Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosPlantilla
Creación de una Política de Seguridad en la Nube Efectiva: Guía y Plantilla

Creación de una Política de Seguridad en la Nube Efectiva: Guía y Plantilla

Una política de seguridad en la nube robusta es imperativa para cualquier organización que dependa de servicios en la nube para almacenar y procesar datos sensibles. Mejora la seguridad al establecer estándares y procedimientos claros para proteger los recursos en la nube, detallando los roles involucrados en la protección de datos y promoviendo una cultura consciente de la seguridad. Además, contar con una política de seguridad en la nube documentada es un requisito de algunas regulaciones de cumplimiento y auditorías.

Este documento ofrece orientación para crear una política de seguridad en la nube efectiva: Detalla las secciones que incluir y proporciona ejemplos para ilustrar. Siéntase libre de adaptarlo para satisfacer los requisitos legales y de cumplimiento únicos de su organización.

Tenga en cuenta que su política de seguridad en la nube es parte de una estrategia de seguridad más amplia. Debe alinearse y complementar sus otras políticas y prácticas de seguridad, incluyendo políticas de seguridad de red y protección de datos, para crear una defensa robusta contra amenazas y vulnerabilidades.

Plantilla de Política de Seguridad en la Nube

  1. Propósito

La creación de una política de seguridad en la nube comienza con la definición de su propósito declarado que describe los objetivos y metas generales. Este propósito declarado servirá como la base que guiará la selección de controles de seguridad específicos, procedimientos y estrategias que satisfarán las necesidades de la organización y los requisitos regulatorios. Asegura que la política sea enfocada, relevante y esté alineada con la estrategia de seguridad general de la organización, proporcionando una dirección clara para el desarrollo e implementación de la política.

Ejemplo

El propósito de esta política es proteger la confidencialidad, integridad y disponibilidad de los datos manejados a través de servicios de computación en la nube. Establece un marco estructurado de responsabilidades y medidas para asegurar el cumplimiento de los requisitos regulatorios y la adhesión a las directrices de seguridad en el ámbito de la computación en la nube.

  1. Alcance

El alcance de una política de seguridad en la nube delinea su cobertura. Especifica los servicios en la nube, datos, usuarios, ubicaciones geográficas y controles de seguridad a los que se aplica la política dentro de una organización.

Ejemplo

Esta política se refiere a los sistemas que gestionan los datos definidos en la sección "2.1. Tipos de Información" de este documento y abarca todos los servicios en la nube relevantes. Se aplica a servidores, bases de datos y dispositivos utilizados regularmente para correo electrónico, acceso a la web o tareas de trabajo, cubriendo tanto instalaciones nuevas como existentes. Cada usuario que interactúa con los servicios de TI de la empresa está sujeto a esta política, y sus requisitos de control de seguridad son universalmente aplicables a todos los sistemas en la nube aprobados.

2.1. Tipos de Información

El propósito de esta sección es proporcionar una lista exhaustiva de tipos de información que caen bajo la jurisdicción de la política propuesta. Necesita etiquetar sus datos almacenados y procesados de manera precisa utilizando las mejores prácticas para la clasificación de datos.

Ejemplo

Esta política es aplicable a toda la información considerada como datos sensibles por la política de Netwrix Data Classification de la empresa. Los tipos de datos sensibles cubiertos por esta política incluyen:

Datos de identidad y autenticación

  • Contraseñas
  • Claves privadas criptográficas
  • Tablas de hash

Datos financieros

  • Facturas
  • Datos de nómina
  • Datos de ingresos
  • Datos de cuentas por cobrar

Datos propietarios

  • Pruebas y análisis de software
  • Investigación y desarrollo

Datos personales del empleado

  • Nombres y direcciones
  • Números de Seguridad Social
  • Números de licencia de conducir
  • Números de tarjeta de identificación
  • Números de cuenta financiera, incluyendo códigos o contraseñas que proporcionan acceso a la cuenta
  • Información de seguros médicos y de salud

3. Propiedad y Responsabilidades

Esta sección de la política de seguridad en la nube es vital para garantizar que las personas y los equipos comprendan sus roles en la protección de los recursos en la nube, estableciendo una responsabilidad clara y previniendo lagunas que aumenten el riesgo de incidentes de seguridad.

Debe enumerar todos los roles relacionados con las acciones y controles de seguridad en la nube y describir las responsabilidades asociadas. Si no está seguro de cómo comenzar a compilar la lista, considere las siguientes preguntas:

  • ¿Qué individuos o equipos utilizan servicios en la nube y necesitan estar al tanto de las políticas de seguridad?
  • ¿Quién es responsable de configurar y mantener los ajustes de seguridad en el entorno de la nube?
  • ¿Quién asegura que las implementaciones en la nube estén alineadas con los requisitos de cumplimiento relevantes y las políticas internas?
  • ¿Quién es responsable de tomar decisiones con respecto a la selección de soluciones en la nube?

Ejemplos

  • Administrador de Seguridad en la Nube: Responsable de configurar y mantener los ajustes y controles de seguridad dentro del entorno en la nube, incluyendo la gestión de accesos, cifrado y monitoreo.
  • Propietario de los datos: El individuo o equipo responsable de los datos de la organización almacenados en la nube, incluyendo la clasificación de datos, el control de acceso y las políticas de retención de datos.

