Related content

¿Qué es el cumplimiento en la nube?

El cumplimiento en la nube es el proceso de garantizar que el uso que su organización hace de la nube se ajusta a las normas del sector y a otras leyes asociadas a la nube. Estos mandatos y directrices pueden aplicarse a la industria o a la geografía a la que pertenezca su organización. Por ejemplo, la normativa de la HIPAA es específica del sector de la salud, y si su organización tiene su sede en Europa, se aplica el GDPR. También existen normas de cumplimiento que se siguen en todo el mundo, como las de la ISO.

¿Por qué es importante el cumplimiento en la nube?

Aquí hay nueve razones por las que cumplir las normas ayuda a una organización:

  1. Aporta estructura: Es vital definir con precisión los roles y las responsabilidades de las personas encargadas de la seguridad. Por ejemplo, en determinados casos, el GDPR exige nombrar un delegado de protección de datos (DPO).
  2. Aumenta la aversión al riesgo: Gracias al cumplimiento, las organizaciones son más capaces de identificar y mitigar las amenazas.
  3. Aumenta la credibilidad: El cumplimiento de una organización es una indicación de su compromiso de adherirse a las normas y reglamentos del sector.
  4. Promueve un entorno de trabajo ético: Todos los miembros de una organización son una parte interesada, y las directivas de cumplimiento establecen directrices y normas claras de conducta ética para ellos.
  5. Indica que se aplican directivas de protección de datos más estrictas: El cumplimiento de la seguridad en la nube implica poner en marcha mecanismos seguros de protección de datos como el cifrado, controles de acceso y auditorías frecuentes, y demuestra el compromiso de una organización con la privacidad y la seguridad.
  6. Indica un mejor uso de las finanzas: El cumplimiento garantiza la correcta asignación de los recursos de seguridad y conduce a una mejor gestión de los costos y a la optimización de las inversiones en infraestructuras de seguridad.
  7. Garantiza una mayor flexibilidad y adaptabilidad: El cumplimiento en la nube proporciona un marco para que las organizaciones implementen soluciones de seguridad efectivas. Éstas también hacen hincapié en la flexibilidad a la hora de responder a las amenazas y a las actualizaciones normativas, al tiempo que fomentan soluciones de seguridad adaptables.
  8. Mejor detección de amenazas: El cumplimiento en la nube ayuda a garantizar una identificación más rápida de las amenazas mediante mecanismos obligatorios de detección de amenazas avanzadas, como los sistemas de detección de intrusiones y los algoritmos de detección de anomalías.
  9. Ventaja competitiva: El cumplimiento de la seguridad en la nube mejora la reputación de una organización, lo que conduce a nuevas oportunidades de negocio al atraer a los clientes que se preocupan por la seguridad y aumentar la fidelidad de los clientes.

El incumplimiento puede acarrear enormes pérdidas financieras, un mayor riesgo de violación de los datos, retrocesos e ineficiencias competitivas, malas relaciones públicas y daños a la credibilidad.

Who is responsible for cloud security and compliance?

Los proveedores de seguridad en la nube y sus clientes son mutuamente responsables de cumplir las normas de seguridad. El modelo de responsabilidad compartida garantiza que una organización tenga la imagen completa de la rendición de cuentas por parte del proveedor de servicios y de la organización.

El proveedor de servicios debe garantizar que ofrece una plataforma en la nube que cumple las normas; la organización es responsable de la seguridad de los datos y de las aplicaciones que utiliza. Dado que el cumplimiento implica varios procesos, pruebas y evaluaciones, en última instancia es la organización la responsable de garantizar que se aplican y se siguen.

Normas de cumplimiento en la nube

Las normas de cumplimiento en la nube abarcan tres marcos clave: cumplimiento en la nube, seguridad en la nube y gobernanza en la nube. Comprender las diferencias es crucial para una gestión integral de la nube..

