N Objetivo General Objetivo Específico

1 Auditoría y Monitoreo

Legal y Regulatorio

3
 Operaciones en la Nube

4
Marco(s) y buenas prácticas NIVEL 1 [Impredecible y reactivo]: La actividad se completa, pero a menudo se
que incluyen Criterios de retrasa y supera el presupuesto.
ISO 27017 8.1.1
Auditoría 1. Realizar revisiones apropiadas para complementar y/o reemplazar
ISO 27017 12.4.1 revisiones de terceros según lo requiera su universo de auditoría y sus
ISO 27017 12.4.3 estatutos de auditoría.
ISO 27017 14.1.1
ISO 27017 16.1.1 2. Definir las responsabilidades de protección de datos entre el cliente y el
ISO 27017 16.1.7 proveedor de servicios, y estas responsabilidades están claramente
ISO 27017 18.1.3 establecidas contractualmente.
ISO 27017 18.1.5
ISO 27017 18.2.1 3. Identificar el inventario de activos la información y los activos asociados
CO1;APO09; APO10; APO13; almacenados en el entorno de computación en la nube.
DSS02; MEA02 3.1 Indicar en los registros del inventario dónde se mantienen los
CSA-CO-03 activos. Por ejemplo, identificación del servicio en la nube.
CSA-CO-01
4. Definir sus requisitos para el registro de eventos y verificar que el
servicio en la nube cumpla con esos requisitos.

5. Registrar la operación y el desempeño de las operaciones en caso de ser

delegadas operaciones privilegiadas.
5.1 Determinar si las capacidades de registro proporcionadas por el
proveedor del servicio en la nube son apropiadas o si se deben
implementar capacidades de registro adicionales.

ISO 27017 6.1.3 6.

1. Verificar lalas
Identificar asignación de responsabilidades
autoridades para
pertinentes para la la gestión
operación de
combinada del
ISO 27017 15.1.2 incidentes de seguridad de la información y debe asegurarse de que
cliente del servicio en la nube y del proveedor del servicio en la nube.
ISO 27017 18.1.1 cumple con los requisitos del cliente del servicio en la nube.
ISO 27017 18.1.2 2. Confirmar las funciones y responsabilidades de seguridad de la
ISO 27018 A.2.1 información relacionadas con el servicio en la nube, como se describe en
ISO 27018 A.12.1 el acuerdo de servicio.
ISO 27018 A.10.3 2.1. Protección de malware;
APO09 2.2. Respaldo;
APO10 2.3. Controles criptográficos;
MEA02 2.4. Gestión de la vulnerabilidad;
MEA03 2.5. Administracion de incidentes;
2.6. Control del cumplimiento técnico;
2.7. Pruebas de seguridad;
2.8. Auditoría;
2.9. Recopilación, mantenimiento y protección de pruebas, incluidos
registros y pistas de auditoría;
2.10. Protección de la información tras la terminación del contrato de
servicio;
2.11. Autenticación y control de acceso;
2.12. Gestión de identidad y acceso.

3. Tener un procedimiento para identificar los requisitos de licencia

específicos de la nube antes de permitir que se instale cualquier software
con licencia en un servicio en la nube
ISO 27017 6.1.1 1. Acordar con el proveedor del servicio en la nube una asignación
ISO 27017 9.4.4 adecuada de roles y responsabilidades de seguridad de la información, y
ISO 27017 12.1.3 confirmar que puede cumplir con los roles y responsabilidades asignados.
ISO 27017 16.1.2 1.1 Deben establecerse en un acuerdo las funciones y responsabilidades
ISO 27018 12.3.1 de seguridad de la información de ambas partes.
CSA-RS-02
CSA-OP-03 2. Identificar y gestionar la relación con la función de atención y soporte al
APO01; APO03 cliente del proveedor del servicio en la nube.

3. Identificar los programas de utilidad que se utilizarán en su entorno de

computación en la nube y asegurarse de que no interfieran con los
controles del servicio en la nube cuando se permita el uso de programas
de utilidad.
NIVEL 2 [Gestionado a nivel de proceso]: Las actividades se planifican, ejecutan,
miden y controlan.
1. Diseñar los planes de auditoría, las actividades y los elementos de
acción operativa centrados en la duplicación de datos, el acceso y las
limitaciones de los límites de los datos para minimizar el riesgo de
interrupción de los procesos comerciales.

2. El cliente del servicio en la nube debe determinar su información y

requisitos de seguridad para el servicio en la nube.
2.1evaluar si los servicios ofrecidos por un proveedor de servicios en la
nube pueden cumplir estos requisitos.
3. solicitar información sobre las capacidades de seguridad de la
información del proveedor de servicios en la nube.

4. Solicitar información al proveedor de servicios en la nube sobre la

protección de los registros recopilados y almacenados por el proveedor de
servicios en la nube que sean relevantes para el uso de los servicios en la
nube por parte del cliente del servicio en la nube.
4.1 Identificar regulaciones de los datos por tema de cumplimiento y se
asignan a los requisitos del regulador.
4.2 Evalúar brechas para determinar si la plataforma de computación en
la nube invalidará o incumplirá los requisitos de cumplimiento.

