Cuando trabajamos con servicios de almacenamiento cloud, una gran pregunta que surge es la seguridad con la que se tratarán nuestros documentos, ya sean contratos o información sensible de la organización. Para ello, las empresas que prestan este servicio deben garantizar la integridad, confidencialidad y disponibilidad de los datos de sus clientes.
Considerando, además, que en los tiempos actuales la privacidad de la información personal (o Personally Identifiable Information - PII) ha tomado un rol primordial para el cumplimiento del Reglamento General de Protección de Datos (GDPR en inglés) dentro de toda Europa y de forma paulatina en el resto del mundo, con todo lo que ha conllevado la pandemia a nivel global, acelerando su aplicación legal en cada uno de los países de Latinoamérica.
En este sentido, existen normas ISO (International Organization for Standardization) que nos plantean una amplia gama de políticas y controles de seguridad, partiendo por la implementación de un Sistema de Gestión de Seguridad de la Información (SGSI), descrito en la ISO 27001, dando especial foco a la gestión del riesgo para su tratamiento.
Esta norma base ISO 27001 se complementa con otras normas ISO requeridas para cada negocio, como por ejemplo la norma ISO 27701 que nos propone la implementación de un Sistema de Gestión de Privacidad de la Información (SGPI), para la securitización de los datos personales. Del mismo modo, las normas ISO 27017 y 27018, nos entregan una serie de controles de seguridad que apuntan a fortalecer la ciberseguridad en la nube. A continuación, te contamos todo lo que necesitas saber al respecto.
El valor de las normas de calidad ISO y sus certificaciones
Contar con una certificación ISO es uno de los parámetros más importantes a la hora de elegir un proveedor de servicios en la nube. Dicha certificación garantiza altos estándares en la seguridad de la información, uno de los activos más valiosos para las empresas que prestan servicios Cloud, ya sea en modalidad IaaS, PaaS o DBaaS (Infrastructure, Platform or Data Base as a Service), al igual que aquellas cuyo modelo es el SaaS (Software as a Service), tal como es el caso de Webdox CLMS. Donde la política de desarrollo de software seguro se complementa con los altos estándares de seguridad de Google Cloud Platform (GCP).
Al respecto, las normas ISO 27001, 27701, 27017, 27018 y 27032 constituyen algunos de los principales estándares para resguardar la ciberseguridad y garantizar la integridad de la información alojada en la nube, servicio ofrecido por grandes empresas Data Centers como lo es Amazon Web Services (AWS), Google Cloud Platform (GCP) o Microsoft Azure.
Normas ISO para la seguridad en la nube
1. ISO 27001
A grandes rasgos, la norma ISO 27001 es un estándar generado por la Organización Internacional de Normalización (ISO, por sus siglas en inglés) que describe la manera correcta de gestionar la seguridad de la información al interior de una empresa.
Se trata de la principal norma de seguridad -a nivel global- para el manejo de la información. Su eje central es el Sistema de Gestión de la Seguridad de la Información (SGSI), para el cual "todos los empleados de la organización han de contribuir al establecimiento de la norma", como resume ISOTools.
Entendiendo que es prácticamente imposible garantizar la total seguridad de la información, la norma ISO 27001 apunta a que las organizaciones conozcan los riesgos asociados al manejo de información, asumiéndolos, minimizándolos y gestionándolos por medio de un proceso documentado, sistemático, estructurado, eficiente, repetible y adaptable a los eventuales cambios que pudieran presentar los riesgos, el entorno y la tecnología.
Para obtener una certificación ISO 27001, la empresa debe cumplir con ciertos pasos:
- Etapa previa. Aquí, las empresas deben implementar 14 pasos básicos para iniciar su proceso hacia la certificación. Entre los principales, están la utilización de una metodología de gestión de proyectos, contar con el apoyo de toda la dirección en el proceso de implementación, definir el alcance del sistema de seguridad, determinar una política de evaluación de riesgos, implementación de controles y medidas correctivas.
- Auditoría de revisión. Personal externo revisará que lo anterior se cumpla para dar curso al proceso de certificación.
- Auditoría principal. Aquí, un grupo de auditores verificará que las medidas anteriores cumplan con sus objetivos. De estar todo en orden, la empresa puede ser certificada.
- Revisiones periódicas. Una vez aprobada la certificación, el organismo monitorea dicha empresa durante 3 años para garantizar que cumpla con los esfuerzos de protección de datos.
