Las empresas tienen más datos y activos digitales que nunca, y el panorama empresarial de Singapur está inundado de proveedores de servicios en la nube y centros de datos que ayudan a las organizaciones a almacenar sus datos y a proporcionar aplicaciones y software para ejecutar sus operaciones. El tiempo de inactividad del sistema o la pérdida de datos por parte de un proveedor de servicios en la nube o un centro de datos puede tener un impacto significativo en la capacidad de una organización para entregar sus productos y servicios. Por ello, la Autoridad de Desarrollo de Medios de Infocomm (IMDA) ha introducido nuevas directrices consultivas tanto para los proveedores de servicios en la nube como para los centros de datos.

Aunque esta guía aún no es obligatoria, es aconsejable que los proveedores de servicios en la nube y los centros de datos de Singapur armonicen sus procesos con las directrices consultivas para garantizar que prestan servicios fiables que protejan los datos de los clientes. En este blog analizamos lo que significa la nueva guía tanto para los proveedores de servicios en la nube como para los centros de datos y detallamos cómo puede implementar procesos de mejores prácticas para la gestión de riesgos cibernéticos, la gestión de incidentes cibernéticos, la gobernanza y los controles para ajustarse a los requisitos.

 

¿Cuáles son las directrices consultivas de la IMDA para los proveedores de servicios en la nube?
Las directrices consultivas de la IMDA para los proveedores de servicios en la nube están diseñadas para armonizarse con las normas de seguridad de TI existentes, como la ISO 22301 y la ISO 27001. Se dividen en 7 áreas de enfoque principales:

  1. Medidas de gobernanza de la nube: Esta sección abarca la gestión de la seguridad de la información, las funciones y responsabilidades, la gestión de riesgos, el riesgo de terceros, el cumplimiento normativo, la gobernanza de datos, las políticas de uso aceptable, la implementación de un SGSI, la gestión de incidentes cibernéticos y la implementación de controles de gobernanza de datos, etc.
  2. Seguridad de la infraestructura de la nube: Esta sección describe las medidas relativas al registro de auditoría, el seguimiento de usuarios y el acceso de seguridad. También proporciona orientación sobre la configuración segura del control de seguridad, las pruebas de seguridad, el desarrollo de sistemas y el cifrado.
  3. Gestión de operaciones en la nube: Esta sección comparte medidas relativas a las operaciones, el control de seguridad, las políticas, los procedimientos, las medidas de resiliencia y la gestión de cambios.
  4. Administración de servicios en la nube: Esta sección estipula la orientación sobre la gestión de cuentas privilegiadas mediante la implementación de controles y procesos de gobernanza.
  5. Acceso de los clientes al servicio en la nube: Esta sección incluye medidas relativas a los controles de acceso de los usuarios para los clientes que requieren la implementación de controles, políticas y procedimientos de gobernanza.
  6. Aislamiento de la tenencia y del cliente: Esta sección incluye medidas relativas al aislamiento de la tenencia y del cliente que requieren controles y políticas de aislamiento del acceso de los usuarios para garantizar que los clientes no representen una amenaza entre sí.
  7. Resiliencia de la nube: Esta sección describe las medidas para establecer controles e implementar la gobernanza con el fin de garantizar la seguridad física y ambiental, así como para implementar planes de continuidad del negocio y recuperación ante desastres.

Lea la guía completa de la IMDA para proveedores de servicios en la nube.

¿Cuáles son las directrices consultivas de la IMDA para los centros de datos?
Las directrices consultivas de la IMDA quieren que los centros de datos se centren en la gestión de una variedad de factores de riesgo diferentes para garantizar que los centros de datos sigan operativos. Esto incluye:

  • Riesgo de infraestructura: Relacionado con la energía, la refrigeración, la conectividad y la seguridad del edificio.
  • Riesgo de gobernanza: Relacionado con operaciones sólidas, resolución rápida de incidentes y protocolos de gestión de cambios.
  • Riesgo cibernético: Relacionado con los ciberataques y la necesidad de controles suficientes.

