Saltear al contenido principal
Definicion del alcance SGSI

ISO 27001: Definición del alcance SGSI si los servidores están en la nube

Definicion del alcance SGSIISO 27001: Definición del alcance SGSI

La definición del alcance SGSI (Sistema de Gestión de la Seguridad de la Información), requiere un entendimiento claro sobre qué proteger para minimizar los riesgos de compromiso de información, y los servidores implementados en entornos could, donde la gestión de la información está de manera virtual en manos de la persona que contrata los servicios de la nube.

Las soluciones en la nube ofrecen muchas opciones para que una organización pueda elegir correctamente a la hora de satisfacer sus necesidades, pero también, pueden repercutir en diferentes escenarios de riesgo que tengan una influencia en los controles de seguridad aplicables y en la definición del alcance.

Hoy hablaremos sobre cómo tener en cuenta las soluciones que hay en la nube para garantizar que, la definición del alcance SGSI basado en ISO 27001, esté alineado con las necesidades empresariales cubriendo la información que se va a proteger.

 

Soluciones de la nube más comunes

Los modelos más comunes de servicios en la nube son:

  • Infraestructura como servicio (IaaS): ofrece infraestructura básica de computación (máquinas físicas y virtuales, ubicación, red, copia de seguridad, etc.)
  • Plataforma como servicio (PaaS): ofrece un entorno de progreso para desarrolladores de aplicaciones (sistemas operativos, entorno de ejecución de lenguaje de programación, bases de datos, etc.)
  • Software como servicio (SaaS): ofrece al usuario final acceso a software de aplicación y bases de datos (correo electrónico, intercambio de archivos, redes sociales, ERP, etc.)

Definición del alcance SGSI si los servidores están en la nube

Debemos tener en cuenta que las soluciones en la nube pueden implementarse tanto como nubes privadas, cuando el proveedor es el propio departamento de TI (tecnología de información) no un tercero, o como nubes públicas, cuando el proveedor es un tercero.

Soluciones en la nube

Impacto en la definición del alcance SGSI

Organización despliega sus servidores físicos a servidores virtuales en su propio centro de datos Ubicación física, hadware, software y datos deben incluirse en el ámbito del SGSI. El concepto de nube privada más común en las organizaciones, el modelo de nube no tiene influencia sobre el ámbito, ya que todos los activos pertenecen a la organización.
Organización despliega sus servidores físicos a servidores virtuales en infraestructura de terceros (espacio e instalaciones) Hadware, software y datos deben estar incluidos en el ámbito del SGSI, la ubicación física está fuera del alcance. La organización opera con servidores físicos y virtuales, una transición entre tipos de nube privada y pública.
Organización despliega sus servidores físicos a servidores virtuales en infraestructura de computación básica a terceros (IaaS pública) Software y datos deben estar en el ámbito del SGSI, ubicación física debe estar fuera. La organización aprovecha la infraestructura física y las máquinas virtuales de terceros.
Organización utiliza plataforma de terceros (PaaS público) Datos y software de aplicaciones deben incluirse en el ámbito del SGSI, software del sistema debe estar fuera. Los servidores virtuales son proporcionados por terceros.
Organización utiliza software como servicio de terceros (SaaS público) Sólo los datos deben estar en el ámbito del SGSI. Los servidores virtuales y todas las aplicaciones son proporcionados por terceros.

Inversión en seguridad al alinear la definición del alcance SGSI

En una organización, gestionar el riesgo a través de terceros puede ser una solución eficaz cuando se demuestre que éstos pueden proporcionar una solución mejor que la propia organización.

No obstante, los beneficios pueden no ser suficientes si no se tienen en cuenta los niveles de seguridad adecuados en el alcance de la organización, por ello, una organización debe considerar los controles ISO 27001, estableciendo cláusulas de seguridad en contratos y acuerdos de servicio con terceros, como por ejemplo en el Anexo A.

Siguiendo los requisitos y controles de ISO 27001, una organización puede constituir una base sólida para definir el alcance del SGSI y el reparto de responsabilidades.

Software ISO 27001

A través de la plataforma tecnológica de ISOTools Excellece las organizaciones pueden realizar una correcta implementación de su Sistema de Gestión de la Seguridad de la Información de manera automatizada, y gracias a las funcionalidades que incorpora, aumenta la agilidad y eficacia de su gestión con una mayor seguridad de la información.

¿Desea saber más?

Entradas relacionadas

Plan De Respuesta A Emergencias
6 Puntos clave para probar su plan de respuesta a emergencias

Hemos hablado de la importancia del plan de respuesta a emergencias, de las características que este documento debe…

Ver más
Volver arriba