2. ISO 27701
La norma ISO 27701 es un estándar de seguridad que nace de la publicación del Reglamento General de Protección de Datos (RGPD o GDPR en inglés) el año 2018, y que propone implementar un Sistema de Gestión de Privacidad de la Información (SGPI) para la aplicación de políticas y controles que protejan los datos personales de la empresa, ya sea desde el punto de vista de Controlador de Datos Personales (Data Controller) o de Procesador de Datos Personales (Data Processor).
Cuando hablamos de Data Controller, nos referimos a aquella persona física o jurídica, pública o privada, que decide aspectos del tratamiento de los datos personales como la finalidad y el uso de los datos o los plazos de conservación; siendo también la persona ante quien debe acudir aquel interesado que tenga intención de ejercitar cualquiera de sus derechos en materia de protección de datos.
Por otro lado, cuando hablamos de Data Processor nos referimos a aquel prestador de servicios que, contratado por el Data Controller, debe acceder a datos de carácter personal que son responsabilidad del Data Controller.
De hecho, el simple acceso o visualización de los datos ya implica un “tratamiento” como, por ejemplo, en el caso de proveedores que prestan servicios de mantenimiento o soporte informático. A pesar de que no tengan que manipular los datos personales para la prestación del servicio tienen la consideración de Data Processor.
Esta norma contempla 31 controles dentro del anexo A - Data Controller y 18 controles en el anexo B - Data Processor, pasando por la seguridad en el almacenamiento, transferencia y solicitudes de rectificación, acceso, cancelación y oposición de uso de datos personales.
3. ISO 27017
La norma ISO 27017 es un estándar de seguridad que proporciona controles tanto para clientes como para proveedores de servicios en la nube.
Su importancia radica en la precisión con la que establece las relaciones entre clientes y proveedores de servicios en la nube, determinando qué puede exigir el cliente y qué información debe proporcionarle el proveedor.
El cumplimiento de esta guía permite fortalecer la ciberseguridad y la gestión del servicio referente a arquitectura, medidas de seguridad, funcionalidades disponibles, tecnología de cifrado y localización geográfica de los datos.
Esta norma contempla 37 controles en la nube -basados en la ISO 27002-, junto a 7 adicionales que permiten fortalecer la seguridad de los servicios cloud.
4. ISO 27018
La norma ISO 27018 constituye un compendio de buenas prácticas -referentes a controles de protección de datos- para servicios cloud, enfocada específicamente en los proveedores.
Su objetivo central es delimitar las normas, procedimientos y controles que los proveedores -en su calidad de "procesadores de datos"- deben aplicar. Además, garantiza el cumplimiento de la normativa legal en cuanto al manejo de datos personales.
5. ISO 27032
Finalmente, nos encontramos con la ISO 27032, considerada como el nuevo estándar enfocado en la ciberseguridad, debido a que se trata de uno de los mayores riesgos a los que se enfrentan las empresas de todo el mundo.
En ese sentido, si bien existe la norma ISO 27001, enfocada en la seguridad de la información, la Organización Internacional de Normalización decidió crear un principio enfocado específicamente en la ciberseguridad para brindar mayores garantías y respaldo a las empresas.
"El ciberespacio es un entorno complejo que consta de interacciones entre personas, software y servicios destinados a la distribución mundial de información y comunicación". Se trata de un contexto muy grande en el que "la colaboración es esencial para garantizar un entorno seguro", aseguraron autoridades de la ISO al momento de presentar este estándar.
En definitiva, el principal objetivo de esta ISO es otorgar una guía que permita garantizar interacciones seguras en el complejo entorno del ciberespacio.
Proveedores de servicios cloud que cumplen con las normas ISO
Puesto que los estándares anteriormente abordados apuntan a fortalecer la ciberseguridad en la nube, los principales proveedores del mercado deben ceñirse a ellos.
Google Cloud Platform pone a disposición de los usuarios el listado de normativas, certificaciones y regulaciones con que cumple para garantizar la ciberseguridad de los datos de sus clientes. Desde luego, el servicio cumple con los estándares anteriormente revisados.
Amazon Web Services (AWS) transparenta el cumplimiento de todas las normativas anteriores, además de cumplir con leyes y regulaciones específicas de determinados países.
Cabe destacar también a Microsoft Azure, servicio que se ha apalancado en la basta experiencia que tiene Microsoft ofreciendo software empresarial para construir una infraestructura en la nube segura y confiable, que cuenta con todas las certificaciones mencionadas anteriormente.