Las directrices sugieren que los centros de datos deben implementar un sistema de gestión de la continuidad del negocio para resolver incidentes inesperados y adoptar un bucle de proceso continuo de Planificar, Hacer, Verificar y Actuar para mantener y mejorar continuamente las medidas de resiliencia y seguridad. La guía de la IMDA también sugiere que las empresas deben implementar medidas para gestionar el riesgo de ciberseguridad, mediante la implementación de un Sistema de Gestión de la Seguridad de la Información (SGSI), controles y políticas eficaces. También deben garantizar que todos los proveedores de servicios externos se ajusten a las políticas, normas, procedimientos y obligaciones contractuales pertinentes en materia de seguridad de la información y gestión de riesgos mediante revisiones periódicas, lo que hace que un programa sólido de gestión de riesgos de terceros sea esencial.

Lea la guía completa de la IMDA para centros de datos.

¿Cómo pueden los proveedores de servicios en la nube y los centros de datos implementar procesos para ajustarse a la guía de la IMDA?
Muchos de los requisitos descritos en la guía de la IMDA exigen que las empresas cuenten con procedimientos de mejores prácticas para la gestión de riesgos cibernéticos, la gestión de incidentes cibernéticos y la continuidad del negocio y la recuperación ante desastres. Muchos de los requisitos también exigen que los proveedores de servicios en la nube y los centros de datos implementen procedimientos estrictos de gobernanza, controles de ciberseguridad y políticas. Los proveedores de servicios en la nube y los centros de datos también deben tener medidas implementadas para gestionar los riesgos asociados con los proveedores de servicios externos.

Afortunadamente para los proveedores de servicios en la nube y los centros de datos, existen plataformas de software disponibles que ofrecen un marco de mejores prácticas para gestionar todas estas áreas. Así es como funciona…

Gestión de riesgos cibernéticos: Las empresas pueden utilizar software para crear un registro de riesgos cibernéticos en la plataforma. Cada riesgo potencial se clasifica y califica en función de su probabilidad y gravedad, y se definen los indicadores clave de riesgo (KRI). A continuación, se supervisan los niveles de riesgo para garantizar que se mantienen dentro del apetito de riesgo deseado. Si los niveles de riesgo superan los niveles tolerables, se alerta al personal y los flujos de trabajo automatizados les permiten escalar el riesgo e implementar acciones de remediación. Los niveles de riesgo se supervisan de varias maneras. El personal puede completar formularios de evaluación de riesgos en línea, los flujos de trabajo automatizados hacen circular los formularios y todos los datos se introducen en la plataforma. Alternativamente, la plataforma puede integrarse con sus otros sistemas y datos de TI a través de integraciones de API y extraer datos operativos en la plataforma que se pueden utilizar para rastrear los niveles de riesgo.

 

Controles: Por supuesto, para gestionar los niveles de riesgo y el cumplimiento de la ciberseguridad, las empresas deben implementar una variedad de controles. Los controles pueden ser una política o un procedimiento, pueden ser una comprobación o prueba periódica, o pueden ser medidas de seguridad de TI como firewalls, copias de seguridad o cifrado. Cualquiera que sea el control, debe documentarse, asignarse al riesgo o requisito regulatorio relevante, y comprobarse y probarse regularmente. Mediante el uso de software GRC, las empresas pueden crear una biblioteca de control y asignar fácilmente los controles a los riesgos o regulaciones relevantes. El software también puede automatizar todo el proceso de comprobación y prueba de control, los flujos de trabajo automatizados notifican al personal cuándo vencen las comprobaciones y pruebas de control, y completan la información en la plataforma. Esto permite a los equipos de liderazgo comprender fácilmente si los controles son efectivos.

 

Gestión de incidentes cibernéticos: El software también puede automatizar el proceso de gestión de incidentes cibernéticos. Las empresas simplemente registran los incidentes cibernéticos en la plataforma o, en algunos casos, los incidentes se pueden crear en función de los tickets en su función de soporte de TI existente. Los formularios se adaptan dinámicamente en función del tipo de incidente registrado para garantizar que se puedan capturar los datos relevantes, también se pueden agregar fotos, grabaciones de voz, URL y archivos como evidencia. Una vez que se registra un incidente, los flujos de trabajo automatizados escalan el incidente a las partes interesadas relevantes y capturan todas las acciones de remediación, los pasos y cualquier análisis de causa raíz necesario hasta que se resuelve el incidente. El sistema puede integrarse con su directorio activo, lo que le permite asignar personal, sitios y equipos a incidentes relacionados. La administración puede ver fácilmente la fuente de los incidentes recurrentes, lo que les permite implementar medidas preventivas. También pueden comprender el progreso de los incidentes y comprender qué incidentes están abiertos o pendientes. Cuando se utiliza el software GRC para la gestión de incidentes cibernéticos, los incidentes se pueden asignar fácilmente a cualquier riesgo o requisito regulatorio asociado.

