Normas ISO de Ciberseguridad: 27001, 27701, 27017, 27018 & 27032

webdox-img-normas-iso-ciberseguridad-en-la-nube

Clock Lo lees en 12 min

30 enero, 2018

Cuando trabajamos con servicios de almacenamiento cloud, una gran pregunta que surge es la seguridad con la que se tratarán nuestros documentos, ya sean contratos o información sensible de la organización. Para ello, las empresas que prestan este servicio deben garantizar la integridad, confidencialidad y disponibilidad de los datos de sus clientes. 

Considerando, además, que en los tiempos actuales la privacidad de la información personal (o Personally Identifiable Information - PII) ha tomado un rol primordial para el cumplimiento del Reglamento General de Protección de Datos (GDPR en inglés) dentro de toda Europa y de forma paulatina en el resto del mundo, con todo lo que ha conllevado la pandemia a nivel global, acelerando su aplicación legal en cada uno de los países de Latinoamérica.

Existen normas ISO (International Organization for Standardization) que nos plantean una amplia gama de políticas y controles de seguridad, partiendo por la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI), descrito en ISO 27001. Dando especial foco a la gestión del riesgo para su tratamiento.

Esta norma base ISO 27001 se complementa con otras normas requeridas para cada negocio, como por ejemplo la norma ISO 27701 que nos propone la implementación de un Sistema de Gestión de Privacidad de la Información (SGPI), para la securitización de los datos personales. Del mismo modo, las normas ISO 27017 y 27018, nos entregan una serie de controles de seguridad que apuntan a fortalecer la ciberseguridad en servicios cloud. A continuación, te contamos todo lo que necesitas saber al respecto.

Contar con una certificación ISO es uno de los parámetros más importantes a la hora de elegir un proveedor de servicios en la nube. Dicha certificación garantiza altos estándares en la seguridad de la información, uno de los activos más valiosos para las empresas que prestan servicios Cloud, ya sea en modalidad IaaS, PaaS o DBaaS (Infrastructure, Platform or Data Base as a Service), al igual que aquellas cuyo modelo es el SaaS (Software as a Service), tal como es el caso de Webdox CLMS. Donde la política de desarrollo de software seguro se complementa con los altos estándares de seguridad de Google Cloud Platform (GCP).

Al respecto, las normas ISO 27001, 27701, 27017, 27018 y 27032 constituyen algunos de los principales estándares para resguardar la ciberseguridad y garantizar la integridad de la información alojada en la nube, servicio ofrecido por grandes empresas Data Centers como lo es Amazon Web Services (AWS), Google Cloud Platform (GCP) o Microsoft Azure.

New Call-to-action

Normas ISO para la seguridad en la nube

1. ISO 27001

A grandes rasgos, la norma ISO 27001 es un estándar generado por la Organización Internacional de Normalización (ISO, por sus siglas en inglés) que describe la manera correcta de gestionar la seguridad de la información al interior de una empresa.

Se trata de la principal norma de seguridad -a nivel global- para el manejo de la información. Su eje central es el Sistema de Gestión de la Seguridad de la Información (SGSI), para el cual "todos los empleados de la organización han de contribuir al establecimiento de la norma", como resume ISOTools.

Entendiendo que es prácticamente imposible garantizar la total seguridad de la información, la norma ISO 27001 apunta a que las organizaciones conozcan los riesgos asociados al manejo de información, asumiéndolos, minimizándolos y gestionándolos por medio de un proceso documentado, sistemático, estructurado, eficiente, repetible y adaptable a los eventuales cambios que pudieran presentar los riesgos, el entorno y la tecnología.

Para obtener una certificación ISO 27001, la empresa debe cumplir con ciertos pasos:

  • Etapa previa. Aquí, las empresas deben implementar 14 pasos básicos para iniciar su proceso hacia la certificación. Entre los principales, están la utilización de una metodología de gestión de proyectos, contar con el apoyo de toda la dirección en el proceso de implementación, definir el alcance del sistema de seguridad, determinar una política de evaluación de riesgos, implementación de controles y medidas correctivas. 
  • Auditoría de revisión. Personal externo revisará que lo anterior se cumpla para dar curso al proceso de certificación.
  • Auditoría principal. Aquí, un grupo de auditores verificará que las medidas anteriores cumplan con sus objetivos. De estar todo en orden, la empresa puede ser certificada.
  • Revisiones periódicas. Una vez aprobada la certificación, el organismo monitorea dicha empresa durante 3 años para garantizar que cumpla con los esfuerzos de protección de datos.

2. ISO 27701

La norma ISO 27701 es un estándar de seguridad que nace de la publicación del Reglamento General de Protección de Datos (RGPD o GDPR en inglés) el año 2018, y que propone implementar un Sistema de Gestión de Privacidad de la Información (SGPI) para la aplicación de políticas y controles que protejan los datos personales de la empresa, ya sea desde el punto de vista de Controlador de Datos Personales (Data Controller) o de Procesador de Datos Personales (Data Processor).

Cuando hablamos de Data Controller, nos referimos a aquella persona física o jurídica, pública o privada, que decide aspectos del tratamiento de los datos personales como la finalidad y el uso de los datos o los plazos de conservación; siendo también la persona ante quien debe acudir aquel interesado que tenga intención de ejercitar cualquiera de sus derechos en materia de protección de datos.

Por otro lado, cuando hablamos de Data Processor nos referimos a aquel prestador de servicios que, contratado por el Data Controller, debe acceder a datos de carácter personal que son responsabilidad del Data Controller.

De hecho, el simple acceso o visualización de los datos ya implica un “tratamiento” como, por ejemplo, en el caso de proveedores que prestan servicios de mantenimiento o soporte informático. A pesar de que no tengan que manipular los datos personales para la prestación del servicio tienen la consideración de Data Processor.