Diferencia entre los marcos de cumplimiento, seguridad y gobernanza en la nube
 Marco de cumplimiento en la nubeMarco de seguridad en la nubeMarco de gobernanza en la nube
¿Qué es?Se centra en el cumplimiento de las leyes reguladoras y las normas del sector cuando se utilizan recursos en la nube.Se centra en proporcionar un marco para proteger y gestionar los recursos de la nube.Se centra en crear procesos y procedimientos que garanticen la máxima utilización de los recursos de la nube.
¿Cuál es el ámbito de aplicación?Discute los mandatos de cumplimiento de seguridad establecidos por diferentes industrias y organismos reguladores internacionales y regionales.Analiza las medidas de seguridad para proteger la infraestructura de la nube y profundiza en temas como la IAM, el cifrado y la seguridad de la red.Trata temas más amplios como el uso óptimo, la gestión financiera y la planificación de recursos.
¿Cómo se implementa?Puede garantizar el cumplimiento realizando evaluaciones periódicas, auditorías y monitoreando constantemente su herramienta para la gestión del cumplimiento.Los equipos de TI pueden realizar evaluaciones de vulnerabilidad y diversas pruebas de seguridad para garantizar que su seguridad es estricta y contiene todas las medidas de protección, defensa y respuesta implementadas.La gestión puede supervisar y garantizar una utilización óptima de los recursos y los costos, una gestión adecuada de los riesgos y los activos, y unos procesos de seguridad eficientes.
EjemplosHIPAA, PCI DSS, ISO 27001, el GDPRNIST, Marco de AWS Well- Architected Framework, Controles del CIS, CSA STARMarco de arquitectura de The Open Group (TOGAF), Objetivos de control para la información y tecnologías relacionadas (COBIT)

Marco de cumplimiento en la nube

En esta sección, describiremos principalmente cinco grandes marcos de cumplimiento: HIPAA, PCI DSS, ISO 27001, GDPR y SOX.

  • HIPAA: La Ley de Responsabilidad y Portabilidad del Seguro de Salud es una normativa obligatoria que protege la información sanitaria de todos los pacientes frente al acceso no autorizado. Para lograr la conformidad, las organizaciones deben establecer sistemas y controles que garanticen que estos datos están protegidos. La HIPAA exige que una organización recopile, gestione y conserve registros sobre los intentos de inicio de sesión correctos y fallidos de los usuarios de la nube.
  • PCI DSS: El PCI DSS, que significa Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago, es un conjunto de procesos y prácticas diseñadas para garantizar que los datos financieros de las personas estén seguros. El cumplimiento del PCI DSS impone una transferencia segura de los datos de la tarjeta de pago.
  • ISO 27001: La ISO 27001 es una norma de ciberseguridad que comprende las mejores prácticas y controles que ayudan a las organizaciones a proteger los datos implementando un sólido sistema de gestión de la seguridad de la información (SGSI) y la tríada de CIA (confidencialidad, integridad y disponibilidad). Con respecto a la nube, la norma ISO 27001 exige que las organizaciones recopilen, gestionen y almacenen logs de la actividad de inicio de sesión del usuario de la nube.
  • GDPR: El Reglamento General de Protección de Datos se centra principalmente en los Estados miembros de la UE y en el espacio económico de la UE, pero se aplica a cualquier organización que realice negocios en Europa. Este cumplimiento se promulgó para dar a los ciudadanos europeos un mayor control sobre sus datos y establecer normas de privacidad al respecto. Ofrece 99 artículos clasificados en 11 capítulos. Cumplirlos puede resultar tedioso y complicado sin un software especializado.
  • SOX: La Ley Sarbanes-Oxley de 2002 exige a la Comisión del Mercado de Valores de Estados Unidos que defina los roles y responsabilidades de las distintas partes implicadas en el mantenimiento de registros financieros y la elaboración de informes corporativos. También establece que el incumplimiento dará lugar a fuertes sanciones.

Marco de seguridad en la nube

En esta sección, analizaremos seis de los principales marcos de seguridad: NIST, FedRAMP, CSA STAR, Well-Architected Framework, CSA CCM y CIS.

