Articulo de referencia

seguridad en la computación en la nube

La seguridad en la nube , o simplemente seguridad en la nube, se refiere a un amplio conjunto de políticas, tecnologías, aplicaciones y controles utilizados para proteger los da...

La seguridad en la nube , o simplemente seguridad en la nube, se refiere a un amplio conjunto de políticas, tecnologías, aplicaciones y controles utilizados para proteger los datos, las aplicaciones, los servicios y la infraestructura asociada de la computación en la nube . Es un subdominio de la seguridad informática , la seguridad de redes y, en términos más generales, la seguridad de la información .

Problemas de seguridad asociados a la nube

La computación y el almacenamiento en la nube brindan a los usuarios la capacidad de almacenar y procesar sus datos en centros de datos de terceros . [ 1 ] Las organizaciones utilizan la nube en una variedad de modelos de servicio (por ejemplo, SaaS , PaaS , IaaS ) y modelos de implementación ( privada , pública , híbrida y comunitaria ). [ 2 ]

Las preocupaciones de seguridad asociadas con la computación en la nube generalmente se dividen en problemas que enfrentan los proveedores de la nube y aquellos que enfrentan sus clientes. [ 3 ] La responsabilidad es compartida y a menudo se describe en el "modelo de responsabilidad compartida" de un proveedor. [ 4 ] [ 5 ] [ 6 ] El proveedor debe proteger su infraestructura, mientras que los clientes deben proteger sus aplicaciones, identidades y configuraciones. [ 5 ] [ 6 ]

Los análisis de incidentes en la nube a gran escala indican que muchas brechas de seguridad se deben a configuraciones incorrectas y a exposiciones que no se han corregido durante mucho tiempo, en lugar de deberse únicamente a vulnerabilidades de día cero.

Cuando una organización almacena datos o aloja aplicaciones en la nube pública, pierde el acceso físico al hardware. Como resultado, los datos potencialmente confidenciales pueden estar en riesgo de sufrir ataques internos. Según un informe de la Cloud Security Alliance de 2010 , los ataques internos se encuentran entre las principales amenazas en la computación en la nube. [ 7 ] Los proveedores de servicios en la nube deben garantizar que se realicen verificaciones exhaustivas de antecedentes a los empleados con acceso físico a los centros de datos.

Para conservar recursos y reducir costos, los proveedores de servicios en la nube suelen almacenar los datos de varios clientes en el mismo servidor. Como resultado, los datos privados de un usuario podrían ser accesibles para otro sin el aislamiento adecuado. [ 2 ] Los proveedores implementan el aislamiento de datos y la segregación lógica para mitigar estos riesgos.

El uso extensivo de la virtualización en la infraestructura de la nube plantea problemas de seguridad únicos. [ 8 ] La virtualización introduce una capa adicional —el hipervisor— que debe estar protegida y configurada correctamente. [ 9 ] Una vulneración del sistema de gestión del hipervisor puede afectar a todo un centro de datos. [ 10 ]

controles de seguridad en la nube

La arquitectura de seguridad en la nube solo es efectiva si se implementan las medidas defensivas adecuadas. Una arquitectura de seguridad eficiente debe reconocer los problemas que surgirán con la gestión de la seguridad y seguir las mejores prácticas, procedimientos y directrices para garantizar un entorno seguro en la nube. La gestión de la seguridad aborda estos problemas mediante controles de seguridad. Estos controles protegen los entornos en la nube y se implementan para salvaguardar cualquier vulnerabilidad del sistema y reducir el impacto de un ataque.

Controles disuasorios
Mecanismos administrativos destinados a reducir los ataques informando a los atacantes de las consecuencias. [ 11 ]
Controles preventivos
Controles diseñados para reducir las vulnerabilidades y prevenir el acceso no autorizado. [ 12 ]
Controles de detective
Controles que detectan y responden a eventos de seguridad. Incluye monitoreo, SIEM, IDS/IPS, detección de malware. [ 13 ]
Controles correctivos
Controles que reducen el impacto de un incidente y restauran los sistemas. [ 14 ]

