👉 Esta actividad te ayuda a cumplir los controles:
Controles de 27001 (versión 2023) compartidos con 27017 y 27018: A.6.1.1, A.6.1.2, A.6.1.3, A.8.1.1, A.9.2.1, A.9.2.2, A.9.2.3, A.9.2.4, A.9.2.5, A.9.2.6, A.9.4.4, A.9.4.5
Controles de 27001 (versión 2022): A.5.2, A.5.3, A.5.5, A.5.9, A.5.16, A.5.17, A.5.18, A.8.2, A.8.4, A.8.18
Controles específicos de 27017: CLD.6.3.1, CLD.12.4.5
Controles específicos de 27018: A.11.8, A.11.9, A.11.10, A.11.12
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a enlistar y administrar tus herramientas tecnológicas para identificar si cuentan con servicios en la nube y/o si contienen datos personales, de manera que puedas definir las medidas de seguridad más adecuadas para protegerlos.
¿Qué tengo que hacer? 🚀
Para crear este documento y lograr la actividad vas a tener que realizar, a alto nivel, dos pasos muy importantes:
Identifica todas las herramientas tecnológicas alcanzadas por tu programa de seguridad, y todos los servicios de nube que utilices. Puedes tomar como referencia tu Matriz de Accesos o tu Inventario de Activos para identificarlos.
💡 Dentro de nuestro template estas herramientas se enlistan de forma horizontal, y recuerda que las que te mostramos son a manera de ejemplo, pero debes ajustarlas a tu contexto real.
Investiga y recolecta toda la información que puedas obtener sobre la herramienta y su servicio, su funcionamiento y las medidas de seguridad que utiliza.
💡 Dentro de nuestro template te sugerimos algunos de los ámbitos más importantes a considerar, y preguntas que debes responder para conocer las herramientas y servicios de nube, y con ello poder cumplir los requisitos normativos. Estos ámbitos y preguntas se enlistan de forma vertical, y podrías ajustarlos o añadir más si lo consideras necesario.
Es muy importante mencionar que este documento te aporta valor para cumplir los requisitos normativos no solo de ISO 27017, sino también de ISO 27018, por lo que los ámbitos y preguntas están divididos para comprender mejor el enfoque de seguridad en la nube y el enfoque de protección de datos personales ✅.
Algunas de las tareas que se incluyen dentro de los ámbitos y preguntas que te sugerimos son las siguientes:
Indicar cuáles son las herramientas que se encuentren dentro de la infraestructura de la empresa.
Recolectar los términos y condiciones o los contratos de servicio que se tengan con los proveedores. Puedes tomar como referencia la información de tu Matriz de Evaluación de Proveedores.
💡 Este ejercicio es muy importante ya que recordemos que, aunque tu proveedor sea muy reconocido en la industria, tú como empresa debes conocer cuáles son las medidas de seguridad que aplica para proteger tu información, cuáles son sus niveles de respuesta, de capacidad, su gestión de incidentes, las condiciones del servicio que te está prestando, etcétera, de manera que puedas garantizar que cumple con tus necesidades de negocio.
Además, no todo recae en el proveedor, la empresa también tiene responsabilidades de seguridad que debe cumplir para proteger todos los datos e información que deposita dentro del sistema o herramienta.
Continuando con la lista de tareas que te sugerimos realizar:
Colocar el tipo de servicio que corresponde a la herramienta, por ejemplo Infraestructure as a Service (Iaas), Platform as a Service (PaaS) o Software as a Service (SaaS).
Identificar a los usuarios administradores de cada herramienta o servicio.
Analizar si la herramienta te permite realizar respaldos de información e incluso, si es posible, saber cómo respaldan ellos sus bases de datos o servicios críticos para garantizar la continuidad de tu negocio.
Indicar si la herramienta contiene datos personales, y de ser así:
Indica qué tipo de datos personales son, por ejemplo “normales” o “generales” (por llamarlos de algún modo), o sensibles. Te recomendamos leer las preguntas frecuentes sobre el Aviso de Privacidad donde se detalla un poco más sobre esta categorización.
Identifica quién es el titular de dichos datos, si son tus colaboradores, tus empleados, proveedores o alguna otra parte externa.
Define si tú eres quién establece las finalidades de uso y los medios de tratamiento de los datos personales (es decir, eres el responsable), si solo realizas el procesamiento de los mismos (es decir, eres el encargado) o si realizas ambas cosas.
En palabras más sencillas, tienes que analizar los aspectos de seguridad mínimos indispensables de todas estas herramientas y servicios, e identificar cuáles son sus responsabilidades y cuáles son las tuyas en cuanto a la protección de tu información.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Añade otros ámbitos y/o preguntas para recolectar toda la información que sea relevante para ti y que te aporte valor al cumplimiento normativo.
Revisa este documento periódicamente y mantenlo siempre actualizado con tus operaciones reales.
Recuerda incluir todas las herramientas en la nube que usa la organización y pon mucha atención a las que usen o almacenen datos personales.
¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.