarse de
que los datos se manejen de manera legal. Este problema se agrava en los casos de
transferencias múltiples de datos, por ejemplo, entre servicios en la nube federados.
- Comportamiento malicioso de personas internas.

internas. Los daños causados por las acciones
maliciosas de los empleados internos que trabajan dentro de una organización pueden ser
sustanciales, dado el acceso y las autorizaciones que puedan tener. Esto se complica en el
entorno de computación en la nube, ya que dicha actividad puede ocurrir dentro de la
organización del cliente y en la organización
or ganización proveedora, o ambas.
- Fallas del negocio del proveedor.

proveedor . Tales fallas podrían hacer que los datos y las
aplicaciones esenciales
esenciales para el negocio del consumidor no estén disponibles.
- Indisponibilidad del servicio.

servicio . Esto podría deberse a una serie de factores, desde fallas de
equipos o software en el centro de datos del proveedor, hasta fallas en las
comunicaciones.

Cel. (51) 968866681
- Fallas de migración e integración.
integración. La migración para utilizar los servicios en la nube puede
implicar el traslado de datos y aplicaciones del entorno del cliente al entorno del
proveedor, con cambios de configuración asociados (por ejemplo, el direccionamiento de
la red). La migración de una parte de la infraestructura de TI del cliente a un proveedor de
servicios en la nube puede requerir cambios sustanciales en el diseño de la infraestructura
(por ejemplo, políticas de red y seguridad). Las aplicaciones y los datos migrados también
requieren la integración con otros sistemas del cliente y puede fallar en impactos
funcionales y no funcionales.
- Riesgos evolutivos.
evolutivos. Un servicio en la nube que haya superado la evaluación de seguridad
del cliente durante la fase de adquisición podría tener nuevas vulnerabilidades
introducidas durante su ciclo de vida debido a cambios en los componentes de software
introducidos por el proveedor de servicios en la nube.
- Problemas transfronterizos.
transfronterizos. Una característica de la computación en la nube es que los
sistemas del proveedor de servicios en la nube pueden estar ubicados en una jurisdicción
diferente a la del cliente, o los sistemas del proveedor pueden dividirse en varias
jurisdicciones. Este es un problema para el cliente, ya que puede no estar claro qué
regulaciones y leyes se aplicarán al servicio en la nube y a los datos y aplicaciones
asociados con el servicio y podría ocasionar que el cliente incumpla las reglamentaciones
de la jurisdicción "de origen". Una característica de la computación en la nube es que los
sistemas del proveedor de servicios en la nube pueden estar ubicados en una jurisdicción
diferente a la del cliente, o los sistemas del proveedor pueden dividirse en varias
jurisdicciones. Este es un problema para el cliente, ya que puede no estar claro qué
regulaciones y leyes se aplicarán al servicio en la nube y a los datos y aplicaciones
asociados con el servicio y podría ocasionar que el cliente incumpla las reglamentaciones
de la jurisdicción "de origen".
- Eliminación de datos insegura e incompleta.

incompleta. Las solicitudes para eliminar recursos de la
nube, por ejemplo, cuando un cliente termina el uso de un servicio en la nube con un
proveedor, pueden no dar como resultado la eliminación completa
completa de los datos
dato s del cliente
de los sistemas del proveedor. La eliminación adecuada o puntual de los datos también
puede ser imposible, ya sea porque se almacenan copias adicionales de los datos, pero no
están disponibles, o porque el disco que se va a eliminar también almacena datos de otros
clientes. En el caso de multiclientes y la reutilización de recursos de hardware, esto
representa un mayor riesgo para el cliente que en el caso del hardware dedicado.
Mientras que estos riesgos aplican principalmente para el cliente, es importante notar que ellos
también pueden aplicar al proveedor, si el proveedor depende de la nube de alguno de sus
suppliers.
B.2- Amenazas para el proveedor de servicios en la nube
Esta cláusula considera las amenazas que afectan directamente al proveedor de servicios en la
nube. Dichas amenazas pueden afectar la capacidad del proveedor para ofrecer un servicio en la
nube, hacer negocios, retener clientes y evitar dificultades legales o reglamentarias. Las amenazas

Cel. (51) 968866681
a un determinado proveedor de servicios en la nube dependerán de sus ofertas de servicios y
entornos específicos.
- Ambigüedad de responsabilidad. Dado que el uso de servicios en la nube se extiende a

través de las organizaciones de consumidores y proveedores, la responsabilidad por los
aspectos de seguridad se puede extender a ambas organizaciones. La ambigüedad
relacionada con las funciones y la definición de responsabilidades relacionadas con
cuestiones como la propiedad de los datos, el control de acceso y el mantenimiento de la
infraestructura pueden dar lugar a disputas comerciales o legales.
- Inconsistencia y conflicto de mecanismos de protección.

