Por Martín Figueroa
La ISO 27018 pretende, a grandes rasgos, identificar los controles requeridos para salvaguardar la privacidad de la información de identificación personal (PII) de los interesados. Y como son , como son gestionados por los proveedores de la nube.
Su implantación va ligada a la norma ISO 27001, que actúa como base a la hora de especificar los requisitos propios del estándar. En este sentido, la ISO 27018 se divide en dos grandes bloques de actuación:
De los 114 controles del ISO 27002, se proporciona una guía a lo largo de los dominios 5 al 18
Controles Declaración de Aplicabilidad: Partiendo de los controles de seguridad establecidos en el Anexo A de la ISO 27001:2013 o el código de buenas prácticas ISO 27002:2013
Nota importante: Como sabemos la guía ISO 27002:2022 se actualizo en 2022 por lo que esperamos también ISO 27018 sufra cambios.
La norma ISO 27018 añade requisitos de seguridad para la información de identificación personal (PII) sobre controles específicos. En este sentido, de los 114 controles que propone el estándar de Seguridad de la Información, la ISO 27018 establece requisitos adicionales sobre 15 controles, distribuidos entre los siguientes dominios:
Dominio 5: Políticas de Seguridad de la Información
Dominio 6: Organización de la Seguridad de la Información
Dominio 7: Seguridad de los Recursos Humanos
Dominio 9: Control de Acceso
Dominio 10: Criptografía
Dominio 11: Seguridad física y ambiental
Dominio 12: Seguridad de las operaciones
Dominio 13: Seguridad de las comunicaciones
Dominio 16: Gestión de incidentes
Dominio 18: Cumplimiento
Dentro de las modificaciones en los controles de la ISO 27001, dentro de la norma ISO 27018 se incluyen los controles que deberían aplicarse para aumentar el nivel de protección de los datos personales en la nube:
- Derechos de acceso y eliminación de los datos
- Procesamiento de los datos sólo para el propósito para el cual el cliente los ha proporcionado
- No utilizar los datos para fines comerciales ni publicidad
- Eliminación de los archivos temporales
- Notificación al cliente en caso de una petición de comunicación de datos
- Registro de todas las comunicaciones de datos personales
- Revelar la información sobre todos los subcontratistas utilizados para el tratamiento de los datos personales
- Notificación al cliente en caso de violación de datos
- Gestión de documentos las para políticas y procedimientos en la nube
- Política de devolución, transferencia y eliminación de datos personales
- Acuerdos de confidencialidad para las personas que pueden acceder a datos personales
- Restricción de la impresión de los datos personales
- Procedimiento de restauración de datos
- Autorización para sacar el medio físico fuera del sitio
- Restricción del uso de medios que no tienen capacidad de cifrado
- Cifrar los datos que se transmiten por las redes públicas
- Destrucción de los medios de comunicación impresos con datos personales
- Uso de identificaciones únicas para los clientes de la nube
- Registros de acceso de los usuarios a la nube
- Desactivar el uso de los ID de usuario caducados
- Especificar los controles de seguridad mínimos en los contratos con los clientes y subcontratistas
- Eliminación de los datos almacenados asignados a otros clientes
- Revelar al cliente de la nube en qué países se almacenarán los datos
- Asegurarse de que los datos lleguen a su destino
A su vez el ISO 27018 : 2019 tiene su propio Anexo A el cual extiende 8 controles enfocados a los siguientes rublos :
- Consentimiento y elección
- Propósito de legitimidad y especificación
- Minimización de los datos
- Límite de uso, retención y divulgación
- Apertura, trasparencia y notificación
- Responsabilidad
- Seguridad de la Información
- Cumplimiento de la privacidad
La implantación del estándar conlleva grandes beneficios a los operadores de datos en la nube, más si cabe con la certificación del estándar ISO 27018, el cual solo es certificable de manera conjunta con la ISO 27001.
Es por eso que marcos integrales propuesto por la CSA integran los controles de ISO 27008 en la matriz de controles de nube Cloud Controls Matrix (CCM) generando un marco de control de ciberseguridad para la computación en la nube alineado con las mejores prácticas considerada el estándar de facto para la seguridad y privacidad de la nube.
La Matriz de controles en la nube es una hoja de cálculo que enumera los marcos y regulaciones comunes que las organizaciones deberían cumplir.
Reduce la necesidad de utilizar varios marcos y simplifica la seguridad de la nube al permitirle ver todos los estándares comunes de la nube en un solo lugar.
La implantación del ISO 27008:2019 conlleva grandes beneficios a los operadores de datos en la nube, el cual solo es certificable de manera conjunta con la ISO 27001. Entre los beneficios destacan:
- Aporta confianza sobre la protección de la información de los clientes y partes interesadas, protegiendo la imagen de la organización frente a accesos o violación de datos.
- Permite identificar los riesgos a los que está expuesta la información (PII) estableciendo controles para su mitigación.
- Diferenciación respecto a los competidores del mismo sector, proveyendo una protección a la información bajo un estándar internacional.
- Protección frente a multan, aportando un sistema de gestión que vela por la protección de la información de los interesados.
En Hkméxico podemos ayudarte a establecer tu estrategia de ciberseguridad operando desde esquemas on-premise, híbridos o en la nube.