Dimensiones de la seguridad en la nube

La ingeniería de seguridad en la nube se caracteriza por las capas de seguridad, el plan, el diseño, la programación y las mejores prácticas que existen dentro de una configuración de seguridad en la nube. La ingeniería de seguridad en la nube requiere que el modelo estructurado y visual (diseño e interfaz de usuario) se defina mediante las tareas dentro de la nube. Este proceso de ingeniería de seguridad en la nube incluye aspectos como la gestión de acceso, las técnicas y los controles para proteger las aplicaciones y la información. También incluye métodos para gestionar y mantener la permeabilidad, la coherencia, la postura ante riesgos y la seguridad general. Los procesos para comunicar estándares de seguridad a los servicios y actividades en la nube adoptan un enfoque que cumple con las directrices coherentes y los componentes esenciales de seguridad de la infraestructura. [ 15 ]

Si bien la computación en la nube no es un concepto nuevo, las organizaciones la están adoptando cada vez más debido a su escalabilidad flexible, su relativa confiabilidad y la rentabilidad de sus servicios. Sin embargo, a pesar de su rápida adopción en algunos sectores y disciplinas, las investigaciones y las estadísticas indican que los problemas de seguridad siguen siendo un obstáculo importante para su plena adopción.

Generalmente se recomienda que los controles de seguridad de la información se seleccionen e implementen en proporción a los riesgos, normalmente evaluando las amenazas, vulnerabilidades e impactos. Las preocupaciones de seguridad en la nube se pueden agrupar de varias maneras; Gartner identificó siete, mientras que la Cloud Security Alliance identificó doce áreas de preocupación. [ 16 ] [ 17 ] Los agentes de seguridad de acceso a la nube (CASB) son software que se sitúa entre los usuarios de la nube y las aplicaciones en la nube para proporcionar visibilidad del uso de las aplicaciones en la nube, la protección de datos y la gobernanza para supervisar toda la actividad y hacer cumplir las políticas de seguridad. [ 18 ]

Seguridad y privacidad

Cualquier servicio sin un entorno reforzado se considera un objetivo vulnerable. Los servidores virtuales deben protegerse, al igual que un servidor físico, contra fugas de datos , malware y vulnerabilidades explotadas. «La pérdida o fuga de datos representa el 24,6  % y el malware relacionado con la nube el 3,4  % de las amenazas que provocan interrupciones en la nube». [ 19 ]

Gestión de identidades

Cada empresa tendrá su propio sistema de gestión de identidades para controlar el acceso a la información y a los recursos informáticos. Los proveedores de servicios en la nube integran el sistema de gestión de identidades del cliente en su propia infraestructura, utilizando tecnología de federación o SSO o un sistema de identificación biométrica, [ 1 ] o bien proporcionan su propio sistema de gestión de identidades.

Seguridad física

Los proveedores de servicios en la nube protegen físicamente el hardware informático (servidores, enrutadores, cables, etc.) contra el acceso no autorizado, las interferencias, el robo, el incendio, las inundaciones, etc., y garantizan que los suministros esenciales (como la electricidad) sean lo suficientemente robustos para minimizar la posibilidad de interrupciones.

Seguridad del personal

Las diversas preocupaciones relacionadas con la seguridad de la información del personal que participa en los servicios en la nube se suelen abordar mediante la selección de personal, la formación en concienciación sobre seguridad y los controles de acceso basados ​​en roles.

Privacidad

Los proveedores garantizan que todos los datos críticos (como los números de tarjetas de crédito) estén enmascarados o cifrados y que solo los usuarios autorizados tengan acceso completo a ellos. Además, deben protegerse las identidades y credenciales digitales, así como cualquier dato que el proveedor recopile o genere sobre la actividad del cliente en la nube.

Pruebas de penetración

Las pruebas de penetración consisten en realizar pruebas de seguridad ofensivas en un sistema, servicio o red informática para detectar vulnerabilidades. Dado que la nube es un entorno compartido con otros clientes o usuarios, es obligatorio seguir las normas de las pruebas de penetración paso a paso. El escaneo y las pruebas de penetración, tanto desde dentro como desde fuera de la nube, deben estar autorizados por el proveedor de la nube. [ 20 ]

Pruebas de vulnerabilidad y penetración en la nube

Es fundamental analizar la nube desde dentro y desde fuera utilizando herramientas gratuitas o comerciales. Sin un entorno seguro, su servicio se considera un objetivo vulnerable. Los servidores virtuales deben estar protegidos, al igual que un servidor físico, contra fugas de datos , malware y vulnerabilidades explotadas. «La pérdida o fuga de datos representa el 24,6  % y el malware relacionado con la nube el 3,4  % de las amenazas que provocan interrupciones en la nube».

