Inicio / Protege tu empresa / Blog / 12 preguntas de ciberseguridad para usar servicios en la nube

12 preguntas de ciberseguridad para usar servicios en la nube

Publicado el 03/06/2015, por Juan D. Peláez (INCIBE)
Servicios en la nube

La Agencia Europea de Seguridad de Redes y de la Información (ENISA), ha publicado la guía de seguridad en la nube para PYMES, para entender los riesgos de seguridad y las oportunidades que las PYMES deben tener en cuenta al adquirir servicios en la nube.

Este documento incluye un conjunto de riesgos y oportunidades de seguridad, y una lista de preguntas de seguridad que la pyme podría plantear al proveedor para lograr el nivel de seguridad deseado.

Los riesgos y las oportunidades están vinculados a las preguntas de seguridad por lo que el resultado final es personalizado de acuerdo a las necesidades y requisitos del usuario.

Esta información se apoya en dos casos de uso de ejemplo y un anexo que da una visión general de la legislación sobre protección de datos y las autoridades involucradas en cada país.

Para facilitar esta labor, la ENISA ha realizado una Herramienta online que ofrece la funcionalidad para evaluar, en base a los riesgos y oportunidades particulares, un servicio en la nube, y ofrecer una lista de preguntas de seguridad que debe hacer una pyme.

A continuación se muestran de manera general las 12 cuestiones de seguridad a considerar para usar los servicios en la nube por una PYME:

1. Seguridad de la organización, gobierno y gestión de riesgos ¿Cómo gestiona el proveedor de la nube los riesgos de seguridad de las redes y las comunicaciones relacionados con el servicio en la nube? 2. Responsabilidades de seguridad ¿Qué tareas e incidentes de seguridad se llevan a cabo y son mitigados por el proveedor, y cuáles de estos están bajo la responsabilidad del cliente? 3. Contingencias y copias de seguridad ¿Cómo se mantiene el servicio en la nube ante un desastre que afecte al centro de datos o a las conexiones y, de qué datos y dónde se realiza copia de seguridad? 4. Aspectos legales y contractuales ¿Garantiza el servicio en la nube las cuestiones legales o contractuales? 5. Seguridad del personal ¿De qué manera asegura el proveedor que el personal trabaja de forma segura? 6. Control De Acceso ¿Cómo se protegen los datos o procesos del cliente de accesos físicos y lógicos no autorizados? 7. Seguridad del software ¿Qué parte de la seguridad del software es responsabilidad del proveedor y cuál de los clientes? 8. Interfaces de programación de usuario, gestión y aplicación ¿Cómo se protege el acceso a la interfaz gráfica y API’s, y dispone de medidas de seguridad adicionales para administradores / roles con mayor privilegio (bajo el lado del cliente)? 9. Monitorización y registro ¿Cómo puede el cliente monitorizar el servicio, qué registros se almacenan, y cómo pueden ser accedidos, por ejemplo, cuando el cliente necesita analizar un incidente? 10. Interoperabilidad y portabilidad ¿Bajo que estándares se asegura que el servicio en la nube sea portable e interoperable? 11. Escala, tamaño y costos ¿Cómo se gestiona el incremento de consumo o picos en el servicio, y a quien corresponden los costes? 12. Cumplimiento de la legislación nacional / extranjera ¿Qué normativas y legislaciones nacionales se aplican?

Documentos asociados:

Guía de Seguridad en la nube para PYMES

Herramienta on-line Seguridad en la nube para PYMES

Etiquetas: 
Buenas prácticas
Contratación
Empresa
Artículos relacionados
Herramientas colaborativas: medidas básicas de seguridad
INCIBE | 11/07/2019
Herramientas colaborativas: medidas básicas de seguridad
¿Qué es el pentesting? Auditando la seguridad de tus sistemas
INCIBE | 04/07/2019
¿Qué es el pentesting? Auditando la seguridad de tus sistemas
Historias reales: érase una vez un ransomware que secuestro los expedientes médicos de mis pacientes
INCIBE | 02/07/2019
Historias reales: érase una vez un ransomware que secuestró los expedientes médicos de mis pacientes