ISO 27001

Cuando una organización proporciona servicios en la nube es frecuente recibir constantemente preguntas por parte de los clientes acerca de cómo proteger sus datos personales. Para esto contamos con la norma ISO 27001 junto a la ISO 27018, norma dirigida a la protección de datos personales en la nube.

La norma ISO 27018 ofrece una serie de orientaciones generales sobre seguridad para los proveedores de la nube y los clientes de esta.

¿Qué es la ISO 27018?

La norma ISO 27018 sobre “Requisitos para la protección de la información de identificación personal (PII) en sistemas cloud” está centrada en la protección de los datos personales en la nube.

La ISO 27018 actúa de dos maneras:

• Los controles de la ISO 27002 aumentan usando elementos concretos para asegurar la privacidad en la nube.
• Facilita nuevos controles de seguridad de los datos personales.

Una de las diferencias fundamentales de la ISO 27018 con la ISO 27001 es que las organizaciones no pueden obtener la certificación con la ISO 27018, por lo que si una empresa desea reclamar el reconocimiento del cumplimiento de la ISO 27018 deberá llevarlo a cabo en forma de autoevaluación.

 

Las adiciones a los controles de la norma ISO 27001

Las medidas que propone la ISO 27018 para aumentar los controles existentes son:

La ISO 27018 propone las mayores adiciones en su sección número 12 sobre seguridad de las operaciones, lo cual es principal para los siguientes controles:

• 1.4 “Separación de desarrollo”. Probando los entornos operativos; se usa a modo de prueba para datos personales.
• 3.1 “Copia de seguridad de la información”. Se tienen que llevar a cabo múltiples copias de datos para lo que se usan procedimientos para realizar las copias de seguridad en las que quede registro de la forma de recuperar y eliminar la información.
• 4.1 “Registro de eventos”.  Consiste en un proceso para revisar los registros, grabar el cambio de la privacidad de la información y ofrecer información al cliente.

Además de la sección 12 de seguridad de las operaciones podemos encontrar otros elementos adicionales en otras secciones de menor tamaño.

Nuevos controles para la nube privacidad

En el Anexo A de la ISO 27018 se exponen los distintos controles adicionales que no aparecen en la ISO 27001, por lo que es necesario que sean implementados para aumentar el nivel de protección de los datos personales en la nube:

• Los derechos de los clientes en el momento de acceder y eliminar datos importantes.
• Procesar los datos que cualquier cliente ingresa.
• No usar los datos para marketing y publicidad.
• Borrar los archivos temporales.
• Notificaciones del cliente en el supuesto de llevar a cabo una solicitud de divulgación de los datos.
• Grabar todas las revelaciones de los datos personales.
• Revelar la información sobre todos los contratistas usados para procesar los datos personales.
• Notificar al cliente de manera inmediata en el supuesto de que se produzca una violación de los datos.
• Gestionar los documentos para las políticas y procedimientos en la nube.
• Determinar una política de seguridad para el traslado y la eliminación de datos personales.
• Determinar acuerdos de confidencialidad para todas las personas que tengan acceso a los datos personales.
• Restringir la impresión de los datos personales.
• Contar con un procedimiento para la restauración de datos.
• Hacer obligatoria la necesidad de autorización para el uso de los datos fuera de las instalaciones.
• Restringir el uso de los medios de comunicación que no tienen capacidad de cifrado.
• El cifrado de los datos se transmite a través de redes públicas.
• Destruir los medios de comunicación impresos que contengan datos personales.
• Usar identificaciones únicas para los clientes de la nube.
• Garantizar el registro de los accesos de los usuarios de la nube.
• Deshabilitar el uso de las identificaciones de los usuarios en supuesto de que caduquen.
• Definir los controles de seguridad mínimos que se garantizan en los contratos con los clientes.
• Revelar al cliente de la nube en que países se almacenan sus datos.
• Asegurarse y verificar que los datos llegan al destino.

En general, toda esta información sigue un proceso de sentido común, y resulta de gran utilidad que todos los controles figuren en un único documento. Para una mayor explicación acerca de este proceso debemos acudir a la norma ISO 27018.

Software ISO 27001

El Software ISOTools Excellence para los Sistemas de Gestión de Seguridad de la Información según la norma ISO 27001 se encuentra formado por distintas aplicaciones que, al unirlas, trabajan para que la información que manejan las organizaciones no pierda ninguna de sus propiedades más importantes: la disponibilidad, la integridad y la confidencialidad.