Cmo proteger la privacidad en la nube con

ISO 27001 o con ISO 27018?

22 marzo, 2016

Norma ISO 27001

Si en tu empresa se ofrecen servicios en la nube, es probable que muchos de sus clientes se
pregunten cmo protege sus datos personales. La norma ISO 27001 es una buena aliada,
pero los clientes ms desconfiados le pueden pedir que cumpla con la ISO 27018 que se
encuentra especializada en la proteccin de datos personales en la nube.
La norma ISO 27018 proporciona las directrices generales de seguridad para todos los
proveedores de la nube y los clientes de dicha nube.

Qu es la ISO 27018?
La norma ISO 27018 Requisitos para la proteccin de la informacin de identificacin
personal (PII) en sistemas cloud se centra en proteger en los datos personales en la nube.
La norma ISO 27018 funciona de dos formas diferentes:

Todos los controles de la norma ISO 27002 se incrementan usando diferentes

elementos especficos para garantizar la privacidad de la nube.

Facilitar nuevos controles de seguridad de todos los datos personales.

Una de las grandes diferencias de la norma ISO 27001 es que las empresas no
puedenobtener la certificacin con la norma ISO 27018, por lo que si su organizacin
desea reclamar el reconocimiento de cumplimiento de la norma ISO 27018 debe ser en
forma de autoevaluacin.

Las adiciones a los controles ISO 27001 existentes

Las medidas que se sugieren en la norma ISO 27018 para incrementar los controles
existentes son:

La ISO 27018 sugiere que las mayores adiciones se encuentran en la seccin 12 Seguridad
de operaciones, siendo esto lo principal para los controles:

Separacin de desarrollo, se prueban los entornos operativos: se utiliza como

prueba para los datos personales.

Copia de seguridad de la informacin: se tienen que llevar a cabo diferentes

copias de datos para lo que se usan procedimientos para llevar a cabo las copias de
seguridad en las que quede registrado cmo se recupera y como se borra la informacin.

Registro de eventos: es un proceso para realizar la revisin de los registros, grabar

el cambio de privacidad de la informacin y ofrecer informacin al cliente.

Dentro de la seccin 12 de seguridad en las operaciones existen otros elementos

adicionales en otras secciones que son ms pequeas.

Nuevos controles para la nube privacidad

Dentro del Anexo A de la norma ISO 27018 se enumeran los distintos controles
adicionales, que no encontramos en la norma ISO 27001, por lo que deben ser implantados
para incrementar el nivel de proteccin de los datos personales en la nube:

Los derechos de los clientes a la hora de acceder y borrar todos los datos
importantes.

Se deben procesar los datos que cualquier cliente

No usar los datos para marketing y publicidad.

Eliminar todos los archivos temporales.

Notificar el cliente en caso de llevar a cabo una solicitud de divulgacin de los datos.

Grabar las diferentes revelaciones de los datos personales.

Revelar la informacin sobre los diferentes contratistas usados para procesar los datos
personales.

Notificar al cliente de forma inmediata en caso de que se produzca una violacin de

los datos.

Gestin de los documentos para las polticas y procedimiento en la nube.

Establecer una poltica de seguridad para el traslado y la eliminacin de datos

personales.

Fijar los acuerdos de confidencialidad para todos los individuos que pueden acceder a
los datos personales.

Restringir la impresin de los datos personales.

Contar con un procedimiento para restaurar los datos.

Es necesario contar con una autorizacin para utilizar los datos fuera de las
instalaciones.

Se debe restringir el uso de los medios de comunicacin que presenta la

capacidad.

El cifrado de los datos se transmite mediante las redes pblicas.

Destruir los medios de comunicacin que se encuentran impresos que

contengan datos personales.

Usar identificaciones nicas para los clientes de la nube.

Se debe ofrecer un registro de los accesos de los usuarios a la nube.

Se debe ofrecer un registro de los accesos de los usuarios a la nube.

Deshabilitar la utilizacin de todas las identificaciones de los usuarios en caso de

que caduquen.

Especificar que los controles de seguridad mnimos se garantizan en los contratos con
los clientes.

Revelar al cliente de la nube en que pases se almacenan los datos.

Asegurarse que todos los datos llegan al destino especificado.

Todo es de sentido comn y puede ser muy til que todos los controles figuren en un
documento nico. La ISO 27018 ofrece una explicacin detallada sobre cada uno de los
controles.
ISO 27001 o ISO 27018

Podemos verlo desde distintos puntos de vista, puede ser que dudemos a la hora de elegir la
norma que ms nos ayudar y saber si ser la ISO 27001 o la ISO 27018. Pues a esta duda
es fcil contestar, si usted busca ofrecer una buena publicidad de su organizacin es
segura en la red debe utilizar la ISO 27001, ya que se puede certificar y ser mostrada a
sus clientes, sin embargo la norma ISO 27018 es mucho mejor desde el punto de vista de
seguridad especficamente en cloud, pero no se puede mostrar ningn certificado.
Software ISO 27001

El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Informacin se

encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la
informacin que manejan las empresas no pierda ninguna de sus propiedades ms
importantes: disponibilidad, integridad y confidencialidad.