👉 Esta actividad te ayuda a cumplir los siguientes controles:
Controles de 27001 (versión 2023) compartido con 27017: A.11.2.7, A.15.1.2, A.16.1.7
Controles de 27001 (versión 2022): A.5.20, A.5.28, A.7.14
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a definir todas las actividades necesarias para que la implementación de la gestión del entorno de nube utilizado por tu empresa sea efectiva, y garantice la seguridad de tu información alojada ahí.
¿Qué tengo que hacer? 🚀
💡 Recuerda que este procedimiento debe estar alineado a tus operaciones reales, pero sin dejar de considerar la implementación de medidas de seguridad que te ayuden a tener un procedimiento eficiente y en cumplimiento.
Ahora bien, para documentar tu procedimiento te recomendamos considerar los siguientes aspectos:
Definición del modelo operativo. Este ejercicio se refiere a que la empresa debe analizar cuál es el objetivo de su infraestructura en la nube, para qué la usa, cómo la usa, entre otras cosas, para identificar qué tipo de operaciones maneja. Con esto, se podrán analizar e identificar los riesgos asociados y el nivel de seguridad que necesita implementarse.
Algunos de los tipos de operaciones más comunes, y que podrás encontrar dentro del template:
Operaciones descentralizadas
Operaciones centralizadas
Operaciones empresariales
Operaciones distribuidas
💡 Dentro de nuestro template te mostramos también los aspectos más importantes a tener en cuenta para definir el tipo de operación aplicable.
Implementación de lineamientos de seguridad. Una vez identificado el tipo de operación que manejas, será más sencillo identificar los lineamientos de seguridad que deberás implementar para proteger tu entorno de nube.
Algunos de los aspectos de seguridad más importantes a tomar en cuenta son los siguientes:
Protección de datos en tránsito, que equivale a la seguridad en las redes.
Protección de activos y resiliencia, de forma que pueda asegurarse su funcionamiento y protección.
Separación entre usuarios, que corresponde básicamente a implementar una adecuada segregación de los roles y permisos para el control de accesos, entre otros.
💡 Dentro de nuestro template podrás encontrar la lista completa de todos los aspectos que te recomendamos considerar. Como podrás ver, éstos son muy similares a los que ya implementaste para tu SGSI, lo único que debes hacer para dar cumplimiento a ISO 27017 es asegurar que también están implementados en los servicios y componentes de tu infraestructura en la nube.
Monitoreo y mantenimiento de la seguridad. La empresa debe asegurar que todos los recursos que se consideren necesarios para monitorear y mantener la eficiencia de la seguridad estén disponibles. Para esto, es muy recomendable implementar todas las herramientas de automatización que les sean posibles para supervisar continuamente el entorno de nube.
Algunos de los aspectos más importantes a monitorear son los siguientes:
Datos e información que se encuentre en ubicaciones distribuidas, sobre todo si se considera confidencial o sensible.
Posibles brechas de seguridad en los archivos, aplicaciones y usuarios dentro del entorno de nube, considerado principalmente aquellos que sean más relevantes para sus operaciones, entre otros.
💡 El reporte y seguimiento a los incidentes de seguridad, y la aplicación de pruebas de continuidad para verificar que las estrategias de recuperación son efectivas, aportan mucho valor al monitoreo de tu entorno de nube.
Comunicación de los resultados de monitoreo. Siempre que se realicen acciones de monitoreo que proporcionen resultados importantes, se debe generar y comunicar un informe sobre el estado de la seguridad en el entorno de nube.
Los datos que recomendamos incluir en este reporte son los siguientes:
Fecha de generación del informe.
Responsables de generarlo.
Elementos, servicios y/o aplicaciones alcanzados por el monitoreo.
Hallazgos identificados, si aplica.
Actividades realizadas para el monitoreo.
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu procedimiento fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Añade todos los pasos y medidas de seguridad que consideres necesarios para garantizar la correcta gestión de las herramientas de la nube.
Revisa este documento periódicamente y aplica cualquier cambio que pueda aportar valor para mantenerlo siempre alineado con las mejores prácticas.
Alinea este procedimiento con lo definido en tu Política de Seguridad de la Información en la Nube y con tu Política de Seguridad de la Información implementada para ISO 27001.
Es importante que todas las personas involucradas con una responsabilidad y/o presencia en el entorno de nube implementen correctamente los procedimientos y las políticas pertinentes.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.