4. Uso seguro de los servicios de computación en la nube

Esta sección describe los requisitos para el uso aceptable de los servicios en la nube. Para prepararla, debe seguir los siguientes pasos para cada servicio en la nube:

  • Identifique a los usuarios del servicio, tanto internos como externos.
  • Documente el tipo de servicio en la nube (SaaS, PaaS, IaaS), con especificaciones detalladas.
  • Especifique los tipos de datos que se almacenarán en el servicio.
  • Detalle las soluciones y configuraciones de seguridad requeridas, como cifrado, monitoreo y copias de seguridad.
  • Compile un historial de incidentes de seguridad pasados que involucren al proveedor de la nube elegido.
  • Solicite documentación de las certificaciones de seguridad disponibles.
  • Asegure copias del Acuerdo de Nivel de Servicio (SLA) y otros acuerdos con el proveedor de la nube.

4.1 Servicios Aprobados

Proporcione un resumen de su infraestructura basada en la nube, incluyendo un catálogo de servicios respaldados alineados con sus respectivos departamentos. Describa el proceso para aprobar la adopción de servicios. Considere incluir una lista de servicios no autorizados.

Ejemplo

Solo las soluciones basadas en la nube aprobadas que figuran en la Sección 4.1 están permitidas para su uso. La instalación de software no autorizado en dispositivos propiedad de la organización y componentes de la infraestructura de TI está prohibida. El administrador de seguridad en la nube debe autorizar los servicios de terceros antes de su uso; cualquier servicio no autorizado debe activar alertas y bloqueos de acceso.

Infraestructura como Servicio (IaaS)

  • Amazon Web Services (AWS) — Departamento de TI
  • Microsoft Azure — Departamento de TI

Software como Servicio (SaaS)

  • Office 365 — Todos los departamentos
  • Salesforce — Solo para los departamentos de Ventas y Marketing

5. Evaluación de Riesgos

La sección de evaluación de riesgos establece parámetros y responsabilidades relacionados con la identificación, evaluación y priorización de los riesgos de seguridad asociados con los servicios en la nube.

Ejemplo

El Administrador de Seguridad en la Nube y el equipo de Seguridad Informática son responsables de realizar evaluaciones de riesgo. Se debe realizar una evaluación de riesgo:

  • Tras la implementación de un nuevo servicio en la nube
  • Después de mejoras significativas o actualizaciones a un servicio en la nube existente
  • Tras cualquier cambio en la configuración de un servicio en la nube
  • Como respuesta a un evento o incidente de seguridad
  • Trimestralmente para todos los servicios en la nube existentes

Además, un especialista en evaluación de riesgos externo llevará a cabo una evaluación de riesgos cada seis meses.

6. Controles de Seguridad

Esta sección detalla tanto los controles de seguridad internos de la organización como los proporcionados por el proveedor de servicios en la nube. Ejemplos de controles de seguridad incluyen derechos de acceso al servidor, reglas de firewall, ACLS de VLAN y segmentación de red.

Agrupe los controles en categorías lógicas, como control de acceso, protección de datos, respuesta a incidentes y cumplimiento. Proporcione una descripción clara del propósito y alcance de cada control. Si corresponde, haga referencia a cualquier mandato o estándar de la industria (por ejemplo, ISO 27001, NIST, GDPR) que los controles ayuden a cumplir.

Ejemplo

Control 23: Autenticación Multifactor (MFA)

  • Descripción: Implemente MFA para todos los usuarios que acceden a servicios en la nube para mejorar la seguridad al requerir múltiples formas de autenticación antes de otorgar acceso.
  • Responsabilidad: Equipo de Seguridad Informática
  • Referencia: NIST SP 800-63B, Sección 5.1
  • Requisitos: Todos los usuarios con acceso a recursos en la nube deben inscribirse en el sistema MFA de la organización antes de obtener acceso. Los métodos MFA permitidos incluyen códigos SMS, autenticación por aplicación móvil, tokens de hardware y biometría. Se proporcionará capacitación y pautas a los usuarios sobre cómo configurar y utilizar los métodos MFA correctamente. Se permite eludir temporalmente el MFA para escenarios específicos como la recuperación de cuentas.

6.1. Evaluación de Control de Seguridad

Describa la frecuencia con la que los controles de seguridad se someten a evaluaciones regulares de su eficacia y vulnerabilidades.

Ejemplo

El Administrador de Seguridad en la Nube es responsable de realizar una evaluación integral de las configuraciones de control de seguridad de manera trimestral. La evaluación incluirá la revisión de todos los ajustes y configuraciones de los controles de seguridad para todos los entornos en la nube. También incluirá la investigación de todos los casos de intentos de acceso fallidos para identificar debilidades en los controles de seguridad.

7. Recuperación de Incidentes de Seguridad

Esta sección debe explicar cómo los empleados deben informar sobre actividades sospechosas e incidentes de seguridad, incluyendo a quién contactar y a través de qué canales.