La legislación sobre privacidad suele variar según el país. Al almacenar información en la nube, resulta difícil determinar bajo qué jurisdicción se encuentran los datos. Las nubes transfronterizas son populares, dado que las mayores empresas operan en varios países. Los dilemas legales derivados de la ambigüedad de la nube se refieren a las diferencias en la legislación sobre el intercambio de datos entre organizaciones y dentro de ellas. [ 21 ]

Acceso no autorizado a la interfaz de administración

Debido a la naturaleza autónoma de la nube, a menudo se proporcionan a los consumidores interfaces de administración para supervisar sus bases de datos. Al centralizar los controles y facilitar el acceso a la interfaz para mayor comodidad del usuario, existe la posibilidad de que un único actor acceda a la interfaz de administración de la nube, lo que le otorgaría el control de gran parte del sistema. [ 22 ]

Vulnerabilidades en la recuperación de datos

El uso de la agrupación de recursos en la nube implica que los recursos de memoria o almacenamiento pueden reciclarse para otro usuario. Es posible que los usuarios actuales accedan a la información dejada por usuarios anteriores. [ 22 ]

Vulnerabilidades de Internet

Los servicios en la nube requieren conectividad a internet y utilizan protocolos de internet, lo que los hace vulnerables a ataques como los ataques de intermediario (man-in-the-middle) . Además, la gran dependencia de la conectividad a internet implica que las interrupciones o caídas del servicio pueden dejar a los usuarios completamente aislados. [ 22 ]

Vulnerabilidades de cifrado

A medida que los algoritmos de cifrado envejecen, surgen vulnerabilidades. Los proveedores de servicios en la nube deben mantenerse al día con los estándares de cifrado y migrar los sistemas antiguos antes de que se vean comprometidos. [ 23 ]

Cifrado

Algunos algoritmos de cifrado avanzados aplicados a la computación en la nube aumentan la protección de la privacidad. Mediante una práctica denominada criptodestrucción , las claves de cifrado se pueden eliminar cuando los datos ya no se utilizan.

Cifrado basado en atributos (ABE)

El cifrado basado en atributos es una forma de cifrado de clave pública en la que la clave secreta del usuario y el texto cifrado dependen de atributos (por ejemplo, el país de residencia del usuario o su tipo de suscripción). En estos sistemas, el acceso al descifrado no depende simplemente de la identidad, sino de los atributos.

Algunas de las ventajas de ABE son que evita la necesidad de compartir claves explícitamente (como en la PKI tradicional) y el cifrado basado en identidad (IBE). Sin embargo, ABE presenta la complejidad de la redistribución de claves: dado que las claves de descifrado dependen de atributos en lugar de identidades, los usuarios malintencionados podrían filtrar información de atributos, lo que permitiría el acceso no autorizado. [ 24 ]

ABE con política de texto cifrado (CP-ABE)

En CP-ABE, el cifrador controla la política de acceso al texto cifrado. El proceso incluye algoritmos de configuración, cifrado, generación de claves y descifrado; el cifrador define una estructura de acceso que debe coincidir con los atributos del usuario antes de que se permita el descifrado. [ 25 ]

ABE de política clave (KP-ABE)

En KP-ABE, el remitente cifra bajo un conjunto de atributos, y la clave privada del usuario se emite de acuerdo con una política que describe qué textos cifrados puede descifrar. KP-ABE transfiere parcialmente la responsabilidad del control de acceso al emisor de la clave en lugar de al cifrador. Si bien ofrece flexibilidad, la divulgación de la política puede debilitar las garantías de privacidad. [ 26 ]

Cifrado totalmente homomórfico (FHE)

El cifrado totalmente homomórfico permite realizar cálculos arbitrarios sobre el texto cifrado sin necesidad de descifrarlo. Se está consolidando como una opción de alta seguridad para entornos en la nube, incluidos los sistemas de votación. Si bien es prometedor, aún se encuentra en gran medida en fase experimental. [ 27 ]

Cifrado con capacidad de búsqueda (SE)

El cifrado con capacidad de búsqueda permite realizar búsquedas seguras en datos cifrados. Cuenta con variantes simétricas y de clave pública. Si bien admite funcionalidades sobre datos cifrados, introduce superficies de ataque adicionales, especialmente cuando se trata de indexación de atributos. [ 28 ]

Cumplimiento

Numerosas leyes y regulaciones rigen el almacenamiento y uso de datos. En Estados Unidos, estas incluyen leyes de privacidad y protección de datos, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA), la Ley Sarbanes-Oxley , la Ley Federal de Gestión de la Seguridad de la Información de 2002 (FISMA) y la Ley de Protección de la Privacidad Infantil en Línea de 1998. Existen estándares similares en otras jurisdicciones (por ejemplo, el Estándar de Seguridad en la Nube de Múltiples Niveles de Singapur ).

