4 Formas en que la ISO 27001 puede ayudarte a garantizar la seguridad de la información en la Nube

¿No tienes tiempo para construir los documentos del Sistema de Gestión?

Kit de Certificación ISO 22000:2018

Kit de Certificación ISO 9001:2015

Kit de Certificación ISO 27001:2013

Tal vez no te hayas dado cuenta, pero tu organización al igual que muchas otras afronta un momento de duplicidad. Por un lado, desarrolla una parte de sus procesos en un mundo físico y por otro, lo hace en un espacio etéreo llamado nube.

 

Ahora bien, ¿Sabes que es la nube? ¿Cómo funciona ¿Y qué relación tiene con la ISO 27001? Hoy conocerás las respuestas a estas y otras preguntas que te ayudarán a mantener de forma consistente la seguridad de tu información.

 

 

¡Empecemos!

 

Centro de datos en la nube

Históricamente, las organizaciones usan centros de datos locales para mantener en el sitio toda la infraestructura de TI, desde servidores que presentan la web y correo electrónico, hasta el hardware de red que los conecta.

 

Sin embargo, con el tiempo este tipo de instalaciones físicas se han ido reemplazando por centros de datos en la nube. Hoy en día puedes alquilar la infraestructura administrada por un proveedor y acceder al centro de datos a través de internet.

 

Bajo este modelo, el proveedor del servicio en la nube es el encargado de mantener, actualizar y cumplir con los acuerdos y requisitos correspondientes, liberándote de esta tediosa responsabilidad. 

¿En qué se diferencia un centro de datos tradicional y un centro de datos moderno?

Puedes diferenciar un centro de datos tradicional de un modero, analizando los siguientes detalles:

 

  • El centro de datos tradicional almacena la información en servidores de hardware fí El centro de datos moderno lo hace en la nube.

 

  • Los costos de mantenimiento y actualización de un centro de datos tradicional deben ser asumidos por la organización, mientras que en los modernos es el proveedor el responsable.

 

  • En el centro de datos tradicional, el acceso al sistema depende de una red organizativa interna. En el moderno depende de la conexión a internet.

 

 

  • La migración de datos en un sistema tradicional es costosa y de alto riesgo, mientras que en un sistema moderno que usa la nube es más fácil y seguro.

¿Qué utilidades puedes dar a un centro de datos?

 

Por lo general, puedes utilizar un centro de información para:

 

  • Almacenar y administrar datos de usuario para respaldo, acceso inmediato o recuperación.

 

  • Llevar a cabo operaciones comerciales mediante correo electrónico, transacciones, mensajes de texto, uso compartido de archivos, etc.

 

  • Administrar las relaciones con tus clientes y recursos corporativos.

 

  • Operar sistemas de comunicación y colaboración.

 

  • Ejecutar aplicaciones que ocupan mucho espacio de almacenamiento.

 

  • Administrar soluciones que requieren acceso en tiempo real para modificar los datos en múltiples ubicaciones.

 

Además, puedes aprovechar las grandes ventajas que un centro de datos en la nube trae para tu negocio. Algunos beneficios que puedo mencionarte son:

 

  • Mayor optimización de los recursos informáticos a través del uso compartido razonable de los componentes de tu sistema basado ​​en la nube.

 

  • Ahorras gastos de compras y actualizaciones de hardware del centro de datos.

 

  • Mayor seguridad de tu información gracias a las copias regulares de datos y aplicaciones.

 

  • Ya no tienes que invertir dinero por adelantado, las compras para usar los servicios del centro de datos en la nube se hacen mensuales o anuales.

 

  • Mayor disponibilidad y control de datos durante el acceso externo o remoto.

 

  • No necesitas invertir en construcciones físicas o redes.

 

  • Los proveedores son los responsables de administrar tu centro de datos, no tienes que contratar un gran equipo de TI para su mantenimiento y seguridad. 

 

 

  • Tus clientes viven mejores experiencias con tu marca al reducir los tiempos de respuesta en los servicios.

¿Cómo la ISO 27001 puede aumentar tu seguridad en la nube? 

En la actualidad, muchas organizaciones dependen en gran medida de los servicios en la nube, especialmente por sus grandes beneficios en términos de accesibilidad, automatización y sincronización de datos.

 

Sin embargo, el uso de un proveedor de almacenamiento en la nube no mejorará completamente tu seguridad cibernética, ya que después de todo, la información alojada en la nube aún se encuentra en una ubicación física, y si tu puedes acceder a ella, también los ciberdelincuentes.

 

Para garantiza realmente la protección de los datos almacenados en la nube, debes adoptar las mismas precauciones que tomarías con la información guardada en otro lugar. Esto significa que tienes que implementar controles en base al marco normativo de la ISO 27001.

 

Bajo este estándar internacional podrás ejercer las mejores prácticas para un Sistema de Gestión de Seguridad de la Información y con ello, proteger eficazmente tu información almacenada en la nube.