 

Gestión de políticas cibernéticas y de TI: El software también se puede utilizar para centralizar su biblioteca de políticas de TI. Una vez que se crea una política, se carga en el sistema, capturando detalles críticos sobre el propietario, la aplicabilidad y las fechas de vencimiento o revisión. Se utilizan flujos de trabajo automatizados para automatizar la política, las aprobaciones, las escalaciones, los cambios y las revisiones. El personal siempre sabe qué política es actual, puede ver copias anteriores para el control de versiones, e incluso puede dar fe de las políticas en línea para confirmar que han leído y comprendido la política.

 

Continuidad del negocio y resiliencia: El software también se puede utilizar para automatizar la continuidad del negocio y la resiliencia. Las organizaciones crean un registro de procesos de negocio para identificar sus procesos críticos y cualquier dependencia o ineficiencia. El software también se puede utilizar para automatizar las evaluaciones de impacto empresarial. Los flujos de trabajo envían formularios BIA y el personal los completa en línea. Las actualizaciones periódicas del plan también se pueden automatizar. Los flujos de trabajo están configurados para solicitar al personal que verifique y actualice los planes para su área de forma regular, lo que garantiza que los planes sigan siendo actuales. También puede utilizar la plataforma BCM para llevar a cabo ejercicios de prueba de resiliencia contra diferentes escenarios y vulnerabilidades para identificar brechas. Estas plataformas suelen ofrecer módulos complementarios para la gestión de crisis y la comunicación de emergencia para garantizar que las organizaciones puedan comunicarse eficazmente con el personal en una crisis. Algunas soluciones incluso ofrecen integraciones con proveedores de inteligencia de amenazas de terceros para ofrecer información sobre las amenazas emergentes.

 

Gestión de riesgos de terceros: Muchas plataformas de software GRC también pueden automatizar la gestión de riesgos de terceros. Las empresas configuran un registro de proveedores en la plataforma que captura detalles críticos sobre cada proveedor, incluidos el costo, los contactos clave, los SLA, los KPI y los términos del contrato. El sistema automatiza el proceso de evaluación de riesgos del proveedor. La automatización del flujo de trabajo envía notificaciones a los proveedores para que completen las evaluaciones de riesgos a través de un portal en línea con todos los datos que se introducen en la plataforma. El rendimiento del proveedor también se rastrea con respecto a los SLA y los KPI extrayendo datos transaccionales y operativos en la plataforma a través de integraciones de API. Muchas soluciones de riesgo de terceros se integran con proveedores de inteligencia de riesgos de terceros para alertar a las empresas cuando sus proveedores llegan a los titulares por las razones equivocadas. Estos sistemas también formalizan el proceso de incorporación y desincorporación para garantizar que no se omitan las cláusulas contractuales. Todo este proceso garantiza que los proveedores de servicios en la nube y los centros de datos estén trabajando con terceros de buena reputación.

 

Por qué los proveedores de servicios en la nube y los centros de datos deben actuar ahora para alinear los procesos con la guía de la IMDA
Aunque las directrices consultivas de la IMDA no son obligatorias, los proveedores de servicios en la nube y los centros de datos deben seguir la guía para protegerse de riesgos e incidentes inesperados y garantizar que sus servicios sigan operativos. Dado que muchas empresas confían en un modelo operativo en gran medida digital, los proveedores de servicios en la nube y los centros de datos forman parte de nuestra infraestructura crítica, y una violación o falla de datos podría ser catastrófica para los afectados. Seguir esta guía también es probable que asegure nuevos negocios para los proveedores de servicios en la nube y los centros de datos, ya que pueden demostrar que tienen medidas de seguridad adecuadas para proteger los datos del cliente y garantizar que sigan operativos en una crisis.

Si su organización está buscando implementar procesos de mejores prácticas para la gestión de riesgos cibernéticos, la gestión de incidentes cibernéticos, la gestión de riesgos de terceros, la continuidad del negocio y la resiliencia, y la gobernanza, los controles y las políticas cibernéticas, póngase en contacto con nosotros hoy mismo o solicite una demostración.