Mimecast Logo
Obtenga una cotización

    Las 10 normas de seguridad en la nube que debe conocer

    Las normas de seguridad en la nube proporcionan directrices coherentes para proteger los datos sensibles y gestionar los riesgos. Descubra las 10 principales y cómo cumplirlas en esta guía.
    Programe una demostración
    Normas de seguridad en la nube
    Programe una demostración
    Puntos clave

    Qué aprenderá en este artículo

    • Las normas de seguridad en la nube proporcionan marcos y directrices coherentes para proteger los datos confidenciales y gestionar los riesgos en los complejos entornos de la nube.
    • La adhesión a estas normas garantiza el cumplimiento de la normativa, la integridad operativa y la confianza entre los proveedores de la nube y los clientes.
    • Marcos como ISO 27017, CSA CCM, PCI DSS y FedRAMP definen las mejores prácticas para la seguridad de los datos, la gobernanza y la preparación para las auditorías.
    • La aplicación de normas reconocidas refuerza la postura de seguridad de una organización, reduce la exposición a las amenazas y respalda el cumplimiento continuo de la normativa sobre la nube.
    • Las soluciones integradas de protección y gobernanza de Mimecast ayudan a las empresas a cumplir eficazmente los cambiantes requisitos de seguridad en la nube.

    ¿Qué son las normas de seguridad en la nube?

    Las normas de seguridad en la nube son marcos estructurados que describen cómo las organizaciones protegen y gestionan los datos en los entornos de computación en nube. Establecen los controles de seguridad, los procesos y las medidas de gobernanza de datos necesarios para impedir el acceso no autorizado, reducir los riesgos de seguridad y cumplir los requisitos normativos.

    Estas normas combinan medidas técnicas, de procedimiento y organizativas, desde el control de acceso y la encriptación hasta la respuesta ante incidentes y la gestión de riesgos. Su propósito es garantizar que los datos almacenados y procesados en la nube permanezcan seguros, privados y conformes con las normativas pertinentes.

    Las normas de seguridad de la nube se aplican en todas las capas de la infraestructura de la nube, incluidas IaaS, PaaS y SaaS. Independientemente de que una organización recurra a servicios de nube pública, privada o híbrida, la adhesión a estos marcos favorece la coherencia y la responsabilidad.

    Gartner® Cuadrante Mágico™: Mimecast nombrado líder

    Mimecast ha sido reconocida por su Visión Completa y su Capacidad de Ejecución en el informe sobre Gobernanza y Archivo de las Comunicaciones Digitales 2025.
    Obtenga el informe

    1. ISO/IEC 27017

    ISO/IEC 27017 es una extensión de ISO 27001 diseñada específicamente para proveedores y clientes de servicios en la nube. Se centra en definir las responsabilidades compartidas entre ambas partes para salvaguardar la información almacenada o procesada en la nube.

    La norma proporciona controles detallados para gestionar los activos de la nube, proteger las máquinas virtuales y asegurar los entornos multiusuario. Mejora la colaboración clarificando las funciones de seguridad, un paso esencial para evitar configuraciones erróneas y la exposición de datos. La implantación de la norma ISO 27017 fomenta la transparencia y mejora la confianza en las operaciones globales en la nube, alineando a las organizaciones con las mejores prácticas internacionales.

    2. ISO/IEC 27018

    La norma ISO/IEC 27018 se centra en la protección de la información personal identificable (IPI) en entornos de nube pública. Complementa leyes de protección de datos como el Reglamento General de Protección de Datos (RGPD ) al hacer hincapié en la privacidad y la responsabilidad en el tratamiento de los datos.

    Esboza los controles para la gestión del consentimiento, la retención de datos y la eliminación, garantizando que los proveedores de la nube procesen los datos personales de forma responsable. Para las organizaciones que alojan datos de clientes en la nube, la norma ISO 27018 genera confianza al reforzar los compromisos de privacidad y evitar el uso no autorizado de los datos.

    3. NIST SP 500-291

    Desarrollado por el Instituto Nacional de Estándares y Tecnología de EE.UU., el NIST SP 500-291 proporciona directrices para asegurar los entornos de computación en nube. Define la arquitectura de referencia para los sistemas en nube e introduce principios clave para la evaluación de la seguridad y la interoperabilidad.

    El marco apoya una gestión coherente de los riesgos en todas las implantaciones federales y empresariales. Ayuda a las organizaciones a identificar vulnerabilidades, aplicar prácticas de seguridad uniformes y garantizar que la infraestructura de la nube cumple las normas federales y los requisitos del sector.

    4. CSA CCM

    La Matriz de Controles en la Nube de la Cloud Security Alliance (CSA CCM) es uno de los marcos más ampliamente adoptados para el mapeo de controles específicos de la nube. Se alinea directamente con múltiples normas internacionales, proporcionando un modelo unificado para evaluar y mejorar la seguridad de la nube.

    La Matriz de Controles de la Nube ayuda a las organizaciones a evaluar la madurez de sus dominios de seguridad, asegurando la alineación entre los controles internos y los requisitos de cumplimiento externos. Resulta especialmente valioso para evaluar comparativamente los productos de la nube, agilizar las auditorías y mejorar la gobernanza de la ciberseguridad en los sistemas distribuidos.

    5. SOC 2

    SOC 2, desarrollado por el Instituto Americano de CPA, evalúa la adhesión de una organización a los Criterios de Servicios Fiduciarios: seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad.

