La ISO/IEC 27001:2022 introduce una visión más actualizada y realista de los riesgos modernos, entre ellos, el uso extensivo de servicios en la nube. El control 5.23: Seguridad de la información para el uso de servicios en la nube nace de esa necesidad: asegurar que la información siga protegida cuando se procesa, almacena o transmite a través de proveedores de servicios cloud.

Este control establece que deben implementarse medidas de seguridad cuando se utilizan servicios en la nube, asegurando que los riesgos estén controlados y alineados con los objetivos del SGSI. Esto incluye la selección de proveedores, las cláusulas contractuales y la supervisión continua.

Pasos para implementar el control 5.23

El control 5.23 exige que la organización gestione la seguridad de la información para el uso de servicios en la nube. A continuación, te mostramos cómo implementarlo eficazmente:

1. Extender los controles 5.21 y 5.22

Si ya tienes implementados los controles del Anexo A:

• 5.21: Gestión de la seguridad de la información en la cadena de suministro TIC, y

• 5.22: Monitoreo, revisión y gestión de cambios de servicios del proveedor,

entonces la forma más simple de implementar este nuevo control es extender los documentos que gestionan estos controles.

2. Identificar los servicios en la nube utilizados

Haz un inventario completo de:

• Proveedores de nube (ej. AWS, Azure, Google Cloud).

• Aplicaciones SaaS (ej. Google Workspace, Dropbox, Salesforce).

• Infraestructura o plataformas (ej. contenedores en la nube, entornos CI/CD).

Incluye datos como:

• Tipo de información tratada.

• Ubicación de los datos.

• Usuarios y áreas que acceden al servicio.

3. Evaluar los riesgos asociados

Realiza un análisis de riesgos específico por servicio, considerando:

• Confidencialidad: ¿Quién puede acceder a los datos?

• Integridad: ¿Pueden alterarse sin autorización?

• Disponibilidad: ¿Hay medidas para asegurar el uptime?

• Cumplimiento: ¿Cumple el proveedor con normativas como el GDPR o con certificaciones como ISO 27001 o SOC 3?

4. Privilegiar proveedores con certificaciones ISO 27001 o SOC 3

Si los proveedores no poseen certificaciones, el proceso de aseguramiento de la calidad será más complejo. Esto se debe a que los proveedores certificados ya cuentan con la implementación de controles, lo que permite transferir parte del riesgo.

5. Revisar las cláusulas de seguridad

Si bien los proveedores cloud generalmente ofrecen cláusulas predefinidas y no siempre es posible “negociar”, debe revisarse que estas cláusulas de servicio aborden los requisitos de seguridad de la información.

6. Registrar incidentes

Se debe incluir, dentro de los procedimientos para tratar incidentes de seguridad, los relacionados con el uso de servicios en la nube.

7. Planificar la salida de un servicio en la nube

Debe disponerse de un procedimiento para la salida de servicios en la nube. Este procedimiento debe evidenciar la estrategia para abandonar o cambiar de proveedor sin poner en riesgo la seguridad de la información. Por ejemplo, se debe revisar la estrategia de eliminación de información sensible (ver Control A.8.10).

Conclusión

El control 5.23 reconoce que la nube no es solo una herramienta técnica, sino una pieza estratégica del ecosistema de seguridad. Implementarlo correctamente implica integrar la gestión de servicios cloud dentro del ciclo de vida del SGSI, considerando a los proveedores como extensiones de tu propia infraestructura.

No se trata de desconfiar de la nube, sino de usarla con conciencia y control.