Adaptar ISO 27002 a Cloud Computing
A continuación se indican apartados relevantes a la seguridad de la información que actualmente no están formalmente incluidos en la actual ISO/IEC 27002:2005 [PDF] pero que por su importancia e interés deberían considerarse en las estrategias de seguridad:
Se debería identificar la eficicacia de los controles internos para la prestación de servicios de computación en la nube y garantizar su revisión periódica.
Se deberían identificar y comunicar las deficiencias de control interno dentro de la organización del cliente y su relación con el proveedor de servicios.
Se debería proporcionar a las partes interesados una evaluación de la calidad y su capacidad de confiar en las certificaciones del proveedor de servicios con respecto a los controles internos.
Posibles Soluciones a este control:
Fuente: ISO27002
Se debería identificar la eficicacia de los controles internos para la prestación de servicios de computación en la nube y garantizar su revisión periódica.
Se deberían identificar y comunicar las deficiencias de control interno dentro de la organización del cliente y su relación con el proveedor de servicios.
Se debería proporcionar a las partes interesados una evaluación de la calidad y su capacidad de confiar en las certificaciones del proveedor de servicios con respecto a los controles internos.
Posibles Soluciones a este control:
| Cloud Security Alliance (CSA) | Guía para la introducción de áreas críticas de atención en Cloud Computing. The Cloud Security Alliance (CSA) es una organización sin ánimo de lucro con la misión de promover el uso de mejores prácticas para ofrecer garantías de seguridad en Cloud Computing, y para proporcionar educación sobre los usos de la computación en nube para ayudar a asegurar todas las demás formas de computación. | Guía de seguridad |
| Deloitte | The Cloud Computing Risk Intelligence Map™ ofrece una vista única sobre la penetrante, evolucionada e interconectada naturaleza de los riesgos asociados a la computación en la nube y de gran utilidad a personal ejecutivo y gerencial que necesite identificar los riesgos y el grado de afectación a sus organizaciones | CC Risk Intelligence Map™ |
| ENISA | El presente documento en español permite realizar una evaluación informada de los riesgos y ventajas para la seguridad que presenta el uso de la computación en nube, y ofrece orientaciones sobre protección para los usuarios actuales y futuros de la computación en nube. | Evaluación de riesgos Cloud |
| ENISA | Guía práctica destinada a la adquisición y la gestión de servicios en la nube. El foco principal es el sector público, pero gran parte de la guía también es aplicable a las adquisiciones del sector privado. Esta guía ofrece consejos sobre las preguntas a realizar sobre el seguimiento de la seguridad (incluida la disponibilidad del servicio y la continuidad). | Guía Cloud |
| ISACA | Herramientas de auditoría y evaluación de la calidad en la prestación de servicios en la nube. | Cloud Computing Management |
| NIST | The National Institute of Standards and Technology (NIST) ha sido designado para acelerar la adopción segura por parte del gobierno federal del cloud computing liderando los esfuerzos para el desarrollo de estándares y guías con la consulta y colaboración cercana con otras entidades para la estandarización, el sector privado y otras partes interesadas. | Collaboration TWiki site |
| ONTSI | El objetivo del presente estudio de la Entidad Pública Empresarial Red.es, adscrita al Ministerio de Industria, Energía y Turismo a través de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Informaciónes analiza la situación actual e impacto del cloud computing en España, así como las oportunidades de crecimiento y estrategias de adopción de este tipo de modelo tecnológico, con especial atención en la pyme española. Con este estudio se pretende arrojar luz, ordenar ideas, analizar el estado del arte y sobre todo a través de las opiniones de los expertos, las encuestas realizadas así como de la evaluación de impacto, identificar retos y oportunidades. | Estudio |
| Sleuth Kit | sleuthkit.org es la web oficial para The Sleuth Kit (TSK) y Autopsy Browser, ambas herramientas open source para la investigación forense y ejecutables en entornos Windows y Unix (tales como Linux, OS X, Cygwin, FreeBSD, OpenBSD, y Solaris). Pueden analizar sistemas de ficheros NTFS, FAT, HFS+, Ext2, Ext3, UFS1, y UFS2 entre otros tipos de volúmenes. TSK consiste en una librería C y una colección de herramientas desde ventana de comandos. Autopsy es un interace gráfico para TSK. TSK es integrable de varias formas con sistemas forenses automatizados. The Sleuth Kit Hadoop Framework es un framework que incorpora TSK en cloud computing para el análisis de grandes volúmenes de datos. | TSK |
Fuente: ISO27002
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!