Kudo

CIF-1 - Proveedores de Servicio de Nube

Control de gestión y selección de CSP

Definición de Control

Es necesario definir criterios formales para seleccionar proveedores de servicios en la nube, verificando sus certificaciones de seguridad y el modelo de responsabilidad compartida aplicable según el tipo de servicio. Es necesario realizar due diligence e incluir en los contratos garantías de disponibilidad, derecho de auditoría, notificación de incidentes y eliminación segura de datos al finalizar la relación. Es necesario evaluar periódicamente el riesgo de dependencia de un único proveedor y mantener una estrategia de diversificación para los servicios más críticos, gobernando todo el ciclo de contratación, uso y cierre de servicios en la nube.

Requisitos

Requisito 1

Definimos criterios formales de selección para Cloud Service Provider (CSP).

Requisito 2

Verificamos las certificaciones de seguridad vigentes de cada Cloud Service Provider (CSP).

Requisito 3

Evaluamos el modelo de responsabilidad compartida según el tipo de servicio (IaaS, PaaS, SaaS, entre otros...).

Requisito 4

Incluimos en los contratos con Cloud Service Provider (CSP) SLAs de disponibilidad mínima acorde a la criticidad del servicio.

Requisito 5

Mantenemos una estrategia documentada de multi-cloud o híbrida para servicios de alta criticidad y la revisamos anualmente.

Requisito 6

Establecemos los procesos de contratación, uso, administración y cierre de servicios en la nube conforme a los requisitos de seguridad de la información de la organización.

Requisito 7

Evaluamos periódicamente el riesgo de concentración en un único proveedor (vendor lock-in).

On this page