protección. Debido a la arquitectura
descentralizada de una infraestructura en la nube, sus mecanismos de protección pueden
ser inconsistentes entre los módulos de seguridad distribuidos. Por ejemplo, un acceso
denegado por un módulo de Gestión de identidades y accesos (IAM) puede ser otorgado
por otro. Esta incoherencia podría causar problemas para el usuario autorizado y podría
ser explotada por un atacante, lo que comprometería la confidencialidad y la integridad.
- Falla de aislamiento. La
aislamiento. La computación en la nube generalmente implica compartir recursos
entre múltiples clientes. Existe la posibilidad de que fallen los mecanismos de aislamiento
que mantienen separados los datos y las aplicaciones de diferentes clientes. Este riesgo es
una amenaza para la reputación del proveedor y para el negocio del proveedor. La
exposición no intencional de los activos del cliente podría ser la causa de litigio.
- Acceso no autorizado a los sistemas del proveedor.

proveedor . La computación en la nube
inevitablemente implica proporcionar acceso a partes de los sistemas del proveedor para
usuarios “cliente” y “administrador”. El riesgo es que este acceso también podría
proporcionar inadvertidamente acceso a partes de los sistemas del proveedor destinados
solo para uso del personal autorizado del proveedor.
- Conflicto Jurisdiccional.
Jurisdiccional. Un proveedor de servicios en la nube puede operar centros de
datos en múltiples jurisdicciones y puede mover datos entre centros de datos.
Dependiendo del país de acogida, los datos estarán regidos por diferentes leyes aplicables,
y también pueden ser diferentes a las que se aplica a cualquier cliente de servicios en la
nube en particular. Algunas jurisdicciones, como la UE, requieren una amplia protección
de la información de identificación personal, que no debe procesarse en países que no
proporcionan un nivel suficiente de protección garantizada. Tratar los datos
incorrectamente puede dar lugar a sanciones legales.
- Amenazas internas. Donde
internas. Donde los humanos están involucrados, siempre existe el riesgo de
que las personas actúen de manera maliciosa o descuidada y pongan en riesgo la
seguridad del servicio. Los empleados del proveedor de servicios en la nube que emplean
credenciales inseguras, las acciones maliciosas de empleados descontentos o criminales
expertos que obtienen un puesto en el personal del proveedor representan una amenaza
importante para cualquier empresa. Deben existir controles apropiados para limitar el
acceso a los datos y las aplicaciones de los clientes y para monitorear cualquier actividad
sospechosa.

Cel. (51) 968866681
- Vulnerabilidad de la cadena de suministro.
suministro. La confiabilidad de un proveedor de servicios
en la nube depende de un análisis de riesgo de vulnerabilidad de su cadena de suministro.
Este análisis de riesgos implica identificar y recopilar información sobre los componentes
adquiridos del proveedor de servicios en la nube para computación, redes y
almacenamiento que se utilizan para proporcionar servicios en la nube. Las actividades
típicas de seguridad de la cadena de suministro del proveedor de servicios en la nube
incluyen:
o Background de la Información sobre los participantes en la cadena de suministro

del proveedor de servicios en la nube.
o Validación de hardware, software y servicios utilizados por el proveedor de
servicios en la nube.
o Inspección del hardware y software del proveedor de servicios en la nube cuando
es recibido para garantizar que no se manipuló durante el tránsito.
BIBLIOGRAFÍA
[1] ISO/IEC 17788, Information technology — Distributed application platforms and services —
Cloud computing ─ Overview and Vocabulary
[2] ISO/IEC 17789, Information technology — Distributed Application Platforms and Services
— Cloud Computing — Reference Architecture
[3] NIST, SP800-144 Guidelines on Security and Privacy in Public Cloud Computing
[4] NIST, SP800-145 The NIST Definition of Cloud Computing Draft 
[5]
[5] NIST, Effectively and Securely Using the Cloud Computing Paradigm
[6]
[6] ENISA, Cloud Computing Benefits, risks and recommendations for information security
[7]
[7] ENISA, Cloud Computing Information Assurance Framework
[8] Cloud Security Alliance, Security Guidance for Critical Areas of Focus in Cloud Computing
V2.1
[9] Cloud Security Alliance, Top Threats to Cloud Computing V1.0
[10] Cloud Security Alliance, Domain 12: Guidance for Identity & Access Management V2.1

Cel. (51) 968866681
[11] Cloud Security Alliance, CSA Cloud Controls Matrix V1.1
[12] ISACA, Cloud Computing: Business Benefits With Security, Governance and Assurance
Perspectives
[13]
[13] ISACA, Cloud Computing Management Audit/Assurance Program
[14] U.S. CIO Council, Proposed Security Assessment & Authorization for U.S. Government Cloud
Computing
[15]
[15] ISO/IEC16680 The Open Group Service Integration Maturity Model (OSIMM)
[16] ITU-T Recommendation X.805 (2003), Security architecture for systems providing end-to-
end communications.
[17] ISO/IEC 18028-1:2006, Information technology - Security techniques - IT network security -

Part 1: Network security management.