  • NIST: El Instituto Nacional de Estándares y Tecnología es una agencia federal no reguladora del Departamento de Comercio de los Estados Unidos que establece normas de cumplimiento. El Marco de Ciberseguridad del NIST comprende un conjunto de normas de seguridad voluntarias diseñadas para guiar a las organizaciones en la gestión y mitigación de los riesgos de ciberseguridad.
  • FedRAMP: El Programa Federal de Gestión de Riesgos y Autorizaciones es una iniciativa del gobierno estadounidense destinada a estandarizar la evaluación, el monitoreo y la autorización de los servicios en la nube en todas las administraciones federales. Sirve para comprobar la seguridad de los proveedores de servicios en la nube, reducir los riesgos de adopción de la nube y fomentar las tecnologías modernas en la nube. El FedRAMP es similar a las directrices de seguridad en la nube de la FISMA para la protección de los datos gubernamentales.
  • CSA STAR: El Programa de Seguridad, Confianza, Aseguramiento y Riesgo ofrecido por Cloud Security Alliance es una evaluación de certificación que ayuda a confirmar si la infraestructura de una organización se ajusta a su marco de la Matriz de Controles en la Nube. Las certificaciones no sólo proporcionan credibilidad a las organizaciones, sino que también ayudan a establecer la confianza, transparencia y garantía de que los esfuerzos para proteger la nube se ajustan a las normas del sector. El programa consiste en la atestación de STAR y la certificación de STAR, que son extensiones de los marcos SOC2 e ISO27001 respectivamente, pero también utiliza el marco CCM.
  • Well-Architected Framework: Se trata de directrices y recomendaciones para que los arquitectos de la nube construyan una infraestructura eficiente, de alto rendimiento y segura para sus aplicaciones. Aunque el marco más popular lo proporciona AWS, otros proveedores como Azure, IBM y Google Cloud también han creado estos marcos para guiar a arquitectos, desarrolladores y administradores.
  • CSA CCM: La Matriz de Controles en la Nube de Cloud Security Alliance se puede utilizar como herramienta para evaluar sistemáticamente su implementación de la nube. Se trata de un marco de CSA que contiene 16 dominios y cubre todos los aspectos de la tecnología en la nube (desde los diferentes marcos hasta las normativas del sector) que las empresas tendrían que cumplir. Proporciona orientación sobre qué controles de seguridad debe implementar cada actor dentro de la cadena de suministro de la nube.
  • CIS: Los controles del Centro para la Seguridad de Internet, antes llamados Controles Críticos de Seguridad de SANS, son un conjunto de 18 medidas de control o mejores prácticas que su organización puede adoptar para protegerse contra los ataques cibernéticos más comunes. Implementar estas 18 mejores prácticas ayuda a las organizaciones a mantenerse ciberseguras y proactivas:
    1. Inventario y control de los activos empresariales
    2. Inventario y control de los activos de software
    3. Protección de los datos
    4. Configuración segura de los activos y el software de la empresa
    5. Gestión de la cuenta
    6. Gestión del control de acceso
    7. Gestión continua de la vulnerabilidad
    8. Gestión del log de auditoría
    9. Protecciones para el navegador web y el correo electrónico
    10. Defensas contra el malware
    11. Recuperación de datos
    12. Gestión de la infraestructura de red
    13. Defensa y monitoreo de la red
    14. Concienciación y formación en materia de seguridad
    15. Gestión del proveedor de servicios
    16. Seguridad del software de aplicación
    17. Gestión de la respuesta a incidentes
    18. Pruebas de penetración

Marco de gobernanza en la nube

Existen cuatro grandes marcos de gobernanza: Marco de adopción de la nube de AWS, Marco de adopción de la nube de Microsoft, COBIT y TOGAF.

  • AWS CAF: El Marco de Adopción de la Nube de AWS es un conjunto de prácticas recomendadas para utilizar durante la migración a la nube de AWS. Actúa como un manual estratégico y analiza seis áreas que requieren atención durante el proceso de transición, a saber: Negocio, personas, gobernanza, plataforma, seguridad y operaciones. Los tres primeros se centran en las perspectivas empresariales, mientras que el último se centra en las funciones técnicas. A partir de las distintas aportaciones recopiladas de las diferentes personas pertenecientes a diferentes áreas, se puede generar un plan de acción.
  • Marco de Adopción de la Nube de Microsoft: El Marco de Adopción de la Nube de Microsoft funciona como el AWS CAF. Cualquiera que desee migrar a Azure puede seguir el Marco de Adopción de la Nube de Microsoft. Este marco se centra en los pasos a seguir y no en las diferentes áreas y personas implicadas como en el AWS CAF. Los seis pasos que ha desarrollado son: definir la estrategia, planificar, estar preparado, adoptar, gobernar y gestionar. Debajo de cada paso, los puntos secundarios ayudan al usuario a adentrarse en los entresijos del cambio.
  • COBIT:Los objetivos de control para la información y tecnologías relacionadas es un marco de gobernanza de TI desarrollado por la Asociación de Auditoría y Control de Sistemas de Información (ISACA) para la gestión y gobernanza de TI. Ayuda a las organizaciones a definir los objetivos de control, la gobernanza y el rendimiento de la nube. La ISACA también ha publicado un libro titulado Controles y aseguramiento en la nube: Utilizando COBIT 5, en el que explica los procesos, evaluaciones y marcos de adopción de la nube.
  • TOGAF: El Marco de Arquitectura de The Open Group es un marco de arquitectura empresarial diseñado para alinear las estrategias de TI con los objetivos empresariales. Abarca una amplia gama de herramientas y servicios, en donde el Método de Desarrollo de la Arquitectura (ADM) es un aspecto central. El TOGAF se divide en dos partes: contenido fundamental y orientación ampliada. El ADM ofrece un proceso paso a paso para desarrollar la arquitectura empresarial, seguido de temas dinámicos como la evolución de las mejores prácticas.