Esta norma contempla 31 controles dentro del anexo A - Data Controller y 18 controles en el anexo B - Data Processor, pasando por la seguridad en el almacenamiento, transferencia y solicitudes de rectificación, acceso, cancelación y oposición de uso de datos personales.

3. ISO 27017

La norma ISO 27017 es un estándar de seguridad que proporciona controles tanto para clientes como para proveedores de servicios en la nube.

Su importancia radica en la precisión con la que establece las relaciones entre clientes y proveedores de servicios en la nube, determinando qué puede exigir el cliente y qué información debe proporcionarle el proveedor.

El cumplimiento de esta guía permite fortalecer la ciberseguridad y la gestión del servicio referente a arquitectura, medidas de seguridad, funcionalidades disponibles, tecnología de cifrado y localización geográfica de los datos.

Esta norma contempla 37 controles en la nube -basados en la ISO 27002-, junto a 7 adicionales que permiten fortalecer la seguridad de los servicios cloud.

4. ISO 27018

La norma ISO 27018 constituye un compendio de buenas prácticas -referentes a controles de protección de datos- para servicios cloud, enfocada específicamente en los proveedores.

Su objetivo central es delimitar las normas, procedimientos y controles que los proveedores -en su calidad de "procesadores de datos"- deben aplicar. Además, garantiza el cumplimiento de la normativa legal en cuanto al manejo de datos personales.

5. ISO 27032

Finalmente, nos encontramos con la ISO 27032, considerada como el nuevo estándar enfocado en la ciberseguridad, debido a que se trata de uno de los mayores riesgos a los que se enfrentan las empresas de todo el mundo. 

En ese sentido, si bien existe la norma ISO 27001, enfocada en la seguridad de la información, la Organización Internacional de Normalización decidió crear un principio enfocado específicamente en la ciberseguridad para brindar mayores garantías y respaldo a las empresas.

"El ciberespacio es un entorno complejo que consta de interacciones entre personas, software y servicios destinados a la distribución mundial de información y comunicación". Se trata de un contexto muy grande en el que "la colaboración es esencial para garantizar un entorno seguro", aseguró la ISO al momento de presentar este estándar. 

En definitiva, el principal objetivo de esta ISO es otorgar una guía que permita garantizar interacciones seguras en el complejo entorno del ciberespacio.

Proveedores de servicios cloud que cumplen con las normas ISO

Puesto que los estándares anteriormente abordados apuntan a fortalecer la ciberseguridad en la nube, los principales proveedores del mercado deben ceñirse a ellos.

Google Cloud Platform pone a disposición de los usuarios el listado de normativas, certificaciones y regulaciones con que cumple para garantizar la ciberseguridad de los datos de sus clientes. Desde luego, el servicio cumple con los estándares anteriormente revisados.

Amazon Web Services (AWS) transparenta el cumplimiento de todas las normativas anteriores, además de cumplir con leyes y regulaciones específicas de determinados países. 

Cabe destacar también a Microsoft Azure, servicio que se ha apalancado en la basta experiencia que tiene Microsoft ofreciendo software empresarial para construir una infraestructura en la nube segura y confiable, que cuenta con todas las certificaciones mencionadas anteriormente.

Contar con estas certificaciones le ha permitido a AWS, Google Cloud y a Microsoft Azure, posicionarse como los mejores proveedores de servicios en la nube.  Gracias a los controles implementados, tanto el modelo IaaS, PaaS, DBaaS como el SaaS se han vuelto más seguros, confiables, transparentes y efectivos.

En este sentido, y en cumplimiento de la normativa vigente, el software de gestión de contratos Webdox CLM ha adoptado las medidas técnicas y organizativas de seguridad y confidencialidad apropiadas a la categoría de los datos personales, necesarias para mantener el nivel de seguridad requerido, con el objetivo de evitar en la medida de lo posible la alteración, pérdida o el tratamiento o acceso no autorizado que puedan afectar afecten a la integridad, confidencialidad y disponibilidad de la información.

Webdox CLM dispone de un equipo que preserva la seguridad de su información, llevando a cabo pruebas de vulnerabilidad y brindando seguridad a sus usuarios de dos maneras concretas:

  • Servidores e infraestructura: La información que los Usuarios cargan en Webdox CLM es almacenada en data centers de Google Cloud Platform (GCP). Por lo anterior, Webdox CLM aprovecha las numerosas certificaciones de seguridad que GCP posee al día de hoy (Google Cloud Compliance), para demostrar seguridad en el almacenaje de información. Asimismo, adapta su arquitectura de servidores de Google para que ésta sea capaz de prevenir ataques informáticos de diferentes tipos.

  • Seguridad de la plataforma: la plataforma de Webdox CLM contiene una serie de funcionalidades pensadas en proteger la información, asociadas a la administración de contraseñas, seguridad de las sesiones, control de IP en el acceso al sistema, encriptación de datos, eliminación y pérdidas de información. Asimismo, Webdox se ha certificado con la ISO 27.001, específicamente en la plataforma de gestión de contratos CLM y firma electrónica.

Nueva llamada a la acción

Contar con una certificación ISO es uno de los parámetros más importantes a la hora de elegir un proveedor de servicios en la nube. Dicha certificación garantiza altos estándares en la seguridad de la información, uno de los activos más valiosos para las empresas que prestan servicios DBaaS (Data Base as a Service, o Base de Datos como Servicio), al igual que aquellas cuyo modelo es el SaaS (Software as a Service), como es el caso de Webdox CLM.

    QUIERO RECIBIR CONSEJOS DE GESTIÓN

    -

    ARTÍCULOS RELACIONADOS

    -