Por qué las certificaciones CLOUD son importantes es una consulta que a menudo muchas organizaciones se hacen. Aquí te contamos todos los secretos que necesitas saber antes de lanzarte de lleno en una certificación In Cloud.
Hoy les tenemos una entrevista más que interesante. Es acerca de dos normas que con el auge del trabajo remoto, la pandemia y la digitalización de un montón de servicios, están en boca de muchas empresas y profesionales, que buscan brindar CONFIANZA a sus clientes. ¿Ya saben de qué normas les hablo?
Una pista más: hace poquito hablamos de la ISO 27001, que es como la ‘madre’ de estas dos normas.
Te imaginarás entonces, que tiene que ver con seguridad de la información: ¡y es así! Hoy vamos a hablar de la ISO 27017 y la ISO 27018 para Sistemas de Gestión de Seguridad de la Información en Servicios en la Nube.
Por eso, en esta ocasión entrevistamos a un auditor experto en Seguridad de la Información, quién nos contó de qué tratan estas normas y todas las cosas que debemos tener en cuenta a la hora de certificarlas.
Pero también ¡hay un plus!: nos dio algunas recomendaciones para aplicar la seguridad de la información in cloud en nuestro día a día.
¡Bienvenido Luciano* al programa!
¡Buenas buenas! ¿Cómo están?
Bien muy bien, acá súper emocionados por conocer estas normas que son de servicios in cloud, ¿verdad?
Particularmente, ¿qué es lo que busca cada una de esas normas?
Se puede decir que son servicios in cloud. Particularmente la ISO 27017 busca cumplimentar con todos los controles relacionados a seguridad en los servicios en la nube, pero de una forma más genérica.
En cambio, la 27018 aporta un marco normativo con una base de todas las mejores prácticas de lo que es la Protección de la información, de identificación personal o PII por sus siglas en inglés, en la nube.
Es decir: cómo se debe custodiar, cuál es el ciclo de vida de la información y demás.
Si tuvieras que enumerar las grandes diferencias entre la ISO 27017 y la ISO 27018
¿Cuáles serían?
La diferencia principal, creo que es un poco la que comentamos antes.
Una está apuntada a cómo yo hago la segurización de los servicios, cómo implemento los controles a los diferentes servicios que tengo en la nube y la otra es como muy puntual en lo que es el ciclo de vida del dato, de la información que se considera como PII.
Esta norma (ISO 27018) tiene definidos todos los roles y todo lo que se conoce como los principios de privacidad, y un montón de cosas. Es por eso digo que una es muy puntual y la otra es más genérica.
Una habla de la gestión de los activos, de control del acceso, y muy similar a la ISO 27001 en la parte más genérica de la seguridad, pero diferencias así tienen que ver con:
- Cantidad de controles.
- La ISO 27017 a lo que es la 27001 suma 13 controles adicionales y 18 extensiones de controles ya existentes.
- La ISO 27018 suma 25 controles nuevos y 16 extensiones de controles ya existentes.
Pero siempre pensando cada una en su marco de ejecución, una es para segurizar y darle tranquilidad al usuario de que los mismos controles que tengo en el mundo on-premise, también los voy a tener en la nube con relación a controles de seguridad.
La otra es, para darme tranquilidad a mí como usuario o cliente de que ese proveedor de nube va a estar manejando de forma adecuada los datos en la nube que yo suba.
Cuando realizo el proceso de certificación: ¿lo tengo que hacer con estas dos normas?
Tanto la ISO 27017 como la ISO 27018 están directamente ligadas con la ISO 27001. Es decir, la base para certificar o especificar los requisitos de los controles en cada uno de esos estándares, es la ISO 27001.
Sin embargo, es posible empezar un proceso de certificación de las otras dos normas, aunque es un requisito tener como base la certificación de la ISO 27001 para obtener la extensión.
Hay controles que son extensiones adicionales, y la 27001 es la base para certificar ambas. No es necesario hacerlo todo junto, es decir, se pueden certificar de forma separada sin ningún problema.
La base para certificar o especificar los requisitos de los controles en cada uno de esos estándares, es la 27001.
Justo iba a preguntar si era requisito estar certificados en la ISO 27001 para avanzar en la ISO 27017 y 27018, y veo que sí.
Exactamente, hay que tener una base que es la ISO 27001.
La mayoría de las certificaciones relacionadas con el mundo de la nube piden esa norma como base, así como también sucede con otras normas de la familia de la 27000 como por ejemplo entidades de salud o financieras, que también requieren la certificación de la ISO 27001.
