Inicio / Protege tu empresa / Blog / 12 preguntas de ciberseguridad para usar servicios en la nube

12 preguntas de ciberseguridad para usar servicios en la nube

Publicado el 03/06/2015, por Juan D. Peláez (INCIBE)
Servicios en la nube

La Agencia Europea de Seguridad de Redes y de la Información (ENISA), ha publicado la guía de seguridad en la nube para PYMES, para entender los riesgos de seguridad y las oportunidades que las PYMES deben tener en cuenta al adquirir servicios en la nube.

Este documento incluye un conjunto de riesgos y oportunidades de seguridad, y una lista de preguntas de seguridad que la pyme podría plantear al proveedor para lograr el nivel de seguridad deseado.

Los riesgos y las oportunidades están vinculados a las preguntas de seguridad por lo que el resultado final es personalizado de acuerdo a las necesidades y requisitos del usuario.

Esta información se apoya en dos casos de uso de ejemplo y un anexo que da una visión general de la legislación sobre protección de datos y las autoridades involucradas en cada país.

Para facilitar esta labor, la ENISA ha realizado una Herramienta online que ofrece la funcionalidad para evaluar, en base a los riesgos y oportunidades particulares, un servicio en la nube, y ofrecer una lista de preguntas de seguridad que debe hacer una pyme.

A continuación se muestran de manera general las 12 cuestiones de seguridad a considerar para usar los servicios en la nube por una PYME:

1.	Seguridad de la organización, gobierno y gestión de riesgos ¿Cómo gestiona el proveedor de la nube los riesgos de seguridad de las redes y las comunicaciones relacionados con el servicio en la nube? 2.	Responsabilidades de seguridad ¿Qué tareas e incidentes de seguridad se llevan a cabo y son mitigados por el proveedor, y cuáles de estos están bajo la responsabilidad del  cliente? 3.	Contingencias y copias de seguridad ¿Cómo se mantiene el servicio en la nube ante un desastre que afecte al centro de datos  o a las conexiones y, de qué datos y dónde se realiza copia de seguridad? 4.	Aspectos legales y contractuales ¿Garantiza el servicio en la nube las cuestiones legales o contractuales? 5.	Seguridad del personal ¿De qué manera asegura el proveedor que el personal trabaja de forma segura? 6.	Control De Acceso ¿Cómo se protegen los datos o procesos del cliente de accesos físicos y lógicos no autorizados? 7.	Seguridad del software ¿Qué parte de la seguridad del software es responsabilidad del proveedor y cuál de los clientes? 8.	Interfaces de programación de usuario, gestión y aplicación ¿Cómo se protege el acceso a la interfaz gráfica y API’s, y dispone de medidas de seguridad adicionales para administradores / roles con mayor privilegio (bajo el lado del cliente)? 9.	Monitorización y registro ¿Cómo puede el cliente monitorizar el servicio, qué registros se almacenan, y cómo pueden ser accedidos, por ejemplo, cuando el cliente necesita analizar un incidente? 10.	Interoperabilidad y portabilidad ¿Bajo que estándares se asegura que el servicio en la nube sea portable e interoperable? 11.	Escala, tamaño y costos ¿Cómo se gestiona el incremento de consumo o picos en el servicio, y a quien corresponden los costes? 12.	Cumplimiento de la legislación nacional / extranjera ¿Qué normativas y legislaciones nacionales se aplican?

Documentos asociados:

Guía de Seguridad en la nube para PYMES

Herramienta on-line Seguridad en la nube para PYMES