Azure Cumplimiento ISO 27001

Microsoft ha publicado una guía para el cumplimiento efectivo, mediante 13 controles, de la norma ISO 27001 en una infraestructura Microsoft Azure.

13 effective security controls for ISO 27001 compliance

El cumplimiento de la norma ISO 27001 certifica la aplicación efectiva de una serie de controles de seguridad informática y protección de los datos en un entorno empresarial, es un indicativo muy valorado en cualquier empresa y un requerimiento indispensable para ciertos procesos o colaboraciones laborales.

En un entorno OnCloud no siempre es tan sencillo determinar responsabilidades en algunos de los procesos o elementos que almacenan o manejan la información de nuestro entorno empresarial y los datos de nuestros clientes o proveedores.

En Microsoft Azure se ha publicado una guía para la implementación de 13 controles que ayuden con el cumplimiento efectivo de la norma ISO 27001 dentro de un entorno basado en tecnologías en la nube de Azure.

Este interesante documento detalla la información correspondiente a los diferentes aspectos relevantes en la gestión de la seguridad en Azure, con enlaces a varios recursos para ampliar la información.

Los 13 controles de una infraestructura Microsoft Azure son:

• Enable identity and authentication solutions.
• Use appropriate access controls.
• Use an industry-recommended, enterprise-wide antimalware solution.
• Effective certificate acquisition and management.
• Encrypt all customer data.
• Penetration testing.
• Threat modeling services and applications.
• Log security events, implement monitoring and visualization capabilities.
• Determine the root cause of incidents.
• Train all staff in cyber security.
• Patch all systems and ensure security updates are deployed.
• Keep service and server inventory current and up-to-date.
• Maintain clear server configuration with security in mind.

Microsoft Azure: 13 effective security controls for ISO 27001 compliance

Descargar Guía: Microsoft Azure 13 Effective Security Controls for ISO 27001

Seguridad a lo Jabalí para Todos!!

Recomendaciones En Ocasiones Veo Reos

En muchas ocasiones es más complicado entender las palabras que los ceros/unos del binario y es que cuando hablamos de interpretar leyes a los informáticos se nos ponen "los pelos de punta", ya no te cuento si además pretendes entender el articulo lo del decreto...

En seguridad informática uno de los requisitos fundamentales para cualquier plan de seguridad es cumplir la Ley y si queremos adquirir una certificación del cumplimiento de una ISO además de las leyes hay que entender otra serie de normativas bastante complejas con matices a veces muy sutiles que conviene conocer.

En Ocasiones Veo Reos es el sitio de Juan Antonio Frago Amada por aka @alegrameeeldia y el twitter del blog @EnOcasionesVeoR que os recomiendo seguir para entender algunas de las cuestiones más relevantes del panorama legislativo actual.

Es indispensable buscar buenas fuentes de información que nos expliquen los ámbitos donde nos estamos moviendo a nivel legislativo, además de muy necesario tener algún amigo abogado para los casos donde el anonimato en la red parece no ser tan anónimo.

En muchas ocasiones la justicia y la lógica no se reflejan en la Ley pero aunque cada uno tengamos nuestra opinión sobre esto o aquello al final en un proceso es la Ley la que se aplica, y como dice siempre @daboblog:

"Ahora que ser hacker es una profesión de riesgo".   

Seguridad a lo Jabalí para Todos!!

ISO/IEC 27001:2013 Controls

Hoy se podía leer en Segu-Info la publicación de las modificaciones en la norma ISO 27001:2005 hacia la ISO 27001:2013. El tema de la legislación, normativas e informes es quizás uno de los que menos nos gusta desde un perfil técnico, pero es imprescindible tratar de mantenerte un poco actualizado al menos en la parte que tengamos que desarrollar, aquí os dejo una imagen con las actualizaciones de los nuevos controles técnicos y el enlace para descargar la publicación de las modificaciones.

Resumen de Recursos

Transition Guide ISO/IEC 27001

Artículo en Segu-Info: Publicada la nueva norma ISO 27001:2013

Seguridad a lo Jabalí para Todos!!

Politica de Seguridad RFC 2196

Hoy en día parece ser que los medios de comunicación y muchos usuarios tecnológicos se preocupan cada vez más por la seguridad informática. Pero para dar respuesta a las preguntas de todas esas personas, las empresas que estén interesadas en asesoramiento y en general conseguir que se implante y mejore la seguridad es muy importante utilizar algún tipo de metodología.

Muchas veces las personas que reúnen más conocimientos técnicos sobre seguridad y mejor podrían asesorar en esos temas no conocen una metodología para analizar, explicar, implantar y generar documentación adecuada. Otras veces los responsables de consultoría informática terminan siendo profesionales de otros campos, mas orientados a normativas o con un carácter más comercial, tristemente en muchas ocasiones con un perfil técnico muy bajo, un mal asesoramiento en seguridad y unas cuantas palabras “malware, troyano, keylogger (esta se usa mucho)”.

Por eso es importante que aunque no nos guste, conozcamos y manejemos las distintas metodologías para cumplir las leyes, presentar informes, y sobre todo realizar un plan de seguridad de calidad. Normalmente una de las documentaciones más completas seria la implantación de la ISO 27001 aunque no siempre es necesario aplicar todos estos pasos para un plan de seguridad, está bien conocer la metodología, pero como hoy es lunes no quiero asustar a nadie así que os dejo el enlace a la RFC de las políticas de seguridad.

Políticas de Seguridad RFC 2196

Seguridad a lo Jabalí para Todos!!