También debería describir cómo se deben categorizar los incidentes basados en la severidad, impacto y naturaleza; proporcionar el proceso de escalado; y describir los procedimientos para contener, investigar, mitigar y recuperarse de los incidentes de seguridad.

El equipo de respuesta ante incidentes debe estar claramente definido, con los roles y responsabilidades de cada miembro especificados. También incluya detalles de contacto para las partes externas relevantes, como abogados, fuerzas del orden y especialistas en ciberseguridad.

Ejemplo (Extracto)

El equipo de respuesta a incidentes (IRT) es responsable de manejar y mitigar incidentes de seguridad que involucren entornos en la nube. Se requiere que todos los miembros del IRT se sometan a capacitación y ejercicios regulares para asegurar la preparación y familiaridad con el proceso de respuesta a incidentes.

El gerente de IRT es Alex Smith (alex.smith@email.com, 212-121-1234). Responsabilidades:

  • Supervisa el proceso de respuesta ante incidentes
  • Coordina la comunicación con partes externas
  • Asegura el cumplimiento de los requisitos regulatorios

En caso de un incidente de seguridad, se podrían contactar a los siguientes contactos externos:

  • Asesoría legal: XYZ Law Firm (Contacto: legal@xyzlawfirm.com)
  • Cumplimiento de la ley: Departamento de Policía Local (Contacto: 911)
  • Especialistas forenses: CyberForensics Inc. (Contacto: info@cyberforensics.com)
  • Especialistas en ciberseguridad: SecureTech Solutions (Contacto: info@securetechsolutions.com)

8. Concienciación

En esta sección, especifique el público objetivo para la capacitación en seguridad, la frecuencia y métodos de entrega de la capacitación, y quién supervisará la formación. Describa el proceso para abordar la falta de cumplimiento y haga énfasis en los procedimientos de reporte de incidentes. Enfatice la importancia de actualizar la capacitación para adaptarse a las amenazas de seguridad en evolución y las mejores prácticas. Además, detalle cómo mantendrá registros de la capacitación completada y medirá su efectividad.

Ejemplo

  • Público objetivo: Se requiere capacitación para todas las personas con acceso a recursos en la nube, incluyendo pero no limitado a empleados, contratistas y proveedores externos.
  • Frecuencia: La formación sobre conciencia de seguridad se llevará a cabo anualmente para todo el personal y al incorporar a nuevos empleados.
  • Métodos de entrega: La formación puede impartirse mediante una combinación de cursos en línea, seminarios web y sesiones presenciales, según corresponda al público objetivo.
  • Evaluación: Las evaluaciones de efectividad, incluyendo cuestionarios y encuestas periódicas, se llevarán a cabo para evaluar el impacto del programa de formación e identificar áreas de mejora.

9. Aplicación

Esta sección detalla cómo se aplicará la política de seguridad, las consecuencias del incumplimiento y las partes responsables de supervisar los esfuerzos de aplicación.

Ejemplo

El equipo de seguridad informática, en colaboración con Recursos Humanos, hará cumplir la política de seguridad mediante evaluaciones rutinarias. Los empleados que no cumplan con la política o fallen en las pruebas tendrán sus cuentas suspendidas y se les requerirá aprobar una capacitación de seguridad para que la cuenta sea activada de nuevo.

10. Documentos relacionados

Esta sección debe enumerar cualquier otro documento relevante para la política de seguridad, incluyendo cualquier política que concierna a la seguridad, cumplimiento, reporte de incidentes y entrenamiento de seguridad. Ejemplos pueden incluir lo siguiente:

  • Política de contraseñas
  • Política de protección de datos
  • Procedimientos de manejo de incumplimientos
  • Plan de respuesta ante incidentes

11. Historial de revisiones

Un historial de revisiones proporciona transparencia y responsabilidad al documentar cualquier cambio o actualización realizada en la política a lo largo del tiempo. Asegúrese de documentar cada modificación de la política y su justificación.

Ejemplo

Versión

Fecha de revisión

Autor

Descripción

1.0

02/01/2023

Blake Parker, Administrador de Seguridad en la Nube

Versión inicial

1.1

06/01/2023

Blake Parker, Administrador de Seguridad en la Nube

Frecuencia de capacitación actualizada

Conclusión

Esta plantilla de política de seguridad en la nube ofrece una base sólida para elaborar una política de seguridad en la nube efectiva y adaptada a las necesidades específicas de su organización. La política debe abordar las preocupaciones de seguridad relacionadas con la computación en la nube de una manera práctica y adaptable, de modo que su organización pueda proteger adecuadamente sus datos sensibles hoy y mañana.

Netwrix Auditor for SharePoint and Teams

Mantenga sus datos seguros en SharePoint y Microsoft Teams sin sacrificar la productividad

Solicitar una demostración individual

Compartir en

Recursos Relacionados

Profundiza con nuestros recursos relacionados

Centro de Recursos
eBook

Facilitando la prevención de pérdida de datos con Netwrix Solutions

Prevención de Pérdida de Datos
eBook

Desplegando software en Windows: Doloroso pero no tiene que serlo

Endpoint Management