Matriz de controles en la nube v4. Ciberseguridad en la nube

Introducción

Un sistema de gestión de seguridad de la información (SGSI), conforme a la ISO 27001, es el medio más adecuado para gestionar los riesgos en esa materia, al asegurar que se identifican y valoran los activos, sus amenazas y vulnerabilidades, considerando el impacto para la organización, y que se adoptan las medidas de seguridad más coherentes con la estrategia de negocio.

La norma ISO 27001 es la norma internacional más reconocida en materia de ciberseguridad o seguridad de información.

La computación en la nube, conocida también como servicios en la nube, informática en la nube, nube de cómputo o simplemente “la nube”, es un paradigma que permite ofrecer servicios de computación a través de una red, que usualmente es internet.

Los controles (medidas de seguridad) contenidos en el anexo A de la ISO 27001 no son específicos de la nube, por lo que se requiere un planteamiento específico de este paradigma para gestionar la ciberseguridad en la nube.

Matriz de Controles en la Nube v4

La Matriz de Controles en la Nube (Cloud Control Matrix – CCM) v4 ha sido actualizada para garantizar la cobertura de los requisitos derivados de las nuevas tecnologías en la nube, los nuevos controles y la matriz de responsabilidad de la ciberseguridad, y la mejora de la auditabilidad.

La CCM es un marco de control de ciberseguridad en la nube alineado con las mejores prácticas de la Cloud Security Alliance (CSA), que se considera el estándar de facto para la seguridad y la privacidad en la nube.

La versión 4 de la CCM constituye una actualización significativa de la versión anterior (v3.0.1) al ofrecer un aumento importante de los requisitos como resultado del desarrollo de controles adicionales y la actualización de los existentes.

Cambios en la versión 4 de la CCM

  • Se ha garantizado la cobertura de los requisitos derivados de las nuevas tecnologías en la nube.
  • Nuevos controles y matriz de responsabilidad de ciberseguridad, mejora de la auditabilidad de los controles, y mejora de la interoperabilidad y compatibilidad con otros estándares.
  • Cambios en la estructura del marco con un nuevo dominio dedicado a Log y Monitoring (LOG), y modificaciones en los ya existentes (GRC, A&A, UEM, CEK).

Relación con otras normas

Próximamente los controles en el CCM v4 serán mapeados contra los estándares de ciberseguridad aceptados por la industria, regulaciones y marcos de