En distintas jurisdicciones legales pueden aplicarse leyes similares, las cuales pueden diferir notablemente de las de Estados Unidos. Los usuarios de servicios en la nube a menudo deben comprender las diferencias legales y regulatorias entre las jurisdicciones. Por ejemplo, los datos almacenados por un proveedor de servicios en la nube (CSP) pueden estar ubicados, digamos, en Singapur y replicados en Estados Unidos. [ 29 ]

Continuidad del negocio y recuperación de datos
Los proveedores de servicios en la nube cuentan con planes de continuidad del negocio y recuperación de datos para garantizar la continuidad del servicio y la protección de los datos. [ 30 ]
Registro y pista de auditoría
Además de generar registros y pistas de auditoría , los proveedores de servicios en la nube trabajan con sus clientes para proteger estos registros y garantizar que sean accesibles para la investigación forense (por ejemplo, el descubrimiento electrónico de pruebas ).
Requisitos de cumplimiento únicos
Además de los requisitos para los clientes, los centros de datos utilizados por los proveedores de servicios en la nube pueden estar sujetos a obligaciones de cumplimiento adicionales. El uso de un proveedor de servicios en la nube (CSP) puede generar preocupaciones adicionales de seguridad en torno a la jurisdicción de los datos, ya que los datos del cliente o inquilino pueden no permanecer en la misma ubicación o en la nube del proveedor. [ 31 ]
Los acuerdos de seguridad y privacidad de los proveedores de servicios en la nube deben ajustarse a los requisitos del cliente y a la normativa vigente.

Además de los problemas de seguridad y cumplimiento ya mencionados, los proveedores de servicios en la nube y sus clientes negocian términos relacionados con la responsabilidad (estipulando, por ejemplo, cómo se resolverán los incidentes que impliquen pérdida o vulneración de datos), la propiedad intelectual y el fin del servicio (cuando los datos y las aplicaciones se devuelven finalmente al cliente). Estos temas suelen abordarse en los acuerdos de nivel de servicio (SLA). [ 32 ]

Registros públicos

Las cuestiones legales también pueden incluir los requisitos de mantenimiento de registros en el sector público , donde los organismos deben conservar y poner a disposición los registros electrónicos de una manera específica.

