• Home
  • Política de seguridad en la nube

Política de seguridad en la nube

1. Objetivo


El objetivo de esta política es garantizar la protección de la información y los sistemas
de la organización al utilizar servicios en la nube, alineándose con los requisitos de
seguridad definidos en el apartado 5.21 de la norma ISO/IEC 27002:2023. La política
establece directrices claras para la selección, gestión y monitoreo de proveedores de
servicios en la nube (CSP – Cloud Service Providers), asegurando que los riesgos de
seguridad relacionados con el uso de la nube estén adecuadamente mitigados.


2. Alcance


Esta política se aplica a todos los empleados, clientes y proveedores que utilicen,
gestionen o accedan a servicios en la nube que pone a disposición Dolbuck para sus
clientes. Abarca todos los tipos de servicios en la nube, incluidas soluciones IaaS
(Infraestructura como Servicio), PaaS (Plataforma como Servicio) y SaaS (Software como
Servicio).


3. Definiciones

  • Servicios en la nube: Infraestructura, plataformas o software alojados y
    gestionados externamente a través de internet.

  • Proveedor de servicios en la nube (CSP): Compañía que ofrece servicios de
    almacenamiento, procesamiento y acceso a datos a través de internet.

  • Datos confidenciales: Información sensible que incluye datos personales,
    propiedad intelectual, y cualquier otra información clasificada que debe
    protegerse.


4. Responsabilidades

  • Departamento de TI: Responsable de implementar y mantener los controles de
    seguridad en relación con los servicios en la nube.

  • Responsable de la Seguridad de la Información (CISO): Responsable de
    supervisar el cumplimiento de esta política y la evaluación de riesgos de los
    proveedores en la nube.

  • Proveedores de servicios en la nube: Son responsables de garantizar que sus
    plataformas cumplan con los requisitos de seguridad establecidos en los
    contratos.

  • Usuarios: Responsables de seguir las directrices de esta política y reportar
    cualquier incidente de seguridad relacionado con el uso de la nube.
    Política de Seguridad de la Información para el Uso de Servicios en la Nube


5. Directrices Generales


5.1 Evaluación y Selección de Proveedores de Servicios en la Nube
  • Antes de seleccionar un proveedor de servicios en la nube, se debe realizar una
    evaluación de riesgos que incluya la revisión de la infraestructura de seguridad,
    certificaciones (ISO/IEC 27001, SOC 2), y la capacidad de protección de datos del
    proveedor.

  • El proveedor debe proporcionar evidencia de cumplimiento normativo,
    incluidas leyes de protección de datos como RGPD.

  • Se dará preferencia a proveedores que implementen autenticación multifactor
    (MFA), cifrado de datos en tránsito y en reposo, y segmentación de datos para
    prevenir fugas o accesos no autorizados.

  • Los contratos con proveedores deben incluir cláusulas que garanticen el
    cumplimiento de los requisitos de seguridad, la notificación inmediata de
    incidentes de seguridad, y los derechos de auditoría por parte de la
    organización.
5.2 Gestión de Accesos
  • Todo acceso a los servicios en la nube debe gestionarse de acuerdo con el
    principio de mínimos privilegios. Sólo los usuarios que realmente lo necesiten
    podrán acceder a recursos específicos

  • Los usuarios deben autenticar su identidad mediante autenticación multifactor
    cuando accedan a los sistemas en la nube.

  • El Departamento de TI realizará revisiones periódicas de los accesos para
    asegurarse de que los permisos sean apropiados y no haya accesos innecesarios
    o no autorizados.

5.3 Protección de Datos en la Nube
  • Todos los datos almacenados en la nube, especialmente los datos
    confidenciales, deben estar cifrados tanto en tránsito como en reposo,
    utilizando algoritmos de cifrado robustos y reconocidos por los estándares
    internacionales.

  • Los datos personales o críticos deben estar almacenados de acuerdo con las
    regulaciones de protección de datos aplicables, y se deben aplicar controles para
    limitar el acceso solo a usuarios autorizados.

  • Se debe establecer un plan de respaldo y recuperación de datos en la nube para
    asegurar que la información esté protegida frente a pérdidas o desastres.

5.4 Monitoreo y Auditoría
  • Se implementará la monitorización continua de los servicios en la nube para
    detectar comportamientos anómalos, accesos no autorizados o incidentes de
    Política de Seguridad de la Información para el Uso de Servicios en la Nube
    seguridad. Los eventos críticos serán revisados por el equipo de seguridad de la
    información.

  • Los proveedores de servicios en la nube deben someterse a auditorías periódicas
    para asegurar que cumplen con los requisitos contractuales de seguridad y las
    normativas vigentes.

  • Los logs de acceso a los sistemas en la nube deben mantenerse y auditarse
    regularmente para garantizar la trazabilidad y el control sobre el uso de los
    servicios en la nube.
5.5 Gestión de Incidentes
  • En caso de un incidente de seguridad relacionado con los servicios en la nube, el
    proveedor debe notificarlo de inmediato, y la organización activará su plan de
    respuesta a incidentes para mitigar los efectos.

  • El Departamento de TI realizará un análisis forense para identificar la causa del
    incidente y tomar medidas correctivas.

  • Los incidentes graves serán revisados en detalle, y se realizará una revisión
    posterior al incidente para determinar qué medidas adicionales de seguridad
    deben implementarse.

5.6 Evaluación de la Seguridad y Cumplimiento Continuo
  • El uso de servicios en la nube será evaluado periódicamente para garantizar el
    cumplimiento continuo con esta política y los requisitos de seguridad.

  • Se realizarán revisiones anuales para evaluar la efectividad de las medidas de
    seguridad y el rendimiento del proveedor de servicios en la nube.

  • El Oficial de Seguridad de la Información se asegurará de que cualquier nueva
    actualización, integración o uso de nuevos servicios en la nube sea precedido por
    una evaluación de seguridad.

5.7 Terminación del Contrato y Eliminación de Datos
  • Al finalizar el contrato con un proveedor de servicios en la nube, se debe
    asegurar la eliminación segura de todos los datos relacionados con la
    organización, conforme a los procedimientos de eliminación segura y las
    normativas aplicables.
  • El proveedor deberá proporcionar una certificación de eliminación de datos,
    asegurando que no quedan copias de información en sus servidores o sistemas.


6. Sanciones


El incumplimiento de esta política por parte de los empleados o proveedores podrá
resultar en medidas disciplinarias, que podrían incluir el cese de la relación laboral o
contractual.
Política de Seguridad de la Información para el Uso de Servicios en la Nube


7. Revisión de la Política


Esta política será revisada anualmente o cuando existan cambios relevantes en la
tecnología o las regulaciones relacionadas con el uso de servicios en la nube.
Esta política asegura que los servicios en la nube utilizados por la organización cumplan
con altos estándares de seguridad de la información, mitigando riesgos y protegiendo la
confidencialidad, integridad y disponibilidad de los datos.

DOCUMENTACIÓN DE REFERENCIA
Normas Asociadas
NORMA: ISO 27001:2022 SGSI
5.3 Seguridad de la información para el uso de servicios en la nube