1. Objetivo
El objetivo de esta política es garantizar la protección de la información y los sistemas
de la organización al utilizar servicios en la nube, alineándose con los requisitos de
seguridad definidos en el apartado 5.21 de la norma ISO/IEC 27002:2023. La política
establece directrices claras para la selección, gestión y monitoreo de proveedores de
servicios en la nube (CSP – Cloud Service Providers), asegurando que los riesgos de
seguridad relacionados con el uso de la nube estén adecuadamente mitigados.
2. Alcance
Esta política se aplica a todos los empleados, clientes y proveedores que utilicen,
gestionen o accedan a servicios en la nube que pone a disposición Dolbuck para sus
clientes. Abarca todos los tipos de servicios en la nube, incluidas soluciones IaaS
(Infraestructura como Servicio), PaaS (Plataforma como Servicio) y SaaS (Software como
Servicio).
3. Definiciones
- Servicios en la nube: Infraestructura, plataformas o software alojados y
gestionados externamente a través de internet. - Proveedor de servicios en la nube (CSP): Compañía que ofrece servicios de
almacenamiento, procesamiento y acceso a datos a través de internet. - Datos confidenciales: Información sensible que incluye datos personales,
propiedad intelectual, y cualquier otra información clasificada que debe
protegerse.
4. Responsabilidades
- Departamento de TI: Responsable de implementar y mantener los controles de
seguridad en relación con los servicios en la nube. - Responsable de la Seguridad de la Información (CISO): Responsable de
supervisar el cumplimiento de esta política y la evaluación de riesgos de los
proveedores en la nube. - Proveedores de servicios en la nube: Son responsables de garantizar que sus
plataformas cumplan con los requisitos de seguridad establecidos en los
contratos. - Usuarios: Responsables de seguir las directrices de esta política y reportar
cualquier incidente de seguridad relacionado con el uso de la nube.
Política de Seguridad de la Información para el Uso de Servicios en la Nube
5. Directrices Generales
5.1 Evaluación y Selección de Proveedores de Servicios en la Nube
- Antes de seleccionar un proveedor de servicios en la nube, se debe realizar una
evaluación de riesgos que incluya la revisión de la infraestructura de seguridad,
certificaciones (ISO/IEC 27001, SOC 2), y la capacidad de protección de datos del
proveedor. - El proveedor debe proporcionar evidencia de cumplimiento normativo,
incluidas leyes de protección de datos como RGPD. - Se dará preferencia a proveedores que implementen autenticación multifactor
(MFA), cifrado de datos en tránsito y en reposo, y segmentación de datos para
prevenir fugas o accesos no autorizados. - Los contratos con proveedores deben incluir cláusulas que garanticen el
cumplimiento de los requisitos de seguridad, la notificación inmediata de
incidentes de seguridad, y los derechos de auditoría por parte de la
organización.
5.2 Gestión de Accesos
- Todo acceso a los servicios en la nube debe gestionarse de acuerdo con el
principio de mínimos privilegios. Sólo los usuarios que realmente lo necesiten
podrán acceder a recursos específicos - Los usuarios deben autenticar su identidad mediante autenticación multifactor
cuando accedan a los sistemas en la nube. - El Departamento de TI realizará revisiones periódicas de los accesos para
asegurarse de que los permisos sean apropiados y no haya accesos innecesarios
o no autorizados.
5.3 Protección de Datos en la Nube
- Todos los datos almacenados en la nube, especialmente los datos
confidenciales, deben estar cifrados tanto en tránsito como en reposo,
utilizando algoritmos de cifrado robustos y reconocidos por los estándares
internacionales. - Los datos personales o críticos deben estar almacenados de acuerdo con las
regulaciones de protección de datos aplicables, y se deben aplicar controles para
limitar el acceso solo a usuarios autorizados. - Se debe establecer un plan de respaldo y recuperación de datos en la nube para
asegurar que la información esté protegida frente a pérdidas o desastres.
5.4 Monitoreo y Auditoría
- Se implementará la monitorización continua de los servicios en la nube para
detectar comportamientos anómalos, accesos no autorizados o incidentes de
Política de Seguridad de la Información para el Uso de Servicios en la Nube
seguridad. Los eventos críticos serán revisados por el equipo de seguridad de la
información. - Los proveedores de servicios en la nube deben someterse a auditorías periódicas
para asegurar que cumplen con los requisitos contractuales de seguridad y las
normativas vigentes. - Los logs de acceso a los sistemas en la nube deben mantenerse y auditarse
regularmente para garantizar la trazabilidad y el control sobre el uso de los
servicios en la nube.
5.5 Gestión de Incidentes
- En caso de un incidente de seguridad relacionado con los servicios en la nube, el
proveedor debe notificarlo de inmediato, y la organización activará su plan de
respuesta a incidentes para mitigar los efectos. - El Departamento de TI realizará un análisis forense para identificar la causa del
incidente y tomar medidas correctivas. - Los incidentes graves serán revisados en detalle, y se realizará una revisión
posterior al incidente para determinar qué medidas adicionales de seguridad
deben implementarse.
5.6 Evaluación de la Seguridad y Cumplimiento Continuo
- El uso de servicios en la nube será evaluado periódicamente para garantizar el
cumplimiento continuo con esta política y los requisitos de seguridad. - Se realizarán revisiones anuales para evaluar la efectividad de las medidas de
seguridad y el rendimiento del proveedor de servicios en la nube. - El Oficial de Seguridad de la Información se asegurará de que cualquier nueva
actualización, integración o uso de nuevos servicios en la nube sea precedido por
una evaluación de seguridad.
5.7 Terminación del Contrato y Eliminación de Datos
- Al finalizar el contrato con un proveedor de servicios en la nube, se debe
asegurar la eliminación segura de todos los datos relacionados con la
organización, conforme a los procedimientos de eliminación segura y las
normativas aplicables. - El proveedor deberá proporcionar una certificación de eliminación de datos,
asegurando que no quedan copias de información en sus servidores o sistemas.
6. Sanciones
El incumplimiento de esta política por parte de los empleados o proveedores podrá
resultar en medidas disciplinarias, que podrían incluir el cese de la relación laboral o
contractual.
Política de Seguridad de la Información para el Uso de Servicios en la Nube
7. Revisión de la Política
Esta política será revisada anualmente o cuando existan cambios relevantes en la
tecnología o las regulaciones relacionadas con el uso de servicios en la nube.
Esta política asegura que los servicios en la nube utilizados por la organización cumplan
con altos estándares de seguridad de la información, mitigando riesgos y protegiendo la
confidencialidad, integridad y disponibilidad de los datos.
DOCUMENTACIÓN DE REFERENCIA
Normas Asociadas
NORMA: ISO 27001:2022 SGSI
5.3 Seguridad de la información para el uso de servicios en la nube