Mejores prácticas para el cumplimiento en la nube

Aquí hay siete cosas que puede hacer para garantizar que su entorno en la nube siga cumpliendo la normativa:

  1. Comprenda su entorno en la nube, identifique dónde residen los datos, clasifíquelos y proporcione sólo acceso limitado a los datos que sean vitales.
  2. Cifre todos los datos confidenciales y almacénelos en un único lugar con un sistema de seguridad muy robusto. También puede optar por la diversificación, en la que divide todos sus datos en diferentes segmentos y proporciona un conjunto diferente de controles de acceso. Fomente un entorno de confianza cero.
  3. Habilite un monitoreo continuo y un sistema que pueda enviar alertas en caso de desviarse de la normalidad.
  4. Identifique todas las normativas que debe cumplir y realice comprobaciones frecuentes para mantenerse al día.
  5. Conozca sus responsabilidades y organice sesiones de concienciación para que los demás sepan cuáles son sus responsabilidades.
  6. Utilice herramientas para la gestión del cumplimiento que pueden ayudarle a simplificar sus procesos de auditoría.
  7. Comprenda y mantenga buenas relaciones con su proveedor de servicios en la nube para garantizar que usted y su proveedor están en la misma página.

¿Qué es el riesgo de cumplimiento?

El riesgo de cumplimiento es la amenaza financiera, legal y de reputación que soporta una empresa que sufre una infracción de cumplimiento. Para garantizar que una organización no corra riesgos, puede que necesite seguir algunas prácticas para la gestión de riesgos. En la nube, dado que hay múltiples entidades implicadas, gestionar el riesgo puede resultar tedioso. Sin embargo, aquí tiene algunas cosas que puede hacer para garantizar que su organización esté libre de riesgos:

  1. Identifique los distintos riesgos, tanto en el extremo del proveedor de servicios en la nube como en el del usuario, y cree un marco de gestión de riesgos. Defina quién es responsable de qué e idee los distintos riesgos asociados a las responsabilidades.
  2. Asegúrese de que dispone de planes de respaldo en caso de que algo vaya mal.
  3. Realice evaluaciones de riesgos de manera frecuente.
  4. Asegúrese de que la seguridad de su nube es sólida. Los errores de configuración, los accesos no autorizados y las API inseguras son algunos de los riesgos de seguridad más comunes que persisten en un sistema.

Cómo cumplir la normativa sobre cumplimiento en la nube

Hay muchas opciones de software disponibles para facilitar el cumplimiento. Por ejemplo, Log360, la solución de SIEM que ofrece ManageEngine, proporciona informes predefinidos para más de 20 mandatos de cumplimiento. La mayoría de los requisitos de conformidad, incluidos PCI DSS, HIPAA, ISO 27001, GDPR y NIST, comparten un marco común para los controles de seguridad. Entre ellos se incluyen el monitoreo del usuario privilegiado, el monitoreo de datos sensibles, la protección de datos y la respuesta a incidentes. Todo lo que tiene que hacer es habilitar el informe predefinido necesario para que su organización cumpla la normativa. Puede obtener más información sobre cómo Log360 Cloud puede ayudarle a cumplir la normativa aquí.

En esta página
 
  • ¿Qué es el cumplimiento en la nube?
  • ¿Por qué es importante el cumplimiento en la nube?
  • ¿Quién es responsable de la seguridad y el cumplimiento en la nube?
  • Normas de cumplimiento en la nube
  • Marco de cumplimiento en la nube
  • Marco de seguridad en la nube
  • Marco de gobernanza en la nube
  • Mejores prácticas para el cumplimiento en la nube
  • ¿Qué es el riesgo de cumplimiento?