¿Cuáles son los beneficios que le traería a mi organización la certificación de estas normas?
Como cualquier norma de seguridad, lo primero que busca es brindar confianza.
Creo que un cliente busca eso, por algo se llama ‘cadena de confianza’, ya que detrás de esto hay una entidad que valida que el proceso de certificación es adecuado y que verdaderamente la empresa tiene los controles de seguridad implementados.
Entonces, inspira confianza.
La verdad es que si se genera mayor confianza, tienes mayor ventaja competitiva. Es cuestión de mirar a tu competencia en el mercado y si ellos no están certificados, ya te posicionas con una ventaja.
Al tener un marco certificado, también tienes controles implementados que reducen la posibilidad de que suceda un incidente. Esto quiere decir que en el largo plazo se está protegiendo la reputación de la marca.
Cada vez son más conocidos los incidentes de seguridad y si bien esto no quiere decir que implementando una norma no vayas a tenerlos, sí te ayuda a brindar un procedimiento de cómo responder de forma inmediata ante cualquier incidente.
También evita multas, ayuda a pasar procesos de licitación, colabora con el crecimiento del negocio. Los beneficios de cualquier norma en general tienen que ver con mejorar las competencias de la organización frente a los demás.
Si se genera mayor confianza, tienes mayor ventaja competitiva.
¿Esta norma, es solo para empresas de tecnología?
Cualquier empresa que tenga un servicio en la nube puede certificar la norma. Si no estás brindando un servicio que se englobe dentro de esa categoría de ‘servicio cloud’, es hacer un esfuerzo innecesario.
Sin embargo, hoy cualquier empresa se puede decir que es cloud por los distintos modelos de negocios que tienen.
Quizás una fábrica no sería adecuada para la certificación porque no tiene servicios en la nube, pero una compañía que hoy está transformada digitalmente y todos sus servicios se brindan a través de una plataforma que corre en internet, se puede considerar en un marco de servicios en la nube.
Ahí es donde se apunta y se puede hacer la diferencia.
Sobre todo si manejas datos de clientes, datos de usuarios, entonces la ISO 27018 toma una importancia muy grande en este tipo de empresas que manejan información sensible de clientes o usuarios.
Cualquier empresa que recopile datos online ¿también podría certificar estas normas?
Exactamente.
Todas las empresas que recopilan información no solo deberían certificar este tipo de normas porque les darán un marco de trabajo, sino que deberían hacer registros en el habeas data del país en el que se encuentren.
En este caso, Argentina tiene una ley de protección de datos personales, tiene una agencia de acceso al dato público y sin embargo aún hay un cierto nivel de desconocimiento.
Ojalá estuviera promovido este tipo de leyes como pasa en Europa con GDPR o en Brasil con LGPD para que las empresas tengan más conciencia.
Hay un montón de incidentes que suceden, el más conocido es el de un retail muy grande de Argentina, que se hizo más conocido por la multa que por el incidente en sí, pero son cosas que a menudo pasan.
Si mi compañía realiza el proceso de certificación y a pesar de ello se filtran datos:
¿Qué sucede si se produce una violación?
Tu pregunta es muy puntual de ISO 27018, pero la ISO 27017 también nos puede ayudar.
Si pensamos a nivel Sistema de Gestión Integrado, es decir ISO 27017, ISO 27018 e ISO 27001, lo que otorga este SGI es un marco de trabajo que tiene una orientación a implementar controles que van muy ligados al manejo de datos personales.
Lo que brinda este Sistema Integrado son todos los complementos que se puedan cumplir en materia legal cuando uno sufre una violación.
En la norma ISO 27018 tenemos un capítulo llamado ‘Rendición de cuentas’ que justamente lo que brinda son todas las prácticas que nos permitan comunicar incidentes frente a las partes interesadas o a las autoridades demandantes.
En este caso si pensamos en Argentina, sería la Agencia de Datos Públicos para cumplir con la ley de acceso a datos personales.
Pero si tengo que cumplir con GDPR, también tengo que considerar otros lineamientos que son genéricos, que hablan del proceso de cómo comunicar o atender reclamos o incidentes que tienen que ver con la privacidad en sí.
Las normas ISO no son impositivas, dan un marco certificable para trabajar y enfrentar estas situaciones, pero con relación a las violaciones.
Si este es el caso, la mayor preocupación es con el organismo que regula el habeas data local o a nivel clientes dependiendo en qué lugar del mundo se esté o qué tipos de datos se están recopilando.
Básicamente el framework del capítulo ‘Rendición de cuentas’ habla de cómo se debe rendir cuentas frente a las autoridades, a los clientes, a todas las partes relacionadas con la información personal.