Véase también

Referencias

  1. 1 2 Haghighat, Mohammad; Zonouz, Saman; Abdel-Mottaleb, Mohamed (noviembre de 2015). "CloudID: identificación biométrica confiable basada en la nube y entre empresas". Expert Systems with Applications . 42 (21): 7905– 7916. doi : 10.1016/j.eswa.2015.06.025 . S2CID 30476498 . 
  2. 1 2 Srinivasan, Madhan Kumar; Sarukesi, K.; Rodrigues, Paul; Manoj, M. Sai; Revathy, P. (2012). "Taxonomías de seguridad de computación en la nube de última generación". Actas de la Conferencia Internacional sobre Avances en Computación, Comunicaciones e Informática - ICACCI '12 . págs. 470–476 . doi : 10.1145/2345396.2345474 . ISBN  978-1-4503-1196-0. S2CID 18507025 . 
  3. "Computación pantanosa, también conocida como computación en la nube" . Web Security Journal. 28 de diciembre de 2009. Archivado del original el 31 de agosto de 2019. Consultado el 25 de enero de 2010 .
  4. "Matriz de controles en la nube v4" (xlsx) . Cloud Security Alliance. 15 de marzo de 2021. Consultado el 21 de mayo de 2021 .
  5. 1 2 "Modelo de responsabilidad de seguridad compartida" . Navegando el cumplimiento del RGPD en AWS . AWS. Diciembre de 2020. Recuperado el 21 de mayo de 2021 .
  6. 1 2 C. Tozzi (24 de septiembre de 2020). "Evitando los escollos del modelo de responsabilidad compartida para la seguridad en la nube" . Blog de Palo Alto Networks . Recuperado el 21 de mayo de 2021 .
  7. "Principales amenazas para la computación en la nube v1.0" (PDF) . Cloud Security Alliance. Marzo de 2010. Consultado el 19 de septiembre de 2020 .
  8. Winkler, Vic. "Cloud Computing: Virtual Cloud Security Concerns" . Technet Magazine, Microsoft . Consultado el 12 de febrero de 2012 .
  9. Hickey, Kathleen (18 de marzo de 2010). "Nube oscura: un estudio revela riesgos de seguridad en la virtualización" . Noticias de seguridad gubernamental. Archivado del original el 30 de enero de 2012. Consultado el 12 de febrero de 2012 .
  10. Winkler, Joachim R. (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics . Elsevier. p. 59. ISBN  978-1-59749-592-9.
  11. Andress, Jason (2014). «Seguridad física». Los fundamentos de la seguridad de la información . págs. 131–149 . doi : 10.1016/B978-0-12-800744-0.00009-9 . ISBN  978-0-12-800744-0.
  12. Virtue, Timothy; Rainey, Justin (2015). "Evaluación del riesgo de la información". Guía de estudio HCISPP . págs. 131–166 . doi : 10.1016/B978-0-12-802043-2.00006-9 . ISBN  978-0-12-802043-2.
  13. "Controles de seguridad de detección" . 4 de diciembre de 2020. Consultado el 7 de diciembre de 2023 .
  14. "¿Qué son los controles de seguridad?" . 22 de agosto de 2019 . Consultado el 7 de diciembre de 2023 .
  15. "Arquitectura de seguridad en la nube" . GuidePoint Security LLC. 2023. Consultado el 6 de diciembre de 2023 .
  16. "Gartner: Siete riesgos de seguridad en la computación en la nube" . InfoWorld . 2 de julio de 2008. Consultado el 25 de enero de 2010 .
  17. "Principales amenazas para la computación en la nube y más: perspectivas de la industria" . Cloud Security Alliance. 2017-10-20 . Consultado el 2018-10-20 .
  18. "¿Qué es un CASB (Cloud Access Security Broker)?" . CipherCloud. Archivado del original el 31/08/2018 . Consultado el 30/08/2018 .
  19. Ahmad Dahari Bin Jarno; Shahrin Bin Baharom; Maryam Shahpasand (2017). "Limitaciones y desafíos de las pruebas de seguridad en la nube" (PDF) . Revista de Tecnología Aplicada e Innovación . 1 (2): 89–90 .
  20. Guarda, Teresa; Orozco, Walter; Augusto, María Fernanda; Morillo, Giovanna; Navarrete, Silvia Arévalo; Pinto, Filipe Mota (2016). "Pruebas de penetración en entornos virtuales". Actas de la Cuarta Conferencia Internacional sobre Seguridad de la Información y las Redes - ICINS '16 . págs. 9 a 12. doi : 10.1145/3026724.3026728 . ISBN  978-1-4503-4796-9. S2CID 14414621 . 
  21. Svantesson, Dan; Clarke, Roger (julio de 2010). "Privacidad y riesgos para el consumidor en la computación en la nube". Computer Law & Security Review . 26 (4): 391– 397. doi : 10.1016/j.clsr.2010.05.005 . hdl : 1885/57037 . S2CID 62515390 . 
  22. 1 2 3 Grobauer, Bernd; Walloschek, Tobias; Stocker, Elmar (marzo de 2011). "Comprensión de las vulnerabilidades de la computación en la nube". IEEE Security & Privacy . 9 (2): 50– 57. Bibcode : 2011ISPri...9b..50G . doi : 10.1109/MSP.2010.115 . S2CID 1156866 . 
  23. Rukavitsyn, Andrey N.; Borisenko, Konstantin A.; Holod, Ivan I.; Shorov, Andrey V. (2017). "Una solución de seguridad para computación en la nube basada en cifrado totalmente homomórfico". XX Conferencia Internacional IEEE de Computación Blanda y Mediciones (SCM) de 2017. pp. 272–274 . doi : 10.1109/SCM.2017.7970558 . ISBN  978-1-5386-1810-3. S2CID 40593182 . 
  24. ^ Xu, Shengmin; Yuan, Jiaming; Xu, Guowen; Li, Yingjiu; Liu, Ximeng; Zhang, Yinghui; Ying, Zuobin (octubre de 2020). "Cifrado eficiente basado en atributos de política de texto cifrado con trazabilidad de caja negra" . Ciencias de la Información . 538 : 19– 38. doi : 10.1016/j.ins.2020.05.115 . S2CID 224845384 . 
  25. Bethencourt, John; Sahai, Amit; Waters, Brent (mayo de 2007). «Cifrado basado en atributos con política de cifrado» (PDF) . Simposio IEEE de 2007 sobre seguridad y privacidad (SP '07) . págs. 321–334 . doi : 10.1109/SP.2007.11 . ISBN  978-0-7695-2848-9. S2CID 6282684 . 
  26. Wang, Chang-Ji; Luo, Jian-Fa (noviembre de 2012). «Un esquema de cifrado basado en atributos con política de clave y texto cifrado de tamaño constante». Octava Conferencia Internacional de 2012 sobre Inteligencia Computacional y Seguridad . págs. 447–451 . doi : 10.1109/CIS.2012.106 . ISBN  978-1-4673-4725-9. S2CID 1116590 . 
  27. Armknecht, Frederik; Katzenbeisser, Stefan; Peter, Andreas (2012). "Cifrado homomórfico de tipo desplazamiento y su aplicación al cifrado totalmente homomórfico" (PDF) . Avances en criptología – AFRICACRYPT 2012. Notas de clase en informática. Vol. 7374. págs. 234–251 . doi : 10.1007/978-3-642-31410-0_15 . ISBN   978-3-642-31409-4.
  28. Naveed, Muhammad; Prabhakaran, Manoj; Gunter, Carl A. (2014). "Cifrado dinámico con capacidad de búsqueda mediante almacenamiento ciego". Simposio IEEE de 2014 sobre seguridad y privacidad . págs. 639–654 . doi : 10.1109/SP.2014.47 . ISBN  978-1-4799-4686-0. S2CID 10910918 . 
  29. "Gestión de riesgos legales derivados de la computación en la nube" . DLA Piper. 29 de agosto de 2014. Consultado el 22 de noviembre de 2014 .
  30. "Es hora de explorar los beneficios de la recuperación ante desastres basada en la nube" . Dell.com. Archivado del original el 15 de mayo de 2012. Consultado el 26 de marzo de 2012 .
  31. Winkler, Joachim R. (2011). Securing the Cloud: Cloud Computer Security Techniques and Tactics . Elsevier. pp. 65, 68, 72, 81, 218–219 , 231, 240. ISBN  978-1-59749-592-9.
  32. Adams, Richard (2013). «El surgimiento del almacenamiento en la nube y la necesidad de un nuevo modelo de proceso forense digital» (PDF) . En Ruan, Keyun (ed.). Cibercrimen y análisis forense en la nube: aplicaciones para procesos de investigación . Information Science Reference. pp. 79–104 . ISBN  978-1-4666-2662-1.

