Encuesta de percepción de proveedores de Cloud Computing

JavaScript isn't enabled in your browser, so this file can't be opened. Enable and reload.

Buscamos evaluar las características de seguridad relacionadas al servicio ofrecido por un Proveedor de Cloud Computing.

Respuestas:
La encuesta tiene 4 tipos diferentes de respuesta:

*Si: Cuando el proveedor cumple con la característica consultada en la pregunta.

*Probablemente Si: Cuando el participante no está seguro si el Proveedor cumple con la característica consultada en la pregunta, pero probablemente si puede cumplir con ella.

*Probablemente no: Cuando el participante no está seguro si el Proveedor cumple con la característica consultada en la pregunta, pero probablemente no cumple con ella.

*No: Cuando el proveedor no cumple con la característica consultada en la pregunta.

Evaluación de las Características de Seguridad

Característica 1: Manejo de los incidentes de seguridad

¿Su Proveedor tiene definido procedimientos de comunicación con los usuarios en caso de algún incidente? *

¿Su Proveedor utiliza controles para mitigar las técnicas de ataques ya conocidas (por ejemplo, DoS, escaneo de puertos, etc.)? *

¿El proveedor dispone de un canal de comunicación para que los usuarios puedan reportar anomalías y/o incidentes de seguridad? *

¿Su Proveedor posee controles para prevenir o minimizar el impacto de actividades maliciosas (dentro y fuera de la empresa)? *

¿Su Proveedor permite participar al prestador de servicios en la mitigación de incidentes de seguridad? *

Característica 2: Recuperación ante incidentes de seguridad (Resiliencia)

¿Su Proveedor cuenta con procedimientos de recuperación de las operaciones ante incidentes y/o desastres? *

¿Su Proveedor tiene niveles de prioridad para la recuperación de datos y/o servicios? *

¿Su Proveedor tiene planes de Continuidad de negocios? *

¿Su Proveedor aplica conceptos como RTO (Recovery Time Objective) y RPO (Recovery Point Objective) en las estrategias de protección de los datos? *

¿Su Proveedor posee procedimientos de análisis post incidentes de seguridad (análisis forense)? *

Característica 3: Encriptación de datos y redes

¿Su Proveedor encripta los datos y/o el tráfico de datos? *

¿Su Proveedor posee procedimientos para incidentes en los que se vean comprometidos las llaves? *

¿La renovación de llaves es efectiva simultáneamente en diferentes sitios? *

¿Su Proveedor informa cuál es la solución usada para encriptar los datos y redes? *

¿Su Proveedor posee controles de seguridad para encriptar los datos y/o tráfico? *

Característica 4: Prevención de incidentes de seguridad

¿Su Proveedor posee procedimientos para detectar, identificar, analizar y responder a los posibles incidentes de seguridad? *

¿Su Proveedor tiene buenas políticas de configuración de equipos para prevenir ataques o incidentes de seguridad? *

¿Su Proveedor tiene definidas las responsabilidades en su equipo para actuar ante algún incidente? *

¿Su Proveedor informa si ya probó anteriormente los procedimientos de detección, identificación, análisis y respuesta ante incidentes de seguridad? *

¿Su Proveedor muestra información a los clientes de antiguos incidentes de seguridad? *

Característica 5: Prueba de vulnerabilidades

¿Su Proveedor evalúa frecuentemente las posibles vulnerabilidades en los recursos ofrecidos? *

¿Su Proveedor verifica que las nuevas versiones de las soluciones ofrecidas no tienen vulnerabilidades? *

¿Su Proveedor permite al usuario realizar pruebas de vulnerabilidades en sus recursos? *

¿Su Proveedor muestra los resultados de las evaluaciones de vulnerabilidades en sus recursos? *

¿Su Proveedor realiza los cambios necesarios para mitigar o eliminar las vulnerabilidades detectadas en las evaluaciones? *

Característica 6: Auditorías

¿Su Proveedor realiza auditorias periódicamente? *

¿Su Proveedor informa al usuario si realiza auditorias para evaluar sus recursos? *

¿Su Proveedor muestra los resultados de las auditorías a los usuarios? *

¿Su Proveedor realiza los cambios necesarios para mitigar o eliminar las fallas detectadas en las auditorias? *

¿Su Proveedor permite al usuario realizar auditorías a sus recursos? *

Característica 7: Seguridad mínima ofrecida

¿Su Proveedor utiliza estándares de seguridad en los equipos de la red, dispositivos, infraestructura de redes, etc. (por ejemplo, ISO 27001)? *

¿Usted sabe si los recursos utilizados por su Proveedor tienen vulnerabilidades ya conocidas? *