En la norma ISO 27018 tenemos un capítulo llamado ‘Rendición de cuentas’ que justamente lo que brinda son todas las prácticas que nos permitan comunicar incidentes frente a las partes interesadas o a las autoridades demandantes.
¿Quién es la entidad responsable de la seguridad de los datos?
¿El proveedor de manera directa o existen intermediarios?
Lo que siempre sugiero es que busquen el modelo de responsabilidad compartida de cada uno de sus proveedores de nube.
La mayoría de los servicios en nube tienen una idea de responsabilidad compartida que se basa en dónde está el dato y quién es el custodio o responsable del dato en ese modelo.
Si nos basamos en la ISO 27018, cada uno desde su lugar es responsable. Como organización se tiene el PII Controller, interesado en brindar los propósitos y los medios para el procesamiento de esa información personal.
Luego está el PII Principal, que es la persona física a la cuál se refiere esa información personal, y el PII Processor que es el que le interesa que se procese ese PII. También, hay un montón de actores dentro de ese ecosistema.
Lo principal es entender que depende en qué modelo yo esté de nube, es igual a la cantidad de datos voy a estar manejando.
Casi siempre, la parte de data entry está del lado del usuario y luego en otros servicios el proveedor toma más responsabilidad, pero ya como custodio del activo que almacena esa información y no tanto de la información.
Es como si yo tuviera un storage y brindo un servicio de guarda de archivos en la nube.
Yo soy responsable de ese storage y de proteger la parte física relacionada con ese storage. Pero el que brinda la información, es el usuario, que es quién decidió subirla allí.
Casi siempre el que es responsable frente a los usuarios es el que está brindando el servicio. Sin embargo, cada uno tiene una responsabilidad dentro del flujo de datos.
Casi siempre el que es responsable frente a los usuarios es el que está brindando el servicio. Sin embargo, cada uno tiene una responsabilidad dentro del flujo de datos.
¿Crees que el mercado reconoce el valor de la seguridad en la nube?
¡Qué pregunta! Creo que antes no, pero ahora mucho más y por suerte. La seguridad en general viene tomando más protagonismo en estos tiempos, pero sobre todo en el mundo privado y el público.
La nube no es una excepción, sobre todo en el contexto actual del COVID, donde hubo una migración masiva de las empresas a la nube, sobre todo para encarar la pandemia y que las operaciones fuesen más fáciles.
Esta migración se efectuó sin tener conocimiento del concepto de ‘seguridad en nube’ y el background tecnológico que se necesitaba para administrarla.
Entonces, hay mucho que se conoce como el ‘missconfiguration’, que es uno de los top ten en los incidentes en la nube y tiene que ver con eso.
Mucha gente subió información por subirla, sin haber hecho un plan de migración correspondiente, con requisitos de seguridad definidos y crecieron los incidentes en la nube.
Muchos por denegación, otro por fuga de datos, entonces, siempre digo que la nube no es ni más ni menos segura que el modelo on-premise, siempre el gran tema está en quién la gestiona.
Antes, el error de configuración en el modelo on-premise estaba en el top ten, y ahora que nos fuimos a la nube también el error de configuración sigue siendo el mismo.
La única variable igual en ambos campos y contextos es el administrador.
Por lo tanto, el problema no es la nube sino quién la gestiona.
Las empresas se vieron forzadas a digitalizar la información y pasó a ser todo virtual.
Sin estar preparados para esta situación, como con la utilización de Google Drive.
Has tocado una tecla muy importante que es el tema de los drives. Hay muy mal uso de los drives, y las empresas son responsables de concientizar a sus usuarios de cómo utilizarlos correctamente, como se comparte información.
¿Cómo se usan correctamente los drive?
Sobre todo tratar de evitar los links públicos, que es el error más común. Siempre se deben nombrar personas para brindarles acceso, con nombre y apellido, y que siempre tengan el permiso que corresponda.
El usuario en general hace clic en ‘copiar enlace para compartir’ y no se fija bien qué tipo de permiso está dando a la otra persona.
Esa es una de las reglas básicas, siempre tratar de compartir con nombre y apellido.
Esto es porque en cierta forma le está dando un acceso más directo, en cambio con el link no sabes si la persona lo compartirá y caerá en manos de terceros.
Es la forma más común, la forma más rápida y es la que usa mucha gente sobre todo cuando ese drive puede tener o no información de la empresa.