Contar con estas certificaciones le ha permitido a AWS, Google Cloud y a Microsoft Azure, posicionarse como los mejores proveedores de servicios en la nube. Gracias a los controles implementados, tanto el modelo IaaS, PaaS, DBaaS como el SaaS se han vuelto más seguros, confiables, transparentes y efectivos.
Certificación ISO 27001, 27701 y 27018 de la plataforma SaaS de gestión contractual Webdox CLM
Contar con los más altos estándares de seguridad de la información es crucial para el éxito de la transformación digital de su organización.
Webdox ratifica una vez más su compromiso para ofrecer una solución integral de gestión contractual o CLM (Contract Lifecycle Management) obsesionada con la seguridad de la información de sus clientes, al recibir certificaciones en las normas ISO 27001, 27701 y 27018.
Más que un software para crear y firmar documentos, Webdox CLM se ha constituido como una solución que hace posible la transformación digital de sus clientes. Para lograrlo, resulta esencial asegurar el cumplimiento de los más altos estándares de seguridad de la información. Es por esto que nos complace anunciar que hemos recibido certificaciones en las normas ISO 27001, 27701 y 27018.
Al cumplir con la norma ISO 27001, Webdox garantiza total seguridad para la información que alberga la solución. Esta certificación acredita el Sistema de Gestión de la Seguridad de la Información (SGSI) de la empresa, el cual ha sido diseñado para anticipar y mitigar los riesgos y amenazas sobre los activos de información física y digital de los usuarios de la solución.
Por otro lado, la norma ISO 27701 opera como una extensión de la norma ISO 27001 enfocada en la privacidad de la información. Con esta certificación, Webdox refuerza aún más su SGSI en una dimensión de particular interés para nuestros clientes: reducir todos los riesgos asociados a los derechos de privacidad de las personas. Esto resulta de vital importancia dadas las implicaciones legales, financieras y regulatorias que acarrean las vulnerabilidades en este aspecto.
Finalmente, la certificación en la norma ISO 27018, mediante la cual se asegura el cumplimiento de los lineamientos a los que deben ceñirse los proveedores de servicios en la nube, garantiza que Webdox realiza permanentemente todas las evaluaciones de riesgo e implementa los controles necesarios al momento de procesar la información personal de identificación (Personally Identifiable Information, o PII) de todos los actores gestionados a través de su solución.
Eduardo Contreras, Chief Security Officer de Webdox, argumenta que contar con estas certificaciones “[...] permite que nos podamos acoplar con total agilidad y transparencia a cualquier marco normativo nacional e internacional que esté relacionado con la protección de datos, además de garantizar que nuestra solución en la nube cuenta con los controles necesarios para el procesamiento de información sensible de nuestros clientes en todas las latitudes ”.
Webdox CLM dispone de un equipo que preserva la seguridad de su información, llevando a cabo pruebas de vulnerabilidad y brindando seguridad a sus usuarios de dos maneras concretas:
- Servidores e infraestructura: La información que los Usuarios cargan en Webdox CLM es almacenada en data centers de Google Cloud Platform (GCP). Por lo anterior, Webdox CLM aprovecha las numerosas certificaciones de seguridad que GCP posee al día de hoy (Google Cloud Compliance), para demostrar seguridad en el almacenaje de información. Asimismo, adapta su arquitectura de servidores de Google para que ésta sea capaz de prevenir ataques informáticos de diferentes tipos.
- Seguridad de la plataforma: la plataforma de Webdox CLM contiene una serie de funcionalidades pensadas en proteger la información, asociadas a la administración de contraseñas, seguridad de las sesiones, control de IP en el acceso al sistema, encriptación de datos, eliminación y pérdidas de información. Asimismo, Webdox se ha certificado con la ISO 27.001, específicamente en la plataforma de gestión de contratos CLM y firma electrónica.
Contar con una certificación de norma ISO es uno de los parámetros más importantes a la hora de elegir un proveedor de servicios en la nube. Dicha certificación garantiza altos estándares en la seguridad de la información, uno de los activos más valiosos para las empresas que prestan servicios DBaaS (Data Base as a Service, o Base de Datos como Servicio), al igual que aquellas cuyo modelo es el SaaS (Software as a Service), como es el caso de Webdox CLM.
Gracias al mejoramiento continuo de Webdox, nuestros clientes pueden estar seguros de contar con una solución que soporta sus procesos de negocio críticos cumpliendo con los más altos estándares de seguridad de la información.