Guest user Created: Feb 29, 2016 Last commented: Mar 01, 2016

Gestionar riesgos en la nube

En el caso de una empresa donde el servicio donde se va a implementarla ISO 27001 es el servicio de digitalización de documentación a sus clientes, pero que para ello se utiliza almacenamiento en la nube de la información digitalizada a un proveedor de housting., teniendo este proveedor de la nube en posesión la mayoría de activos que realizan los tratamientos de datos e información (sobre todo almacenamiento de la información en sus maquinas, CPD, y aplicaciones instaladas ) y que prestan el servicio al cliente. ¿Como se realiza la gestión de riesgos? ¿Es necesario realizar la gestión de riesgos sobre dichos activos que están en posesión del proveedor cloud?, entiendo que ya que la información es mi activo, este esta en las maquinas, CPD y demás que son los activos del proveedor, debería de tratarse de alguna forma, pero no tengo claro sin el ámbito de aplicación de gestión y tratamientos de riesgos debe de llegar a sus activos o es suficientes con contratos u acuerdos de SLA y controles sobre este (pero esto sería después ya en e l plan de tratamiento de riesgos). Este punto para mi es un poco lioso y no se como enfocarlo.

0 0

Assign topic to the user

Select user

Guest

Antonio Jose Segovia Feb 29, 2016

Respuesta:
Desde mi punto de vista, el almacenamiento de información es una parte de tu negocio, pero no es la única, existen otras partes importantes, como por ejemplo el proceso de digitalización, que entiendo se gestiona por tu empresa directamente, y en este caso está claro que tenéis que gestionar los riesgos asociados.

Con respecto a la gestión de riesgos en la nube, los activos en los que tendrías que centrarte principalmente, porque están dentro del alcance de tu organización, son la información y las aplicaciones (por ejemplo máquinas virtuales, si estas son gestionadas por tu empresa).

Este artículo sobre el registro de activos puede ser interesante para ti "How to handle Asset register (Asset inventory) according to ISO 27001" : https://advisera.com/27001academy/knowledgebase/how-to-handle-asset-register-asset-inventory-according-to-iso-27001/

Y para más información sobre la gestión de riesgos, quizás pueda interesarte nuestro curso online "ISO 27001:2013 Foundations Course" : https://advisera.com/training/iso-27001-foundations-course/

Quote

0 0

Guest

gesdata Mar 01, 2016

entonces esos recursos o activos que están fuera de mi alcance ¿se aplica como opción de tratamiento una transmisión del riesgo?

Quote

0 0

Guest

Antonio Jose Segovia Mar 02, 2016

Si existen activos específicos fuera del alcance de tu SGSI, no tienes que incluirlos en la gestión de riesgos, esto significa que no tienes que hacer un tratamiento de los mismos (transferir, aceptar, evitar, aplicar controles).

Pero si existe una entidad externa que te ofrece un servicio (relacionado con el alcance de tu SGSI), puedes identificar los riegos relacionados con este servicio durante el proceso de tratamiento de riesgos, y transferirlos a la entidad externa.

Por cierto, recuerda que no es lo mismo el Plan de Tratamiento de Riesgos, que el Proceso de Tratamiento de Riesgos, aquí puedes ver las diferencias “Risk Treatment Plan and risk treatment process – What’s the difference?” : https://advisera.com/27001academy/iso-27001-risk-assessment-treatment-management/#treatment

Y este artículo también puede ser interesante para ti “6-step process for handling supplier security according to ISO 27001” : https://advisera.com/27001academy/blog/2014/06/30/6-step-process-for-handling-supplier-security-according-to-iso-27001/

Quote

0 0

Comment as guest or Sign in

HTML tags are not allowed

Name *

Email *

I accept the Privacy and Terms

Notify me when someone replies

Feb 29, 2016

Mar 02, 2016

Expert Advice Community