Buenas Prcticas para Administrar la Seguridad en la Nube

Los ejemplos aqu enunciados no pretenden abarcar todas las

situaciones. Es necesario que se realice un anlisis y se determine la
mejor prctica de acuerdo a la naturaleza del negocio y al tipo de
organizacin.

Prctica
Se han realizado estudios sobre los
riesgos que tiene la utilizacin de la
nube para la organizacin.

Se han verificado y ajustado los niveles

de seguridad internos de la red de la
organizacin, antes de compartir
informacin en la nube.

La Alta Gerencia y la Junta conocen los

riesgos y el impacto de los mismos
frente a la administracin de la
informacin en la nube, formalizando la
aceptacin de los riesgos.

Se tienen definidos los objetivos que

persigue la organizacin al mantener la
informacin en la nube, iniciando de
manera gradual su utilizacin con la
informacin de menor riesgo.

El proveedor entrega su plan de

recuperacin de la informacin frente a
un desastre, as como ejecuta pruebas
sobre el tiempo de restauracin de la
informacin.

La vinculacin del proveedor considera

definir la legislacin que aplica para la

SI

NO N/A

Prctica
solucin de diferencias legales frente al
almacenamiento de los datos,
considerando la geografa de la
organizacin y la de almacenamiento.
Se cuenta con una pliza de seguridad
informtica.

Los lderes de la organizacin entienden

el modelo bajo el cual la informacin es
almacenada por el proveedor,
analizando las exposiciones y controles
establecidos para mitigarlos.

Se ha diseado una estrategia orientada

a identificar los riesgos y controles que
mitigan el acceso a la nube, partiendo
de los accesos requeridos por los
usuarios, as como de la informacin a
manejar segn su clasificacin.

Se han establecidos las polticas que den

cubrimiento a los siguientes aspectos,
entre otros:

Parmetros para la utilizacin, as

como las acciones disciplinarias a
seguir ante el mal uso de la
informacin y/o de las claves de
acceso.
Otorgamiento de accesos y/o
perfiles.
Limitaciones y usos desde
dispositivos mviles.
Administracin del maestro de
informacin.

La informacin se encuentra cifrada

antes de migrar, as como una vez est

SI

NO N/A

Prctica
en la nube.

Se ha diseado la generacin de alertas

para el uso de la informacin que se
considera sensible, de acuerdo con las
necesidades de la organizacin.
Se exige a los proveedores
contractualmente cumplir con las
certificaciones de seguridad (SAS 70 ISO
27001).

Se acuerda con el proveedor, permitir el

desarrollo de auditoras para validar el
cumplimiento de los controles
establecidos.

Los contratos suscritos con el proveedor

consideran lo siguiente:

Clusulas de confidencialidad
Obligacin del proveedor de
reportar peridicamente a la
organizacin los colaboradores de
su equipo que trabajan con la
informacin, validando que no se
tengan usuarios con permisos
mayores a los requeridos.
Cambios en el equipo de
colaboradores
Acreditacin de la experiencia de
los colaboradores que administran
las bases.

Se ha establecido con el rea de Gestin

Humana un acuerdo de colaboracin
para la notificacin oportuna de los
usuarios que se retiran por voluntad
propia o justa causa, de tal forma que

SI

NO N/A

Prctica
sean bloqueados sus accesos a la
informacin por parte del proveedor.

Se han considerado proveedores

alternos, reduciendo el impacto sobre de
una falla de disponibilidad, as como se
ha solicitado al proveedor informar
anticipadamente cambios en su
infraestructura para garantizar la
existencia, completitud y entrega de la
informacin.

Se han diseado procedimientos para la

supervisin de los datos y para los
posibles eventos de fraude, as como se
han definido los niveles responsables de
establecer el plan de accin frente a
cambios o eventos presentados.

Se cuenta con un plan de capacitacin

para los colaboradores de la
organizacin, frente a la materializacin
de los riesgos, dando una respuesta
oportuna y efectiva.

Las respuestas frente a la

materializacin de los posibles riesgos
se encuentran documentadas y
divulgados al personal responsable.

Los riesgos asociados a la nube son

gestionados y actualizados
peridicamente, segn el apetito de
riesgo de la organizacin.

La organizacin ha diseado un plan

para el desarrollo de copias de
seguridad.

SI

NO N/A

Prctica
Se han establecido perfiles de consulta
de acuerdo al tipo de usuario para el
acceso a la informacin.

El acceso a la informacin para cada

usuario se realiza por medio de un
usuario y clave cifrada, as como se
solicita al proveedor mantener logs de
las operaciones.

Se revisan peridicamente los siguientes

aspectos:

Los niveles de seguridad de las

interfaces de informacin con los
proveedores.
Las actividades inusuales
realizadas por los usuarios.
Los accesos de los administradores
segn los niveles de seguridad
requeridos.

Se tiene planes peridicos para retirar la

informacin, de acuerdo con los
protocolos de seguridad y
confidencialidad establecidos con el
proveedor.

Peridicamente se presenta un informe a

la Gerencia y el Consejo sobre la
administracin de los riesgos en la nube,
incluyendo los eventos que se han
materializado.

SI

NO N/A