Lecturas adicionales

  • Mowbray, Miranda (15 de abril de 2009). "La niebla sobre el pantano de Grimpen: computación en la nube y la ley" . SCRIPT-ed . 6 (1): 132– 146. doi : 10.2966/scrip.060109.132 .
  • Mather, Tim; Kumaraswamy, Subra; Latif, Shahed (2009). Seguridad y privacidad en la nube: una perspectiva empresarial sobre riesgos y cumplimiento . O'Reilly Media, Inc. ISBN 978-0-596-80276-9.
  • Winkler, Vic (2011). Asegurando la nube: Técnicas y tácticas de seguridad informática en la nube . Elsevier. ISBN 978-1-59749-592-9.
  • Ottenheimer, Davi (2012). Asegurando el entorno virtual: Cómo defender la empresa contra ataques . Wiley. ISBN 978-1-118-15548-6.
  • BS ISO/IEC 27017 : "Tecnología de la información. Técnicas de seguridad. Código de buenas prácticas para los controles de seguridad de la información basados ​​en ISO/IEC 27002 para servicios en la nube." (2015)
  • BS ISO/IEC 27018 : "Tecnología de la información. Técnicas de seguridad. Código de buenas prácticas para la protección de la información de identificación personal (IIP) en nubes públicas que actúan como procesadores de IIP." (2014)
  • BS ISO/IEC 27036-4 : "Tecnología de la información. Técnicas de seguridad. Seguridad de la información en las relaciones con proveedores. Directrices para la seguridad de los servicios en la nube" (2016)
  • Guía de requisitos de seguridad para la computación en la nube del Departamento de Defensa (CC SRG)

Archivo