Hay un montón de materiales dando vueltas de cómo hacer uso correcto del drive, pero eso no es sólo para las empresas, sino que es útil también para usuarios o familias, porque a la larga uno quiere compartir una foto y termina compartiendo toda la carpeta.
Hay que tener un cuidado extremo de cómo usar este tipo de herramientas que son muy buenas, pero muchas veces están mal utilizadas.
A nivel corporativo, es posible configurar más reglas, es decir no permitir hacer ese uso de ‘compartir’, o diferentes situaciones que son posibles reglamentar para que se hagan más difíciles las filtraciones de datos.
Se dice que en TÜV RHEINLAND son los líderes en certificación de normas de IT.
¿Qué los diferencian de otras certificadoras?
Creo que el gran diferencial tiene que ver con la calidad técnica de los auditores. TÜV RHEINLAND para las normas técnicas salió a buscar un equipo de auditores técnicos y no se enfocó en formar auditores que eran de otras normas.
Por ejemplo, yo soy auditor líder en muchas normas, casi todas técnicas, pero también soy auditor en normas CSA STAR, que es una norma para cloud security alliance, que es puntual para proveedores de nube.
También tengo una maestría en ciberseguridad y vengo hace años trabajando en contextos tecnológicos, sobre todo en nube y en seguridad en desarrollo.
Trabajar tantos años in cloud me brindó reconocimientos como el de Microsoft MVP que es un reconocimiento sobre trabajos en la nube.
Así como sucede conmigo, pasa con todos los auditores de TÜV RHEINLAND.
Todos tienen una gran trayectoria en la tecnología, vienen con la mochila técnica y la decisión estratégica de TÜV RHEINLAND de que los auditores tengan las competencias puntuales, es el gran diferencial.
¿Qué consejo me podrías dar para prepararme ante una auditoría de ISO 27017 e ISO 27018?
El primer consejo que te puedo dar, es buscar la ayuda de expertos. Estamos hablando de normas que son muy puntuales.
Hoy en día muchas empresas se animan a encarar por sí solos la certificación de la norma ISO 27001 y aunque después terminan aprobando el proceso de certificación, porque es una norma conocida y depurada, no pasa lo mismo con la 27017 y la 27018.
Entonces mi primer consejo es buscar la ayuda de un experto. Pero antes se debe certificar la ISO 27001, por lo tanto mi segundo consejo es ya focalizar el armado del Sistema de Gestión con miras a la integración de ISO 27017 y 27018.
Porque varios de los controles se basan en los de la ISO 27001, pero con características puntuales pensando en el contexto de nube.
Pensar la 27001 en ese sentido les va a ayudar mucho más.
Y también ponerse en el lugar del otro. Si se va a brindar un servicio y manejar información de usuarios: ¿Cómo les gustaría que las empresas, las cuales ustedes consumen servicios en la nube, manejen su información?
Mi primer consejo es buscar la ayuda de un experto. El segundo, consejo es ya focalizar el armado del Sistema de Gestión con miras a la integración de ISO 27017 y 27018.
¡Muchas gracias por esta entrevista, Luciano!
Te esperamos para una segunda edición.
Gracias a Kahuna APP y a TÜV RHEINLAND por promover este tipo de actividades que son buenas para concientizar y para terminar de depurar cualquier duda.
Estas normas serán tendencia y son importantes para la migración masiva de empresas a servicios online, y cada vez más serán los incidentes.
Contar con un marco con todos estos controles, sobre todo para accionar rápido es importante.
La palabra del 2020 fue ‘resiliencia’ y estas normas te dan un aporte en esta línea.
Llevar adelante ISO 27017 e ISO 27018 con Kahuna APP
Y sin dudas administrar el Sistema de Gestión de Seguridad de la Información de Servicios en la Nube es mucho más fácil cuando tienes una herramienta como Kahuna APP, que te permite llevar adelante este y cualquier sistema de Gestión, mediante alertas automatizadas y cuadros de control.
Si quieres conocer más de nuestra herramienta, ingresa aquí
¡No te olvides de seguirnos en Redes Sociales!
https://facebook.com/APPKahuna
*Luciano es Magíster en Ciberseguridad, experto en planificación, implementación, verificación y monitoreo de sistemas de gestión de continuidad de negocio; seguridad y tecnologías de la información; risk management; Gobierno de TI; Gobernanza, Riesgo y cumplimiento y Ciberseguridad.
Además es Auditor Líder ISO 27001, 27018, 27017, 9001, 20000, 22301, Presidente del capítulo argentino de la CSA Cloud Security Alliance y elegido como el Cibersecurity Consultant del año en los premios Cybersecurity Excellence Awards del 2016 al 2019.