 

Algunas de las formas en que la ISO 27001 puede ayudarte a cumplir con este propósito son:

 

Número 1. Software antivirus

Como cualquier base de datos a la que pueda acceder a través de internet, la nube es muy vulnerable a los ataques de malware. Estos pueden presentarse en cualquier forma, incluidos gusanos, adware, keyloggers y ransomware, por lo que la única forma de descubrirlos es consistentemente con tecnología antivirus y antimalware. 

 

La ISO 27001 en su Anexo A.12.2, aborda la protección contra códigos maliciosos y su principal punto de partida es el software antimalware. En el mercado encontrará distintas herramientas de seguridad cibernética, de modo que no tendrá ningún problema en adquirir el paquete adecuado para su organización.

 

Número 2. Concientización del personal

Con la ISO 27001 tu organización podrá prevenir los malware y detectar oportunamente las amenazas. En el Anexo A.12.2, encontrará las medidas adicionales que puede adoptar para garantizar que las vulnerabilidades sean intervenidas de inmediato y que los empleados no cometan errores que faciliten el ingreso de malware al sistema.

 

Los programas de parches de vulnerabilidad pueden ayudar a garantizar que las actualizaciones se apliquen de forma rápida y oportuna. Recuerda que debes probar la eficacia de estos parches para mantener la accesibilidad, disponibilidad e integridad de la información.

 

Así mismo, la sensibilidad y la estimulación de conciencia en el personal es determinante. Debe incluir dentro del programa de capacitación , actividades orientadas a educar a sus empleados frente a la importancia de la gestión de parches. También asegúrese de proporcionarles las pautas adecuadas sobre los pasos que deben seguir. 

 

De otro lado, la infestación de malware ocurre comúnmente por medio de correos electrónicos de phishing. Por ello, tu organización debe capacitar periódicamente al personal para que puedan identificar e informar correos electrónicos maliciosos.

 

Número 3. Copia de seguridad de la información

El Anexo A. 12. 3, habla sobre las copias de seguridad de la información como uno de los controles clave para garantizar la integridad, confidencialidad y disponibilidad de los datos en la nube.  

 

Pero, ¿La nube en si misma es una copia de seguridad? Erróneamente, muchas organizaciones piensan que almacenar la información en la nube es suficiente para mantenerla a salvo.

 

La verdad es que, aunque puedes hacer copias de seguridad y guardarlas en la nube, esto no significa que estarán 100% libres de amenazas, así que procura mantener otras réplicas de la información valiosa en múltiples ubicaciones. 

 

De otro lado, la infestación de malware ocurre comúnmente por medio de correos electrónicos de phishing. Por ello, tu organización debe capacitar periódicamente al personal para que puedan identificar e informar correos electrónicos maliciosos.

 

Número 3. Copia de seguridad de la información

El Anexo A. 12. 3, habla sobre las copias de seguridad de la información como uno de los controles clave para garantizar la integridad, confidencialidad y disponibilidad de los datos en la nube.  

 

Pero, ¿La nube en si misma es una copia de seguridad? Erróneamente, muchas organizaciones piensan que almacenar la información en la nube es suficiente para mantenerla a salvo.

 

La verdad es que, aunque puedes hacer copias de seguridad y guardarlas en la nube, esto no significa que estarán 100% libres de amenazas, así que procura mantener otras réplicas de la información valiosa en múltiples ubicaciones. 

Número 4. Teletrabajo

El aumento de almacenamiento en la nube se debe directamente al incremento del trabajo remoto. Actualmente, la mayoría de organizaciones tienen empleados laborando fuera de las instalaciones, en distintos lugares del país e incluso del mundo.

 

El teletrabajo exige a las organizaciones disponer de una ubicación central que les permita a sus empleados acceder a la información, en este sentido, el control de acceso es clave para mitigar los diferentes riesgos de seguridad.

 

El Anexo A.6.2.2 de ISO 27001 te da las pautas pertinentes para abordar los riesgos, centrándote en los dispositivos móviles y el teletrabajo.

 

Al crear políticas en torno a esto, tu organización puede definir las reglas para controlar el acceso, almacenamiento y procesamiento de la información en la nube durante el trabajo remoto.

 

Tu organización debe implementar controles de acceso en los sistemas internos para garantizar que la información solo esté disponible para ciertos miembros del personal. De esta forma, reduces significativamente el riesgo de amenazas internas y mitigas el daño en caso de que la cuenta de algún empleado sea atacada por ciberdelincuentes. 

Es importante que analices detenidamente la información alojada en la nube e identifiques cual debe restringirse con más cautela. Dependiendo del servicio que utilices, puedes adoptar controles de acceso integrados que el administrador ajusta en consecuencia.

Conclusión

Por último, ten presente que las pruebas de penetración también te permiten comprobar si los datos que almacenas en la nube están seguros y si los controles de defensa contra riegos cibernéticos son los adecuados.

 

Si este post te ha sido de utilidad me gustaría que lo compartas en tus redes sociales.

 

¡Nos vemos en breve!

Talvez te interese leer más sobre:

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *