Existen innumerables ventajas para los profesionales del Derecho que pueden trabajar y colaborar a distancia en la nube, pero también es importante ser consciente de los retos y vulnerabilidades de seguridad asociados que conlleva la tecnología en la nube. Una violación de la seguridad o el incumplimiento de las directrices específicas de cumplimiento podrían ponerle a usted y a su equipo en riesgo de sufrir importantes problemas legales y financieros, por no mencionar el posible tiempo de inactividad y la pérdida de la confianza de sus clientes.

La buena noticia es que muchos proveedores de servicios en la nube de buena reputación ofrecen a sus usuarios la posibilidad de confiar o "heredar" los controles de seguridad y cumplimiento incorporados que ya existen en la infraestructura de aplicaciones del proveedor. Para ayudarle mejor a usted y a su equipo jurídico a elegir correctamente a los proveedores de servicios en la nube, hemos identificado 16 normas, certificaciones, informes de auditoría, reglamentos y atestados, así como leyes estadounidenses e internacionales, que deben buscarse como indicadores de que su trabajo con los distintos proveedores de servicios en la nube es seguro y conforme. Cuantos más de estos "elementos de control" cumpla o satisfaga su proveedor, mejor posicionado estará para disponer de controles de seguridad y conformidad que beneficien y protejan a sus clientes de la nube, incluido su equipo jurídico.

16 controles de conformidad y seguridad que debe buscar en un proveedor de servicios en la nube

Esta lista de controles de conformidad y seguridad incluye la familia de normas y controles de la Organización Internacional de Normalización (ISO) 27000, reconocida en todo el mundo, así como normas internacionales con sede en EE.UU. que no sólo se exigen en su estado o país de origen, sino que desde entonces han sido reconocidas más ampliamente como importantes puntos de referencia en materia de seguridad.

