5 – Protección de Datos en la Nube

GASIC 6 – Seguridad en Redes

Preguntas de Auditoría
Protección de Datos en la Nube

1
 5 – Protección de Datos en la Nube

Competencias Básicas del Auditor

1. Conocimiento de la Nube: Un auditor eficaz en operaciones de

ciberseguridad en la nube debe tener un profundo entendimiento de
las tecnologías en la nube, los modelos de servicio (IaaS, PaaS, SaaS),
y las principales plataformas de nube, como AWS, Azure o Google
Cloud.
2. Seguridad en la Nube: Se requiere un conocimiento sólido de los
principios de seguridad en la nube, incluyendo la configuración segura
de servicios en la nube, la gestión de identidades y accesos, y las
mejores prácticas para proteger datos y aplicaciones.
3. Evaluación de Riesgos en la Nube: Competencias en la
identificación y evaluación de riesgos específicos de la nube,
incluyendo amenazas y vulnerabilidades únicas asociadas con
entornos basados en la nube.
4. Cumplimiento Normativo: Entender los requisitos legales y
regulatorios aplicables a la nube, y la capacidad de evaluar el
cumplimiento con estándares como GDPR, HIPAA, o normativas
específicas de la industria.
5. Herramientas de Seguridad en la Nube: Conocimiento y
experiencia en el uso de herramientas de seguridad específicas para
la nube, como soluciones de monitoreo, gestión de eventos, y
herramientas de análisis de vulnerabilidades en entornos en la nube.
6. Auditoría Técnica: Competencias en la realización de auditorías
técnicas específicas para entornos en la nube, incluyendo la revisión
de configuraciones, la evaluación de controles de acceso, y la
identificación de anomalías.
7. Comunicación Efectiva: Habilidades para comunicar hallazgos de
auditoría y recomendaciones de manera clara y efectiva tanto a
audiencias técnicas como no técnicas. La capacidad de traducir
aspectos técnicos en términos comprensibles para stakeholders
diversos es esencial.
8. Gestión de Incidentes en la Nube: Competencias en la respuesta a
incidentes específicos de la nube, incluyendo la capacidad de
coordinar respuestas efectivas ante amenazas y eventos de
seguridad.
9. Actualización Continua: Reconocimiento de la importancia de
mantenerse actualizado con las tendencias y evoluciones en la
ciberseguridad en la nube, participando en formación continua y
manteniendo certificaciones relevantes.

2
 5 – Protección de Datos en la Nube

1. Visión General
Estos controles se centran en garantizar la seguridad en el entorno de servicios en la
nube, específicamente en la gestión de claves criptográficas y la configuración
técnica de las máquinas virtuales.

En primer lugar, se busca identificar las claves criptográficas para cada servicio y
establecer procedimientos para su gestión. Esto incluye reforzar aspectos específicos,
como puertos y protocolos, así como implementar medidas técnicas, como antivirus y
registros de eventos, en cada máquina virtual utilizada.

Además, se solicita información al proveedor sobre los procedimientos de gestión de

claves que ofrece, incluyendo el tipo de claves utilizadas, especificaciones del sistema
de gestión de claves y procedimientos para cada etapa del ciclo de vida de las claves.
También se busca obtener recomendaciones para la gestión de claves por parte del
cliente del servicio en la nube.

Cabe señalar la importancia de obtener información detallada del proveedor sobre la

gestión de aspectos técnicos y vulnerabilidades que podrían afectar los servicios en la
nube prestados. Este conocimiento es crucial para identificar los aspectos técnicos y
vulnerabilidades que deben gestionarse.

Evaluar las capacidades de monitoreo de servicios disponibles para cada servicio en

la nube implica obtener información sobre las herramientas y funciones de monitoreo
proporcionadas por el proveedor, así como evaluar su efectividad en términos de
seguridad.

Los controles de seguridad y aislamiento del sistema operativo buscan prevenir

ataques y accesos no autorizados. Además, se implementan controles criptográficos
con la condición de ser lo suficientemente sólidos para mitigar riesgos, documentando
procedimientos críticos para evitar daños irreparables a los activos en la nube.

En cuanto a la gestión de claves, se prohíbe al proveedor almacenar o administrar

claves de cifrado, alentando al cliente a emplear su propia gestión de claves. Se
destaca la importancia de considerar el impacto de cambios realizados por el
proveedor en el proceso de gestión de cambios del cliente.