5. Verificar que el conjunto de controles criptográficos que se aplican al

uso de un servicio
1. Considerar en la nube
la cuestión cumpla
de que con ylos
las leyes acuerdos, leyes
regulaciones y
relevantes
regulaciones pertinentes.
pueden ser las de las jurisdicciones que rigen al proveedor de servicios en
la nube, además de las que rigen al cliente del servicio en la nube.
1.1 Las obligaciones del responsable del tratamiento de la PII a este
respecto pueden estar definidas por ley, reglamento o contrato. Incluir
estas obligaciones en asuntos en los que el cliente del servicio en la nube
utiliza los servicios del público.
1.2 El encargado del tratamiento de la IIP en la nube pública deberá
elaborar y aplicar una política relativa a la eliminación de la IIP y ponerla a
disposición del cliente del servicio en la nube.
1.3 Cuando se apliquen acuerdos contractuales específicos a la
transferencia internacional de datos, como las Cláusulas Contractuales
Modelo, las Normas Corporativas Vinculantes o las Normas de Privacidad
Transfronteriza, también deberán identificarse los acuerdos y los países o
circunstancias en los que se aplican dichos acuerdos.

2. Solicitar pruebas del cumplimiento por parte del proveedor del servicio
en la nube de las regulaciones y estándares pertinentes requeridos para el
negocio del cliente del servicio en la nube.
2.1 Implementar controles de seguimiento adecuados para garantizar
que se cumplan las obligaciones contractuales.
1. Asegurarse de que la capacidad acordada proporcionada por el servicio
en la nube cumpla con los requisitos del cliente del servicio en la nube.

2. Solicitar información al proveedor del servicio en la nube sobre los

mecanismos para:
2.1. que el cliente del servicio en la nube informe al proveedor del
servicio en la nube de un evento de seguridad de la información que haya
detectado;
2.2. que el proveedor de servicios en la nube reciba informes sobre un
evento de seguridad de la información detectado por el proveedor de
servicios en la nube;
2.3. el cliente del servicio en la nube para rastrear el estado de un
evento de seguridad de la información informado.

3. Crear o mantener múltiples copias de datos en ubicaciones física y/o

lógicamente diversas (que pueden estar dentro del propio sistema de
procesamiento de información) con fines de copia de seguridad y/o
recuperación.

4. Deben existir un método definido y documentado para determinar el

impacto de cualquier interrupción en la organización, que debe incorporar
lo siguiente:
4.1 Identificar los productos y servicios críticos
NIVEL 3 [Proactivo antes que reactivo]: Los estándares de toda la organización
brindan orientación a través de proyectos, programas y carteras.
1. Auditar y revisar los informes, registros y servicios de terceros, a
intervalos planificados, para regir y mantener el cumplimiento de los
acuerdos de prestación de servicios.

2. Conservar registros de auditoría que recojan las actividades de acceso

de los usuarios con privilegios, los intentos de acceso autorizados y no
autorizados, las excepciones del sistema y los sucesos relacionados con la
seguridad de la información, de conformidad con las políticas y normativas
aplicables.
2.1 Los registros de auditoría se tienen que revisar al menos una vez al
día y se deben implementar herramientas de integridad de archivos (host)
y de detección de intrusiones en la red (IDS) para facilitar la detección
oportuna, la investigación mediante el análisis de la causa raíz y la
respuesta a los incidentes.
2.2 El acceso físico y lógico de los usuarios a los registros de auditoría
tiene que estar restringido al personal autorizado.

3. Implementar y utilizar activamente procesos de monitoreo de

problemas proporcionados por el proveedor de servicios para documentar
e informar todos los incidentes definidos.

4. Establecer un proceso de seguimiento de problemas para realizar un

seguimiento de los incidentes internos y del proveedor de servicios
1. Monitorear el uso de los servicios en la nube y pronosticar sus
necesidades de capacidad para garantizar el desempeño de los servicios
en la nube a lo largo del tiempo.

2. Establecer un estado de preparación para transferir las operaciones de

computación en la nube a un proveedor de servicios alternativo en caso
de que el proveedor de servicios seleccionado no pueda cumplir con los
requisitos contractuales o cese sus operaciones.
NIVEL 4 [Gestionado Cuantitativamente]: La organización está basada en datos
con objetivos cuantitativos de mejora del desempeño que son predecibles

1. Monitorear la actividad del usuario para detectar cualquier actividad

sospechosa o malintencionada.
1.1 Monitoreo constante de los indicadores clave de desempeño para
identificar desviaciones y tomar medidas correctivas de manera oportuna.

1. Tener identificadores claros donde se reconozcan a las autoridades

pertinentes para la operación combinada.
1.1. Tener confirmadas las funciones y responsabilidades de seguridad
de la información relacionadas con el servicio en la nube.
1.2 Deben existir un procedimiento para identificar los requisitos de
licencia específicos de la nube.
1. Realizar evaluaciones de riesgos de forma regular para identificar
posibles vulnerabilidades en la infraestructura de la nube y tomar medidas
correctivas.
1.1 Utilizar herramientas de monitoreo y análisis de registros para
detectar y responder rápidamente a posibles amenazas o intrusiones en la
nube.
NIVEL 5 [Optimizado]: La organización se centra en la mejora continua y está
diseñada para girar y responder a las oportunidades y los cambios.

1. Realizar revisiones periodicas de politicas y procedimientos para

garantizar que esten actualizados.
1.1 Capacitar a los empleados sobre la importancia de la mejora
continua y su papel en este proceso.

1. Aplicar sanciones según los controles de seguimiento para garantizar

que se cumplan las obligaciones contractuales.
1.1 Mejora y verificación por medio de pruebas del cumplimiento por
parte del proveedor del servicio en la nube de las regulaciones y
estándares pertinentes.
1. Fomentar una cultura de seguridad cibernética en la organización,
donde la mejora continua sea parte integral de las operaciones en la nube.
1.1 Realizar evaluaciones periódicas de la seguridad en la nube para
identificar áreas de mejora y ajustar los controles de acuerdo a las nuevas
amenazas y vulnerabilidades.
Nota Complementaria