¿Su Proveedor exige a los usuarios requerimientos mínimos de seguridad (por ejemplo, antivirus actualizado, parches en sistemas operativos, etc.)? *

¿Su Proveedor posee procesos o procedimientos para la eliminación o destrucción de datos? *

¿Su Proveedor informa al usuario lo que sucede con los equipos retirados de la red? *

Característica 8: Definición de privilegios de los usuarios

¿Los términos del contrato especifican las políticas de escalamiento de privilegios de los usuarios? *

¿Los niveles de privilegios están definidos por acciones (lectura, escritura, eliminación)? *

¿Su Proveedor ofrece administración, control y seguridad de los accesos de mayores privilegios? *

¿Su Proveedor posee políticas de modificación de privilegios en caso de emergencia? *

¿Los términos del contrato especifican las políticas de eliminación de privilegios de los usuarios? *

Característica 9: Administración de accesos de los usuarios

¿Su Proveedor informa de las políticas de autenticación y/o autorización de los usuarios en la red? *

¿Su Proveedor posee políticas de control de acceso remoto? *

¿Su Proveedor considera las políticas de autorización y autenticación durante un pedido de escalamiento no planeado? *

¿Su Proveedor retira los privilegios otorgados a los prestadores de servicio luego de finalizar el trabajo realizado? *

¿Su Proveedor revisa frecuentemente los accesos otorgados? *

Característica 10: Compartimiento de recursos

¿Su Proveedor informa de las políticas de autenticación y/o autorización para los usuarios que comparten recursos? *

¿Su Proveedor ofrece control de las actividades de los otros usuarios que comparten recursos con usted (si fuera el caso)? *

¿Su Proveedor garantiza la protección de los recursos compartidos por usuarios de acciones como escaneo de puertos y vulnerabilidades realizadas por otros usuarios? *

¿Su Proveedor delimita el uso de los recursos entre los usuarios? *

¿Su Proveedor garantiza que los recursos de los clientes estarán totalmente aislados de otros usuarios? *

Característica 11: Definición de roles y responsabilidades

¿Los términos del contrato definen claramente los roles y responsabilidades de su Proveedor y del usuario? *

¿Los términos del contrato definen la participación de prestadores de servicios? *

¿Su Proveedor detalla las obligaciones y acuerdos de confidencialidad de los dados? *

¿El contrato establece al usuario como propietario de los datos? *

¿El contrato establece penalidades para los participantes, en caso no se cumpla alguna cláusula? *

Característica 12: Perfil del personal del proveedor

¿Su Proveedor verifica la información del personal al que contrata (identidad, referencias laborales, antecedentes policiales, etc.)? *

¿El personal de su Proveedor tiene los conocimientos mínimos de seguridad? *

¿El personal de su Proveedor firma algún acuerdo de confidencialidad de la información? *

¿Su Proveedor revisa frecuentemente los accesos y/o privilegios otorgados al personal de la empresa? *

¿Su Proveedor garantiza que el acceso a los datos y aplicaciones están restringidos al personal de la empresa? *

Acerca de Cloud Security Alliance (CSA)

El Cloud Security Alliance es una entidad sin fines de lucro creada para fomentar el uso de las buenas prácticas, reforzar garantías de seguridad, y ofrecer formación en todo lo concerniente a cloud computing. El Cloud Security Alliance está compuesto por expertos de diferentes disciplinas, unidos para promover un nivel común de entendimiento entre los consumidores y proveedores informáticos en relación a los requisitos de seguridad necesarios y al certificado de garantía; impulsar la investigación independiente enfocada a encontrar mejores prácticas para la seguridad informática; lanzar campañas de sensibilización y programas educativos sobre el uso de la red y soluciones seguras; y crear listas de consenso en cuestiones de orientación y garantía de seguridad.

Misión del Capítulo

Promover el uso de buenas prácticas, a fin de ofrecer confianza dentro del ámbito de Cómputo en la Nube y proveer educación sobre los usos de Cómputo en la Nube, ayudando a asegurar todas las otras formas de cómputo.

Contacto

@CSA_AR
facebook.com/csaargentina
https://chapters.cloudsecurityalliance.org/argentina/
https://www.linkedin.com/grp/home?gid=3350613
contact@ar.chapters.cloudsecurityalliance.org

¿Cuál es su proveedor o proveedores de Cloud?

Este es un campo opcional y queda a criterio del encuestado responderlo o no.

¿Pais de la persona encuestada?

Este es un campo opcional, Pero nos da una mejor vision y segmentacion por region

Submit

Clear form

Never submit passwords through Google Forms.

This content is neither created nor endorsed by Google. Report Abuse - Terms of Service - Privacy Policy

Forms