3
 5 – Protección de Datos en la Nube

2. Modelo de Madurez
NIVEL 1 [Impredecible y reactivo]: La actividad se completa, pero a 1.Identificar las claves criptográficas para cada servicio en la nube e implementar procedimientos
menudo se retrasa y supera el presupuesto. para la gestión de claves.
1.1 Asegurar que se refuercen los aspectos apropiados (p. ej., solo aquellos puertos, protocolos y
servicios que sean necesarios) y de que existan las medidas técnicas apropiadas (p. ej., antimalware,
logging) para cada máquina virtual utilizada al momento de configurar máquinas virtuales.

2. Solicitar la siguiente información sobre los procedimientos utilizados cuando el servicio en la nube
proporciona funcionalidad de gestión de claves para uso del cliente del servicio en la nube para
gestionar las claves relacionadas con el servicio en la nube:
2.1 Tipo de claves.
2.2 Especificaciones del sistema de gestión de claves, incluidos procedimientos para cada etapa
del ciclo de vida de las claves, es decir, generar, cambiar o actualizar, almacenar, retirar, recuperar,
retener y destruir.
2.3 Procedimientos de gestión de claves recomendados para su uso por parte del cliente del
servicio en la nube.

3. Solicitar información al proveedor de servicios en la nube sobre la gestión de aspectos técnicos y

vulnerabilidades que pueden afectar los servicios en la nube prestados.
4. Identificar los aspectos técnicos y vulnerabilidades que se gestionaran.
4.1 Definir un proceso para gestionarlos.

5. Solicitar información al proveedor de servicios en la nube sobre las capacidades de monitoreo de

servicios disponibles para cada servicio en la nube.
NIVEL 2 [Gestionado a nivel de proceso]: Las actividades se planifican, 1. Proporcionar una evaluación exhaustiva del riesgo para el negocio mediante la implementación del
ejecutan, miden y controlan. modelo de procesamiento en la nube y está alineado con la gestión de riesgos empresariales (ERM),
por el proceso de gestión de riesgos.
1.1 Implementar controles de seguridad y aislamiento del sistema operativo proporcionados por el
proveedor de servicios para evitar ataques y accesos no autorizados.
1.1 Implementar controles criptográficos para su uso de los servicios en la nube si el análisis de
riesgos lo justifica.
1.1.1 Los controles deben ser lo suficientemente sólidos para mitigar los riesgos identificados, ya
sea que esos controles sean proporcionados por el cliente del servicio en la nube o por el proveedor

4
 5 – Protección de Datos en la Nube

del servicio en la nube.

1.1.2 Documentar los procedimientos para operaciones críticas donde una falla puede causar
daños irrecuperables a los activos en el entorno de computación en la nube.

2. Revisar cualquier información proporcionada por el proveedor de servicios en la nube cuando el

proveedor de servicios en la nube ofrece criptografía para confirmar si las capacidades criptográficas:
2.1 Cumplen con los requisitos de política del cliente del servicio en la nube.
2.2 Son compatibles con cualquier otra protección criptográfica utilizada por el cliente del servicio
en la nube.
2.3 Se aplican a los datos en reposo y en tránsito hacia, desde y dentro del servicio en la nube.

3. Prohibir que el proveedor del servicio en la nube almacene y administre las claves de cifrado para
operaciones criptográficas cuando el cliente del servicio en la nube emplea su propia administración
de claves o un servicio de administración de claves separado y distinto.
3.1 Considerar el impacto de cualquier cambio realizado por el proveedor del servicio en la nube
dentro del proceso de gestión de cambios del cliente del servicio
NIVEL 3 [Proactivo antes que reactivo]: Los estándares de toda la
organización brindan orientación a través de proyectos, programas y
carteras.
NIVEL 4 [Gestionado Cuantitativamente]: La organización está basada
en datos con objetivos cuantitativos de mejora del desempeño que
son predecibles

NIVEL 5 [Optimizado]: La organización se centra en la mejora continua

y está diseñada para girar y responder a las oportunidades y los
cambios.

5
 5 – Protección de Datos en la Nube

3. Prácticas de auditoría para Riesgos en la Nube

3.1 Temática: Claves Criptográficas
La auditoría de claves criptográficas es crucial para garantizar la seguridad de la información en entornos digitales. Estas
claves desempeñan un papel fundamental en la protección de la confidencialidad e integridad de los datos, y su auditoría
se vuelve esencial para prevenir accesos no autorizados, ataques criptoanalíticos y para cumplir con normativas de
seguridad.
Este levantamiento puede incluir análisis específicos tales como:
 ¿Se han identificado todas las claves criptográficas asociadas con cada servicio en la nube?
o Revise la documentación de gestión de claves y los registros de configuración de servicios en la nube para
asegurarse de que se haya identificado y documentado cada clave criptográfica utilizada.
o ¿Existen especificaciones detalladas del sistema de gestión de claves, incluyendo procedimientos para cada
etapa del ciclo de vida de las claves?
 Verifique la existencia de registros de auditoría relacionados con cambios en el ciclo de vida de las claves,
como generación, cambio o actualización, almacenamiento, retirada, recuperación, retención y destrucción.
 ¿La organización tiene documentados los procedimientos utilizados cuando el servicio en la nube proporciona
funcionalidad de gestión de claves para uso del cliente?
o ¿Se especifica claramente el tipo de claves utilizadas en el servicio en la nube?
 Realice una revisión de las configuraciones de seguridad del servicio en la nube para corroborar la
información sobre el tipo de claves utilizadas.