Part 2: Network security architecture.

Part 3: Securing communications between networks using security gateways.

Part 4: Securing remote access.

Part 5: Securing communications across networks using virtual private networks
[22] ISO/IEC 18043:2006, Information technology - Security techniques - Selection, deployment

and operations of intrusion detection systems.
[23] ISO/IEC TR 18044, Information

Information technology - Security techniques - Information security
incident management.

Cel. (51) 968866681

ISO27017-español Compress

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ISO27017-español Compress

Cargado por

Copyright:

Formatos disponibles

TIPO DE DOCUMENTO: Traducción no oficial

TÍTULO: Texto para ISO/IEC 5th WD 27017 basado en DoC (N12767) –

FECHA DEL DOC. ORIGINAL:

ESTADO: Traducción en concordancia con el documento de la Resolución 5

Favor de enviar consultas, comentarios o mejoras al presente

VERSIÓN DEL DOCUMENTO: 01

Diego Adrián Núñez Noriega Página 1

7.3- Terminación y cambio de empleo ………………………………………………..………………….. 16

Diego Adrián Núñez Noriega Página 3

Diego Adrián Núñez Noriega Página 5

Diego Adrián Núñez Noriega Página 6

ISO (Organización Internacional para la Estandarización) e IEC (Comisión Electrotécnica

Diego Adrián Núñez Noriega Página 7

1.1- Visión general

Esta norma internacional proporciona directrices que respaldan la implementación de controles

1.2- Necesidades actuales

Una de las necesidades principales

El objetivo de este estándar es proveer un marco de referencia para el control de la seguridad

- Directrices para la implementación de controles especificados en la ISO/IEc 27002

Los siguientes documentos son indispensables para la aplicación de este documento:

Diego Adrián Núñez Noriega Página 8

4.1- Estructura de este standard

- Políticas de seguridad de la información (Cláusula 5)

Cada cláusula contiene una o más de las principales categorías de seguridad.

Cada categoría de seguridad principal contiene:

a) un objetivo de control que indica lo que se debe lograr; y

Las descripciones de control están estructuradas de la siguiente manera:

Diego Adrián Núñez Noriega Página 9

Control, guía de implementación, Otra información de ISO / IE C 27002

Pautas específicas del sector para servicios en la nube

Diego Adrián Núñez Noriega Página 10

4.2- Relación con otros estándares

4.3- Relaciones entre clientes y proveedores de servicios en l a nube

4.3.1- Relaciones entre clientes y proveedores de servicios en la nube

El cliente de servicios en la nube es el principal responsable de la seguridad de la

4.3.2- Relaciones con el supplier en servicios en la nube

Las siguientes relaciones con el supplier deberían ser consideradas:

o La relación del proveedor de servicios en la nube al cliente de dichos servicios,

4.4- Evaluación de riesgos de seguridad de la

Diego Adrián Núñez Noriega Página 11

a) La información divulgada por el proveedor de servicios en la nube sobre los controles de

5. POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

5.1- Gestión de la alta dirección para seguridad de la información

5.1.1- Políticas para la seguridad de la información

El control 5.1.1 y la guía de implementación y otra información especificada

Diego Adrián Núñez Noriega Página 12

El control 5.1.1 y la guía de implementación y otra información especificada

6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

6.1- Organización Interna

El objetivo especificado en la cláusula 6.1 ISO/IEC 27002 aplica.

6.1.1- Roles y responsabilidades de seguridad de la información

El control 6.1.1 y la guía de implementación y otra información especificada

Diego Adrián Núñez Noriega Página 13

El control 6.1.2 y la guía de implementación y otra información especificada en la ISO/IEC 27002

6.1.3- Contacto con autoridades

El control 6.1.3 y la guía de implementación y otra información especificada en la ISO/IEC 27002

6.1.4- Contacto con grupos especiales de interés

El control 6.1.4 y la guía de implementación y otra información especificada en la ISO/IEC 27002

6.1.5- Seguridad de la información en la gestión de proyectos

El control 6.1.5 y la guía de implementación y otra información especificada en la ISO/IEC 27002

6.2- Dispositivos móviles y teletrabajo

El objetivo especificado en la cláusula 6.2 ISO/IEC 27002 aplica.

Diego Adrián Núñez Noriega Página 14