Son innumerables las ventajas para los profesionales del Derecho de poder trabajar y colaborar a distancia en la nube, pero también es importante ser consciente de los retos y vulnerabilidades de seguridad asociados que conlleva la tecnología en la nube. Una violación de la seguridad o el incumplimiento de las directrices de cumplimiento específicas podría ponerte a ti y a tu equipo en riesgo de sufrir importantes problemas legales y financieros, por no mencionar el posible tiempo de inactividad y la pérdida de confianza de tus clientes.

La buena noticia es que muchos proveedores de servicios en la nube de buena reputación ofrecen a sus usuarios la posibilidad de confiar o "heredar" los controles de seguridad y cumplimiento que ya existen en la infraestructura de aplicaciones del proveedor. Para ayudarle mejor a usted y a su equipo jurídico a hacer la elección correcta de proveedores de servicios en la nube, hemos identificado 16 normas, certificaciones, informes de auditoría, reglamentos y atestados, así como leyes estadounidenses e internacionales, que deben buscarse como indicadores de que su trabajo con proveedores individuales de servicios en la nube es seguro y conforme. Cuantos más de estos "elementos de control" cumpla su proveedor, mejor posicionado estará para disponer de controles de seguridad y cumplimiento que beneficien y protejan a sus clientes de la nube, incluido su equipo jurídico.

16 controles de conformidad y seguridad que debe buscar en un proveedor de servicios en la nube

Esta lista de controles de conformidad y seguridad incluye la familia de normas y controles de la Organización Internacional de Normalización (ISO) 27000, reconocida en todo el mundo, así como normas internacionales con sede en Estados Unidos que no sólo son obligatorias en su estado o país de origen, sino que desde entonces han sido reconocidas más ampliamente como importantes puntos de referencia en materia de seguridad.

