La importancia de la seguridad de la información en organizaciones con servicios cloud

Seguridad de la información

La nube o también conocida como cloud, a día de hoy sigue siendo un concepto desconocido para muchos y difuso para otros. Una gran cantidad de usuarios aún desconocen en que consiste este tipo de servicio, sobre todo de cara a aspectos relacionados con la seguridad de la información y la disponibilidad de los datos.

En el ámbito profesional se puede afirmar que cada vez son más las empresas que contratan entornos cloud para administrar sus procesos. A pesar de ello, este tipo de servicios se reciben con cierto recelo al no quedar muy claro dónde van a quedar recogidos los datos y quien los va a gestionar. Algo muy parecido ocurre en el negocio B2C. El cliente final en muchas ocasiones rechaza determinados productos por miedo a que su información se distribuya o sea vendida a terceros. Este aspecto es un problema bastante serio para startup o empresas tecnológicas que trabajan con productos que manejan información en la nube.

Tanto en un caso como en otro, existe un importante problema de comunicación. Si no se lleva a cabo una estrategia de comunicación que demuestre al cliente que sus datos están a salvo, este seguirá desconfiando de este tipo de servicios. Una buena medida es contar con la certificación de la norma ISO 27001 que certifica el aseguramiento, la confidencialidad e integridad de los datos y de la información, así como de los sistemas que la procesan.

Principales amenazas la seguridad de la información en la nube

No existe mucha diferencia entre las amenazas de seguridad de la información en la nube y la de almacenar dicha información en cualquier otro medio informático más “tradicional”. Si se cuenta con un sistema de gestión de seguridad de la información eficiente, se pueden evitar muchos males. En muchas ocasiones los métodos de hacker y piratas informáticos son efectivos debido a que las empresas no tienen en cuenta factores básicos relacionados con aspectos como las contraseñas débiles, la falta de autenticidad multifactorial y los spams.

Las principales amenazas de seguridad en la nube están relacionadas con:

• Amenazas internas. Relacionadas fundamentalmente con el personal que trabaja en la propia organización. En muchos casos los propios trabajadores, bien por desconocimiento o incluso por represalia han sido la causa de la pérdida o la difusión de información de carácter sensible. Este problema se solucionará estableciendo un control que afecte al personal de la organización. ISO 27002 recoge este aspecto en uno de los 114 controles que establece a la hora de implementar un Sistema de Seguridad de la Información.
• Perdida de datos por amenazas externos. En este aspecto, la propia organización deberá de cuidar muchos aspectos como por ejemplo la propia gestión de contraseñas, así como todos los protocolos que afecten a información delicada relacionada con los datos. Se deberán de establecer cuáles son las amenazas fundamentales y una vez se tengan habrá que aplicar controles para llevar un control estricto de las mismas. Será muy importante contar con auditorías internas de análisis. En estas se podrá comprobar que los controles establecidos son los apropiados y funcionan bien.

Este tipo de acciones se verán beneficiadas si las organizaciones cuentan con un software que les permita automatizar los procesos relacionados con la gestión de la información.

Acciones para mantener la seguridad en los datos de la nube

Normalmente se suele dar un modelo de responsabilidad compartida entre el cliente y la empresa que da el servicio. De esta manera el proveedor se encarga de la infraestructura y su buen funcionamiento, y el cliente (persona física o jurídica) se responsabiliza de la seguridad de la información de las aplicaciones que residen en ese hardware.

Los proveedores de la nube deberán realizar revisiones de logs y hacer auditorías de seguridad de la información. En el caso de trabajar con empresas, conviene que tanto los proveedores de la nube como los trabajadores de la empresa que adquiere los servicios lleven a cabo esas auditorías de una manera regularizada.

Encriptar los datos es una solución a la que recurren muchas compañías que distribuyen este tipo de servicios.

Contar con una certificación en ISO 27001 ayuda a las empresas a implementar sistemas de gestión de seguridad de la información eficientes que contribuirán a detectar y establecer buenos controles ante posibles riesgos de seguridad de la información.

Por supuesto trabajar con un software que permita a una organización gestionar sus activos de la información y automatizar los procesos para su control y mejora, es una decisión que puede contribuir a eliminar muchos riesgos de una manera más efectiva y económica.

Software para ISO 27001 y la gestión de la seguridad de la información

La Plataforma ISOTools facilita la automatización de la ISO 27001. La ISO27001 para los Sistemas de Gestión de la Seguridad de la Información es sencilla de automatizar y mantener con la Plataforma Tecnológica ISOTools.

Con ISOTools se da cumplimiento a los requisitos basados en el ciclo PHVA (Planear – Hacer – Verificar – Actuar) para establecer, mantener y mejorar el Sistema Gestión de la Seguridad en la Información. También se da cumplimiento de manera complementaria a las buenas prácticas o controles establecidos en ISO 27002.

ISOTools también permite aplicar los requisitos de otras normas de Seguridad de la Información como PMG SSI de los Servicios Públicos de Chile, entre otros.

Este software, permite integrar la ISO 27001 con otras normas, como ISO 9001, ISO 14001 e ISO 22301 de gestión de continuidad de negocio. La integración se hará de una forma sencilla, gracias a su estructura modular.