    Esta norma es esencial para los proveedores de servicios en la nube que gestionan o almacenan información sensible en nombre de clientes. Las auditorías SOC 2 garantizan la existencia de salvaguardas adecuadas, lo que refuerza la confianza de los clientes y permite el cumplimiento de los contratos. También ayuda a las organizaciones a demostrar su responsabilidad durante las evaluaciones de proveedores o los procesos de adquisición.

    6. ISO/IEC 22301

    La norma ISO/IEC 22301 aborda la gestión de la continuidad del negocio (BCM), que es un aspecto esencial de la resistencia de la nube. Orienta a las organizaciones en la planificación, el mantenimiento y la mejora de su respuesta a los incidentes que interrumpen los servicios en la nube.

    La norma mejora la resistencia operativa garantizando que las organizaciones puedan recuperar rápidamente los sistemas y datos críticos tras un fallo o una brecha. La implantación de la norma ISO 22301 minimiza el tiempo de inactividad, protege la reputación de la marca y respalda la entrega continua de aplicaciones en la nube a clientes y socios.

    7. PCI DSS

    PCI DSS es la norma de seguridad mundial para las organizaciones que manejan transacciones con tarjetas de crédito o datos de pago dentro de la infraestructura de la nube. Establece estrictos requisitos técnicos y operativos para proteger la información de los titulares de tarjetas.

    Siguiendo la norma PCI DSS, las organizaciones pueden mitigar el fraude, evitar las infracciones y mantener el cumplimiento de la normativa financiera. Para las implantaciones en la nube, el marco exige segmentación, cifrado y autenticación segura. Es indispensable para las plataformas de comercio electrónico y los procesadores de pagos que operan en entornos compartidos o híbridos.

    8. FedRAMP

    FedRAMP (Programa Federal de Gestión de Riesgos y Autorizaciones) proporciona un enfoque estandarizado para la evaluación de la seguridad, la autorización y la supervisión continua de las soluciones en la nube utilizadas por las agencias federales.

    Este marco garantiza que todos los servicios en la nube adoptados por el gobierno estadounidense cumplan los estrictos requisitos normativos de confidencialidad, integridad y disponibilidad. Para los proveedores, conseguir la autorización FedRAMP agiliza el compromiso con los clientes gubernamentales y mejora la credibilidad en el sector público.

    9. Controles CIS

    Los controles del Centro para la Seguridad en Internet (CIS) definen un conjunto priorizado de mejores prácticas para proteger los entornos informáticos y en la nube. Los controles abordan amenazas a la seguridad como el malware, las fugas de datos y el compromiso de cuentas.

    Los controles CIS proporcionan orientación técnica y práctica para defenderse de los vectores de ataque más comunes. Están estructurados para ayudar a las organizaciones a reforzar la gestión de accesos, parchear vulnerabilidades y supervisar anomalías, mejorando la postura defensiva y reduciendo la exposición a incidentes de ciberseguridad.

    10. Regla de seguridad de la HIPAA

    La Regla de Seguridad de la HIPAA establece salvaguardias para la información sanitaria electrónica protegida (ePHI) gestionada en entornos de computación en nube. Impone protecciones administrativas, físicas y técnicas para evitar el uso indebido o la divulgación.

    Las organizaciones sanitarias que utilizan tecnología en la nube deben respetar la ley HIPAA para proteger los datos de los pacientes y garantizar el cumplimiento de las leyes federales sobre privacidad. La aplicación de estas medidas ayuda a reducir los riesgos de seguridad, mantener la confianza de los pacientes y evitar costosas sanciones por parte de las autoridades reguladoras.

    Cómo soporta Mimecast los estándares de seguridad en la nube

    Mimecast simplifica el cumplimiento de los marcos globales al integrar la gobernanza, la visibilidad y la seguridad de los datos en una plataforma unificada. Mediante la detección avanzada de amenazas, la aplicación automatizada de políticas y la supervisión centralizada, Mimecast ayuda a las organizaciones a alinearse con las normas internacionales, desde ISO hasta CSA CCM.

    Mimecast ayuda a las organizaciones:

    • Simplifique la supervisión: Los cuadros de mando centralizados realizan un seguimiento del cumplimiento de la normativa en todos los entornos multi-nube.
    • Reduzca la exposición al riesgo: El análisis impulsado por IA identifica las vulnerabilidades y bloquea las amenazas antes de que escalen.
    • Automatice la aplicación: La supervisión continua garantiza que las configuraciones y el comportamiento de los usuarios se ajustan a la política.
    • Agilice las auditorías: Los informes y los registros de auditoría incorporados respaldan la validación del cumplimiento con un esfuerzo mínimo.

    El enfoque de Mimecast transforma el cumplimiento de una tarea reactiva en un modelo de gobernanza continua. Al mantener una aplicación coherente en todas las plataformas, las organizaciones refuerzan la resistencia, demuestran su responsabilidad y cumplen las normas más estrictas de seguridad en la nube.

    Explore las soluciones de seguridad y cumplimiento en la nube de Mimecast para ver cómo la nube.

    Explore las soluciones de gobernanza de datos

    Recursos relacionados con las normas de seguridad en la nube

    Resources_08.jpg
    Data Compliance Governance

    2025 Gartner® Cuadrante Mágico™ para soluciones de gobernanza y archivo de comunicaciones digitales

    Analyst Report
    Resources_03.jpg
    Data Compliance Governance

    Governance, Compliance & Insights: Mimecast & Microsoft

    Whitepaper
    Resources_36.jpg
    Data Compliance Governance

    Asegurar la capa humana: Accesibilidad en el software

    Podcast
    Back to Top