Ir al contenido principal

Política de Seguridad de la Información en la Nube

👉 Esta actividad te ayuda a cumplir los controles:

  • Controles de 27001 (versión 2023) compartidos con 27017: A.5.1.1, A.6.1.1, A.6.1.3, A.8.2.2, A.9.1.2, A.9.2.3, A.9.2.4, A.9.4.1, A.9.4.4, A.10.1.1, A.10.1.2, A.11.2.7, A.12.1.2, A.13.1.3, A.14.1.1, A.15.1.2, A.16.1.2, A.18.1.2, A.18.1.3, A.18.1.5, A.18.2.1

  • Controles de 27001 (versión 2022): A.5.1, A.5.2, A.5.5, A.5.8, A.5.13, A.5.15, A.5.17, A.5.20, A.5.31, A.5.32, A.5.33, A.5.35, A.6.8, A.7.14, A.8.2, A.8.3, A.8.18, A.8.22, A.8.24, 8.32, de 27001 en su versión 2022

  • Controles específicos de 27017: CLD.6.3.1, CLD.8.1.5, CLD.9.5.1, CLD.9.5.2, CLD.12.1.5, CLD.12.4.5, CLD.13.1.4

¿Para qué me sirve esta actividad? 📚

Esta actividad te sirve para establecer las directrices con las que la organización se basará para proteger su información y cualquier otro elemento que se encuentre dentro del entorno de nube, así como también para minimizar los riesgos y darte una visión general de cómo cumplirás con tus objetivos de seguridad.

💡 Esta actividad se considera como un documento adicional a la Política de Seguridad de la Información que trabajste para cumplimiento de ISO 27001, pero al implementarse, trabajan en conjunto para robustecer tu SGSI.

¿Qué tengo que hacer? 🚀

Para crear esta política te recomendamos comenzar leyendo este artículo y el template que te proporcionamos en su totalidad para conocer de qué va y comprender mejor los temas abarcados.

💡 Si hay algo que no puedas implementar, los responsables principales de este proyecto deben poder justificar los motivos de esto durante una auditoría, y en la medida de lo posible, considerarlo como una iniciativa de mejora para una futura implementación. De igual forma, ¡no dudes en acercarte a nosotros para validar la situación en conjunto y darte la mejor solución!

A continuación te enlistamos los temas de seguridad que encontrarás en el template y que deberás trabajar y adaptar al contexto de tu empresa.

  • Lineamientos generales: Estos lineamientos definen a alto nivel la manera en la que la empresa va a proteger su información y todos los elementos que se encuentran dentro del entorno de la nube, considerando temas como el objetivo del uso de la nube, monitoreo, mantenimiento, registro, etcétera.

  • Riesgos de seguridad: Este es un aspecto muy importante ya que al utilizar un entorno de nube se genera la probabilidad de que ocurran riesgos que impacten tu infraestructura, la continuidad de tus operaciones, la capacidad disponible, entre otras cosas, por lo que es esencial identificar todos estos escenarios y analizarlos dentro de la matriz de riesgos.

  • Información confidencial y datos personales: Si almacenas datos personales en tu entorno de nube, será muy importante que consideres los requisitos regulatorios que puedan aplicar a tu empresa, de manera que asegures su protección. Y para esto, es muy recomendable implementar también una Política de Privacidad y Tratamiento de Datos Personales, que garanticen un almacenamiento, transferencia y/o eliminación segura de dichos datos.

    • Cualquier otra información que se considere confidencial, aunque no corresponda específicamente a datos personales, debe ser protegida también en entornos de nube, siguiendo las mejores prácticas y lineamientos de tus políticas de seguridad ya definidas.

📑 Consulta tu Política de Seguridad de la Información para verificar tus niveles de clasificación de información.

  • Capacidades, respaldos y gestión de cambios: Si ya implementaste ISO 27001, seguramente ya tienes un modelo de gestión de backups y de gestión cambios aplicado dentro de tus sistemas. Sin embargo, es muy importante que apliques estos mismos procedimientos a todo tu entorno de nube, de manera que puedas asegurar que tu información, tus aplicaciones, los servicios utilizados y todos los elementos que conforman tu infraestructura estén respaldados, con la capacidad adecuada para mantener tus operaciones en funcionamiento, y con un historial de cambios para llevar una trazabilidad adecuada.

📑 Consulta tu Política de Tecnología y Operaciones de TI para verificar tus lineamientos sobre estos temas, así como también el Procedimiento de Gestión de Backups y el Procedimiento de Gestión de Cambios Productivos para asegurar que están alineados a tu contexto real y a tus necesidades de seguridad para la nube.

  • Accesos: Al igual que en el punto anterior de “capacidades, respaldos y gestión de cambios”, seguramente ya tienes un sistema de control de accesos implementado para ISO 27001 que te permite segregar los roles y permisos de todos tus sistemas alcanzados por el SGSI. Por lo que, para cumplimiento de ISO 27017, debes considerar la aplicación de esos controles a todo tu entorno de nube, sus servicios y sus componentes.

📑 Consulta tu Política de Seguridad de la Información para verificar tus lineamientos sobre este tema, así como también el Procedimiento de Gestión de Accesos y el Procedimiento de Revisión de Accesos para asegurar que están alineados a tu contexto real y a tus necesidades de seguridad para la nube.

Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu política fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Recuerda que debes adaptar la política a tus operaciones, no al revés ya que podría ser más compleja su implementación. El documento debe considerar las necesidades de seguridad específicas de la empresa y sus limitaciones.

  • La alta dirección debe expresar en todo momento su compromiso con el programa de seguridad, por lo que es importante su participación en la elaboración, revisión y mantenimiento de esta política.

  • Comunica esta política a todos los colaboradores de la empresa que manejan aplicaciones o servicios dentro de su entorno de nube.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
5. Política de Seguridad de la Información
39. Política de Tratamiento de la Información
FAQs - 5. Política de Seguridad de la Información
Procedimiento de Gestión de Nube
Política de Seguridad de la Información
¿Ha quedado contestada tu pregunta?