6
 5 – Protección de Datos en la Nube

o ¿La organización cuenta con procedimientos de gestión de claves recomendados para su uso por parte del cliente
del servicio en la nube?
 ¿Cómo se asegura la seguridad durante la transmisión de claves entre usuarios y sistemas?
o Revise la documentación de políticas de seguridad para la transmisión de claves y validar que se utilicen
protocolos seguros, como HTTPS o TLS, durante las transferencias de claves.
 ¿Existen recomendaciones específicas para que los clientes gestionen sus propias claves criptográficas?
o Revise la documentación de las políticas de gestión de claves para asegurarse de que se proporcionen
recomendaciones claras a los clientes sobre cómo gestionar sus propias claves de forma segura.
 ¿Cuál es el plan de respuesta a incidentes en caso de compromiso de claves?
o ¿Se notifica a las partes interesadas en caso de incidentes relacionados con claves?
 Revise los registros de incidentes pasados para confirmar que se ha notificado a las partes interesadas
relevantes en caso de compromiso de claves, según lo establecido en el plan de respuesta a incidentes.
o Entreviste al equipo de respuesta a incidentes para asegurarse de que están al tanto de los procedimientos de
notificación y han seguido estos procedimientos en el pasado.
 ¿Hay procedimientos claros para la recuperación de claves comprometidas?
o Verifique la eficacia de los procedimientos de recuperación de claves a través de simulacros o revisiones de
incidentes pasados para confirmar que se aplicaron correctamente.

7
 5 – Protección de Datos en la Nube

3.2 Temática: Configuración de Máquinas Virtuales

La auditoría de la configuración de máquinas virtuales es crucial para garantizar la seguridad y estabilidad de las
operaciones digitales. A través de este proceso, se verifica que las máquinas virtuales estén correctamente configuradas,
reduciendo así el riesgo de vulnerabilidades y accesos no autorizados. La revisión de políticas y estándares de seguridad,
así como la gestión efectiva de claves criptográficas, aseguran el cumplimiento normativo y la confidencialidad de la
información.
Este levantamiento puede incluir análisis específicos tales como:
 ¿Se ha implementado una política de seguridad para restringir solo los puertos, protocolos y servicios necesarios en
las máquinas virtuales?
 ¿Se han reforzado los aspectos apropiados de las máquinas virtuales utilizadas en la nube?
o Verifique que se hayan implementado medidas técnicas apropiadas, como soluciones antimalware y logging, en
cada máquina virtual según lo establecido en los procedimientos de configuración.
o ¿Existe documentación clara que describa las medidas técnicas implementadas en cada máquina virtual?
<aside> 💡 Antimalware: Es un tipo de programa diseñado para prevenir, detectar y eliminar cualquier programa
malicioso que afecte la estabilidad y el funcionamiento de un dispositivo. Logging o El monitoreo de logs: Es un método
para hacer seguimiento y almacenar datos con el fin de garantizar la disponibilidad de las aplicaciones y al mismo tiempo
evaluar el impacto de las transformaciones en el rendimiento.
</aside>
 ¿Existe un análisis de los riesgos asociados a los puertos y protocolos abiertos?
o Analice los registros de configuración de máquinas virtuales para identificar puertos y protocolos abiertos y

8
 5 – Protección de Datos en la Nube

compararlos con los resultados de los análisis de riesgos.

 ¿Se han desactivado servicios no esenciales para reducir la superficie de ataque?
o Verifique la documentación de procedimientos de configuración para asegurarse de que se establezca la
desactivación de servicios no esenciales como una práctica estándar.
 ¿Hay procesos automáticos para la detección y respuesta a posibles amenazas?
 ¿Se han aplicado parches y actualizaciones de seguridad de manera regular en las máquinas virtuales?
o Revise los registros de parches y actualizaciones aplicadas para confirmar la regularidad y puntualidad de las
actualizaciones de seguridad.
 ¿El proveedor de servicios en la nube ofrece capacidades de monitoreo detalladas para las máquinas virtuales
utilizadas?
o Consulte la documentación del proveedor de servicios en la nube para verificar la disponibilidad y alcance de las
capacidades de monitoreo ofrecidas.
o Realice pruebas de monitoreo en tiempo real para evaluar la efectividad y la profundidad del monitoreo
proporcionado por el proveedor.
 ¿Existen alertas configuradas para eventos críticos relacionados con la seguridad en las máquinas virtuales?
o Verifique la efectividad de las alertas realizando pruebas de eventos críticos y si se generan notificaciones y se
siguen los procedimientos establecidos.

