CIF-1 - Proveedores de Servicio de Nube
Control de gestión y selección de CSP
Definición de Control
Es necesario definir criterios formales para seleccionar proveedores de servicios en la nube, verificando sus certificaciones de seguridad y el modelo de responsabilidad compartida aplicable según el tipo de servicio. Es necesario realizar due diligence e incluir en los contratos garantías de disponibilidad, derecho de auditoría, notificación de incidentes y eliminación segura de datos al finalizar la relación. Es necesario evaluar periódicamente el riesgo de dependencia de un único proveedor y mantener una estrategia de diversificación para los servicios más críticos, gobernando todo el ciclo de contratación, uso y cierre de servicios en la nube.
Requisitos
Requisito 1
Definimos criterios formales de selección para Cloud Service Provider (CSP).
Requisito 2
Verificamos las certificaciones de seguridad vigentes de cada Cloud Service Provider (CSP).
Requisito 3
Evaluamos el modelo de responsabilidad compartida según el tipo de servicio (IaaS, PaaS, SaaS, entre otros...).
Requisito 4
Incluimos en los contratos con Cloud Service Provider (CSP) SLAs de disponibilidad mínima acorde a la criticidad del servicio.
Requisito 5
Mantenemos una estrategia documentada de multi-cloud o híbrida para servicios de alta criticidad y la revisamos anualmente.
Requisito 6
Establecemos los procesos de contratación, uso, administración y cierre de servicios en la nube conforme a los requisitos de seguridad de la información de la organización.
Requisito 7
Evaluamos periódicamente el riesgo de concentración en un único proveedor (vendor lock-in).