1. La norma ISO 27001 especifica los requisitos para establecer, implantar, mantener y mejorar continuamente un Sistema de Gestión de la Seguridad de la Información (SGSI) en el contexto de la organización.
2. La norma ISO 27017 proporciona orientación sobre los aspectos de seguridad de la información de la computación en nube y los servicios en nube, así como orientación adicional para la aplicación de los controles pertinentes especificados en la norma ISO/IEC 27002.
3. La norma ISO 27018 establece objetivos de control, controles y directrices comúnmente aceptados para la aplicación de medidas de protección de la información personal identificable (PII) de conformidad con los principios de privacidad de la norma ISO/IEC 29100 para el entorno de computación en nube pública.
4. ISO 27701 es una extensión de la norma ISO/IEC 27001 en materia de privacidad diseñada para mejorar el SGSI existente con requisitos adicionales para establecer, implantar, mantener y mejorar continuamente un Sistema de Gestión de la Información sobre Privacidad (SGIP). Además, los controles de la norma ISO 27701 abordan muchos de los requisitos del Reglamento General de Protección de Datos (RGPD) de la UE, por lo que la certificación de los controles de la norma ISO 27701 también puede utilizarse para validar de forma independiente el cumplimiento del RGPD.
5. Los informes SOC (Service Organization Controls ) ayudan a las empresas a establecer confianza en sus procesos y controles de prestación de servicios. Esto se consigue mediante información detallada y garantías sobre la capacidad de un proveedor de servicios en la nube para adherirse a algunos o todos los Principios de Confianza: seguridad, disponibilidad, privacidad, procesamiento, integridad y confidencialidad.
6. La Norma Federal de Procesamiento de la Información (FIPS) (140-3 ) especifica los requisitos de seguridad que deben cumplir los módulos criptográficos y es una norma fundamental cuando se trata de sectores muy regulados. Es importante tener en cuenta las diferencias entre FIPS 140-2, que cumple la norma de resistencia a la manipulación, y FIPS 140-3, que cumple la norma superior de prueba de manipulación. Además, FIPS 140-2 sólo aborda los requisitos de seguridad después de su finalización, pero FIPS 140-3 ahora evalúa los requisitos de seguridad en todas las etapas de la creación de módulos criptográficos: diseño, implementación y despliegue operativo final.
7. El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP, por sus siglas en inglés) es un programa de certificación de todo el gobierno de EE.UU. que proporciona un enfoque estandarizado para la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube suministrados a agencias gubernamentales, proveedores y clientes.
8. Los Reglamentos de Administración de Exportaciones (EAR, por sus siglas en inglés) son normas de control de las exportaciones gestionadas por distintos departamentos del gobierno de Estados Unidos, como el Departamento de Comercio, que administra los EAR para regular la exportación de productos de "doble uso", incluidos los datos técnicos y la asistencia técnica, que están diseñados para fines comerciales pero podrían tener aplicaciones militares, como ordenadores, aviones y agentes patógenos.
9. Los requisitos y normativas del Suplemento al Reglamento de Adquisiciones Federales de Defensa (DFARS) tienen por objeto garantizar la integridad de la Información Controlada No Clasificada (CUI), o información sensible perteneciente al gobierno de EE.UU. que terceros como proveedores, socios y asociaciones comerciales pueden poseer o utilizar.
10. La Ley Federal de Gestión de la Seguridad de la Información (FISMA) es una legislación estadounidense que define un marco de directrices y normas de seguridad para proteger la información y las operaciones gubernamentales.
11. La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) define protecciones de la intimidad normalizadas a escala nacional para los historiales médicos de los pacientes y otra información sanitaria facilitada y gestionada principalmente por planes de salud, médicos, hospitales y otros proveedores de asistencia sanitaria en Estados Unidos. No obstante, también puede aplicarse a las empresas que ofrecen planes de salud colectivos y a cualquier empresa o particular que preste servicios a médicos, proveedores de asistencia sanitaria y compañías de seguros.
12. La norma 17a-4 de la SEC se aplica a los agentes de bolsa estadounidenses y a otras partes pertinentes que negocien valores o actúen como intermediarios de operadores, incluidos bancos, sociedades de valores y agencias de valores, y les exige que almacenen todos los registros comerciales durante un periodo no inferior a seis años en soportes que no puedan reescribirse ni borrarse, y que los dos primeros años estén en un lugar de fácil acceso.
13. Las cláusulas tipo de la UE son cláusulas contractuales normalizadas que se utilizan en los acuerdos entre los proveedores de servicios y sus clientes para garantizar que cualquier dato personal que salga del Espacio Económico Europeo se transferirá de conformidad con la legislación de la UE en materia de protección de datos y cumplirá los requisitos del RGPD.
14. La guía de seguridad en la nube del Centro Australiano de Ciberseguridad (ACSC ) informa a las entidades de la Commonwealth, a los proveedores de servicios en la nube (CSP) y a los evaluadores del Programa de Evaluadores Registrados de Infosec (IRAP) sobre cómo realizar una evaluación exhaustiva de la seguridad de los CSP y sus servicios.
15. El Reglamento general de protección de datos (GDPR) regula cómo las empresas protegen los datos personales de los ciudadanos de la UE y se ha convertido en la ley de privacidad de referencia para muchos países.
16. La Ley de Privacidad del Consumidor de California (CCPA) es una ley estatal destinada a mejorar los derechos de privacidad y la protección del consumidor para los residentes del estado estadounidense de California.

Elija una solución en la nube que dé prioridad a la seguridad y el cumplimiento normativo

La elección de trabajar con un proveedor de servicios en la nube validado como conforme con muchas de estas normas y reglamentos diferentes le permite confiar o "heredar" los controles de cumplimiento y seguridad resultantes exigidos por dichas normas y leyes. La dirección de su organización, su equipo jurídico y sus clientes pueden estar seguros de que sus datos están en manos seguras y competentes.

Como solución nativa en la nube diseñada pensando en los profesionales del derecho, NetDocuments le ofrece a usted y a su equipo los estrictos controles de seguridad y cumplimiento más adecuados para el trabajo jurídico, al tiempo que le permite trabajar y colaborar de forma fácil y eficaz.

Para obtener más información sobre cómo NetDocuments puede ayudarle a cumplir las obligaciones de conformidad y los mandatos de los clientes para proteger la información confidencial, póngase en contacto con nosotros hoy mismo en el (866) 638-3627 o haga clic aquí para solicitar una demostración.

Lea el artículo original de David sobre este tema en la edición de verano de 2022 de la revista revista Peer to Peer.