9
 5 – Protección de Datos en la Nube

3.3 Temática: Control de los proveedores de servicios en la nube

Este punto tiene como objetivo verificar la efectividad de los controles de seguridad aplicados por los proveedores para
proteger la información y los sistemas alojados en la nube. Se examinan aspectos como la gestión de accesos, la
protección de datos, la resiliencia ante amenazas, las políticas de cumplimiento y otros elementos críticos que influyen en
la seguridad de la información en el entorno de la nube, se busca garantizar la transparencia y cumplimiento de los
proveedores.
Este levantamiento puede incluir análisis específicos tales como:
 ¿Se ha solicitado información al proveedor de servicios en la nube sobre la gestión de aspectos técnicos y
vulnerabilidades que pueden afectar los servicios en la nube prestados?
o Verifique que la organización tenga un proceso documentado para la solicitud de información a proveedores de
servicios y que este proceso haya sido seguido.
o ¿Se han identificado los aspectos técnicos y vulnerabilidades que afectan los servicios en la nube?
 Revisar informes de evaluación de riesgos o auditorías internas que muestren la identificación de aspectos
técnicos y vulnerabilidades
 ¿Se ha solicitado información al proveedor de servicios en la nube sobre las capacidades de monitoreo para cada
servicio utilizado?
o Verifique la existencia de documentación que respalde la solicitud de información al proveedor, como correos
electrónicos, cartas o formularios de solicitud.
o ¿La solicitud de información incluye detalles específicos sobre los servicios en la nube y sus respectivas
capacidades? ¿Se han recibido respuestas detalladas y completas?

10
 5 – Protección de Datos en la Nube

o ¿Se ha evaluado la satisfacción con las respuestas proporcionadas por el proveedor de servicios en la nube?
 Realice entrevistas con los responsables de la solicitud de información para obtener retroalimentación sobre
la calidad y utilidad de las respuestas recibidas.
 ¿La evaluación exhaustiva del riesgo para el negocio ha sido realizada y está alineada con la gestión de riesgos
empresariales (ERM)?
o Verifique que la evaluación de riesgos esté alineada con la gestión de riesgos empresariales, examinando
documentos de políticas y procedimientos relacionados con ERM.
o ¿Se han implementado controles de seguridad y aislamiento del sistema operativo proporcionados por el
proveedor de servicios en la nube para evitar ataques y accesos no autorizados?
o ¿Se han implementado controles criptográficos cuando el análisis de riesgos lo justifica?
o ¿Los controles implementados son lo suficientemente sólidos para mitigar los riesgos identificados, ya sea
proporcionados por el cliente o el proveedor del servicio en la nube?
o ¿Se han documentado los procedimientos para operaciones críticas en el entorno de computación en la nube
donde una falla puede causar daños irrecuperables?
<aside> 💡 Enterprise Risk Management (ERM): Es un método que considera la gestión de riesgos dentro de una
empresa como una cuestión estratégica que debe abordarse desde un punto de vista global. Su objetivo es identificar
aquellos eventos que puedan poner en riesgo a la organización o el logro de sus objetivos, evaluarlos y estar
preparados para darles respuesta si finalmente se presentan.
</aside>
 ¿Se revisa cualquier información proporcionada por el proveedor de servicios en la nube para confirmar si las

11
 5 – Protección de Datos en la Nube

capacidades criptográficas cumplen con los requisitos de política del cliente del servicio en la nube?
o ¿Las capacidades criptográficas son compatibles con cualquier otra protección criptográfica utilizada por el
cliente del servicio?
o Verifique si las capacidades criptográficas se aplican adecuadamente a los datos en reposo y en tránsito hacia,
desde y dentro del servicio en la nube.
 ¿La prohibición de que el proveedor del servicio en la nube almacene y administre las claves de cifrado está
claramente establecida en la política de seguridad de la organización?
o Analice los acuerdos contractuales con proveedores para confirmar que contengan cláusulas explícitas que
prohíban almacenar y administrar las claves cuando el cliente tiene su propio sistema de gestión de claves.
o ¿El cliente utiliza su propia administración de claves o un servicio de administración de claves separado y
distinto?
o ¿El cliente del servicio en la nube considera el impacto de cualquier cambio realizado por el proveedor del
servicio en la nube en su proceso de gestión de cambios?

12