1. La norma ISO 27001 especifica los requisitos para establecer, implantar, mantener y mejorar continuamente un Sistema de Gestión de la Seguridad de la Información (SGSI) en el contexto de la organización.
2. La norma ISO 27017 proporciona orientación sobre los aspectos de seguridad de la información de la computación en nube y los servicios en nube, así como orientación adicional para la aplicación de los controles pertinentes especificados en la norma ISO/IEC 27002.
3. La norma ISO 27018 establece objetivos de control, controles y directrices comúnmente aceptados para la aplicación de medidas de protección de la información personal identificable (IPI) de conformidad con los principios de privacidad de la norma ISO/IEC 29100 para el entorno de la computación en nube pública.
4. La ISO 27701 es una extensión de la ISO/IEC 27001 en materia de privacidad diseñada para mejorar el SGSI existente con requisitos adicionales para establecer, implantar, mantener y mejorar continuamente un Sistema de Gestión de la Información sobre Privacidad (SGIP). Además, los controles de la norma ISO 27701 abordan muchos de los requisitos del Reglamento General de Protección de Datos (RGPD) de la UE, por lo que estar certificado en los controles de la norma ISO 27701 también puede utilizarse para validar de forma independiente el cumplimiento del RGPD.
5. Los informes SOC (Service Organization Controls ) ayudan a las empresas a establecer la confianza en sus procesos y controles de prestación de servicios. Esto se consigue mediante información detallada y garantías sobre la capacidad de un proveedor de servicios en la nube para adherirse a algunos o todos los Principios de Confianza: seguridad, disponibilidad, privacidad, procesamiento, integridad y confidencialidad.
6. La Norma Federal de Procesamiento de la Información (FIPS) (140-3 ) especifica los requisitos de seguridad que deben cumplir los módulos criptográficos y es una norma fundamental cuando se trata de industrias muy reguladas. Es importante tener en cuenta las diferencias entre FIPS 140-2, que cumple la norma de resistencia a la manipulación, y FIPS 140-3, que cumple la norma superior de prueba de manipulación. Además, FIPS 140-2 sólo aborda los requisitos de seguridad después de su finalización, pero FIPS 140-3 evalúa ahora los requisitos de seguridad en todas las etapas de la creación de un módulo criptográfico: diseño, implementación y despliegue operativo final.
7. El Programa Federal de Gestión de Riesgos y Autorizaciones (FedRAMP, por sus siglas en inglés) es un programa de certificación de todo el gobierno estadounidense que proporciona un enfoque estandarizado para la evaluación de la seguridad, la autorización y la supervisión continua de los productos y servicios en la nube suministrados a agencias gubernamentales, proveedores y clientes.
8. Los Reglamentos de Administración de Exportaciones (EAR) son normas de control de las exportaciones gestionadas por diferentes departamentos del gobierno estadounidense, como el Departamento de Comercio, que administra los EAR para regular la exportación de productos de "doble uso", incluidos los datos técnicos y la asistencia técnica, que están diseñados para fines comerciales pero que podrían tener aplicaciones militares, como ordenadores, aviones y agentes patógenos.
9. Los requisitos y reglamentos del Suplemento del Reglamento de Adquisiciones Federales de Defensa (DFARS) tienen por objeto garantizar la integridad de la Información Controlada No Clasificada (CUI), o información sensible perteneciente al gobierno de EE.UU. que pueden poseer o utilizar terceros como proveedores, socios y asociaciones comerciales.
10. La Ley Federal de Gestión de la Seguridad de la Información (FISMA) es una legislación estadounidense que define un marco de directrices y normas de seguridad para proteger la información y las operaciones gubernamentales.
11. La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés) define las protecciones de privacidad estandarizadas a nivel nacional para los historiales médicos de los pacientes y otra información sanitaria proporcionada y gestionada principalmente por planes de salud, médicos, hospitales y otros proveedores de asistencia sanitaria en EE.UU.. Sin embargo, también puede aplicarse a las empresas que ofrecen planes de salud colectivos y a cualquier empresa o particular que preste servicios a médicos, proveedores de asistencia sanitaria y compañías de seguros.
12. La norma 17a-4 de la SEC se aplica a los agentes de bolsa estadounidenses y a otras partes relevantes que negocien valores o funcionen como intermediarios para operadores, incluidos bancos, sociedades de valores y agencias de valores, y les exige que almacenen todos los registros comerciales durante un periodo no inferior a seis años en soportes no regrabables ni borrables, y que los dos primeros años estén en un lugar de fácil acceso.
13. Las Cláusulas Modelo de la UE son cláusulas contractuales estandarizadas que se utilizan en los acuerdos entre los proveedores de servicios y sus clientes para garantizar que cualquier dato personal que salga del Espacio Económico Europeo se transferirá de conformidad con las leyes de protección de datos de la UE y cumplirá los requisitos del GDPR.
14. La guía de seguridad en la nube del Centro Australiano de Ciberseguridad (ACSC ) informa a las entidades de la Commonwealth, a los proveedores de servicios en la nube (CSP) y a los evaluadores del Programa de Evaluadores Registrados de Infosec (IRAP) sobre cómo realizar una evaluación exhaustiva de la seguridad de los CSP y sus servicios.
15. El Reglamento General de Protección de Datos (GDPR) regula la forma en que las empresas protegen los datos personales de los ciudadanos de la UE y se ha convertido en la ley de privacidad de referencia para muchos países.
16. La Ley de Privacidad del Consumidor de California (CCPA) es una ley estatal destinada a mejorar los derechos de privacidad y la protección del consumidor para los residentes del estado norteamericano de California.

Elija una solución en la nube que priorice la seguridad y el cumplimiento de la normativa

La elección de trabajar con un proveedor de servicios en la nube que esté validado como cumplidor de muchas de estas diferentes normas y reglamentos le permite confiar o "heredar" los consiguientes controles de cumplimiento y seguridad exigidos por dichas normas y leyes. La dirección de su organización, su equipo jurídico y sus clientes pueden estar seguros de que sus datos están en manos seguras y capaces.

Como solución nativa en la nube diseñada pensando en los profesionales del Derecho, NetDocuments le ofrece a usted y a su equipo los estrictos controles de seguridad y cumplimiento más adecuados para el trabajo jurídico, al tiempo que le permite trabajar y colaborar de forma fácil y eficaz.

Para obtener más información sobre cómo NetDocuments puede ayudarle a cumplir las obligaciones de conformidad y los mandatos de los clientes para proteger la información confidencial, póngase en contacto con nosotros hoy mismo en el (866) 638-3627 o haga clic aquí para solicitar una demostración.

Lea el artículo original de David sobre este tema en la edición de verano de 2022 de la revista de la Asociación Internacional de Tecnología Jurídica revista Peer to Peer.