INGENIERÍA Y SERVICIOS IT, SEGURIDAD

NORMA ISO/IEC 27017 – CONTROLES DE SEGURIDAD PARA SERVICIOS CLOUD

Tecnología de la información – Técnicas de seguridad – Código de prácticas para los controles de seguridad de la información en base a la norma ISO/IEC 27002 para los servicios en la nube.

Utilizada conjuntamente con la familia de normas ISO 27001, la norma ISO/IEC 27017 proporciona controles para proveedores y clientes de servicios en la nube. A diferencia de muchas otras normas relacionadas con la tecnología, ISO/IEC 27017 aclara las funciones y responsabilidades de ambas partes para ayudar a que los servicios en la nube sean tan seguros como el resto de los datos incluidos en un sistema de gestión de la información certificado.

La norma proporciona una guía con 37 controles en la nube basados en ISO/IEC 27002, pero también ofrece siete nuevos controles cloud que tratan los siguientes puntos:

  • Quién es responsable de lo que ocurre entre el proveedor del servicio cloud y el cliente cloud
  • La eliminación/devolución de activos cuando un contrato se resuelve
  • Protección y separación del entorno virtual del cliente
  • Configuración de una máquina virtual
  • Operaciones y procedimientos administrativos relacionados con el entorno cloud
  • Seguimiento de la actividad de clientes en la nube
  • Alineación del entorno de la red virtual y cloud

https://www.isotools.org/2017/03/16/iso-27017-controles-seguridad-servicios-la-nube/

Anuncios
SEGURIDAD

DIFERENCIAS ENTRE SEGURIDAD INFORMÁTICA Y SEGURIDAD DE LA INFORMACIÓN

La diferencia más significativa entre estos dos términos se da en que la seguridad informática se refiere a la forma tradicional de asegurar activos relacionados con la infraestructura y tecnología que administra o gestiona la información de una organización. Básicamente este tipo de seguridad hace referencia al área de IT de una compañía la cuales la encargada de preservar equipos de cómputo, manteniendo el software y hardware actualizados con el fin de cumplir con los pilares de la información.

La seguridad de la información se refiere en la actualidad a un concepto mucho más amplio, ya que no solo tiene en cuenta la parte técnica, sino que compromete a toda la organización desde las altas gerencias, hasta el personal que realiza la parte operativa.

SEGURIDAD

SEGURIDAD INFORMÁTICA

La seguridad informática se refiere a todos aquellos mecanismos que se toman para la protección de la infraestructura tecnología de una organización, tanto física como lógica, por ejemplo, los equipos de seguridad perimetral, firewall, los antivirus y actualizaciones de seguridad de sistemas operativos, la administración de directorios activos y en general todas aquellas medias para minimizar el riesgo según la dimensión requerida por las compañías.

SEGURIDAD

SEGURIDAD DE LA INFORMACIÓN

Son las políticas, certificaciones y buenas prácticas de los estándares que en la actualidad se aplican a nivel mundial con el fin de proteger el activo más importante de una compañía en la actualidad la cual es la información, en cualquiera que está representada, impresa cintas magnéticas manuelas internos de procesos etc. asocio este término, al gobierno de IT de una organización, la cual alinea sus procesos para que no solo se asegure la parte informática, sino que también todos los ambientes en torno a la compañía.

SEGURIDAD

PILARES DE LA SEGURIDAD INFORMÁTICA

INTEGRIDAD: Es la cualidad de la información que se refiere a que esta no debe ser modificada, alterada o manipulada por terceros. También plantea que la información se mantenga protegida ante incidentes o ataques maliciosos. Sólo se podrá modificar la información mediante autorización. Un ejemplo de una medida que permita mantener la Integridad es la implementación de Antivirus, Firewall, o Servidores proxys, con las cuales se puede proteger la información de accesos no autorizados que puedan llegar a alterar o borrar algún dato.

CONFIDENCIALIDAD: Se refiere a que la información no debe ser revelada a terceros no autorizados por el propietario de la información. Para aplicarla, se requiere garantizar que la información solo sea accesible de por las personas que se encuentran autorizadas. Es necesario garantizar que se puede acceder a la información mediante autorización y control. Un ejemplo de una medida que permita mantener la Confidencialidad es la implementación de políticas de Autenticación, que permite identificar al emisor de un mensaje, al creador de un documento o al equipo que se conecta a una red o a un servicio.

DISPONIBILIDAD: Se refiere a que la información debe poder ser accedida en el momento adecuado a través de los canales y procedimientos destinados para esto. Se espera que el sistema informático se mantenga trabajando sin sufrir ninguna caída en el acceso al servicio. Es necesario que se ofrezcan los recursos que requieran los usuarios autorizados cuando se necesiten. La información deberá permanecer accesible a las personas autorizadas. Un ejemplo de una medida que garantice la Disponibilidad es la implementación de mecanismos que ayuden a evitar un ataque de denegación del servicio, tales como protocolos en los Firewall que filtren las IP sospechosas o con tasas de tráfico altas, equipos con Antivirus actualizados, etc.