1. Trust
1.1. Acceso desde dentro
1.1.1. Dado que la información esta realmente almacenada fuera de los limite físicos de la organización, las medidas de seguridad establecida por está quedan fuera del alcance en la gestión del riesgo. Aparecen nuevos riesgos, y amenazas a incluir, es decir el "Insiders" son el propio personal administrativo del centro/proveedor de los servicios, operadores de mantenimiento o incluso terceras empresas con acceso a las instalaciones del "Public Cloud".
1.2. Dueño de los Datos
1.2.1. Debe de quedar claro y explicito en el contrato del servicio, quién es el dueño de los datos
1.3. Visibilidad
1.3.1. Disponer de completa visibilidad, revisar si el public cloud dispone de sistemas de monitorización de los servicios, auditorías de seguridad y análisis de vulnerabilidades
1.4. Gestión del Riesgo
1.4.1. la gestión de riesgo en entornos de public cloud, deberán ser considerados implementando los controles de transparencia y visibilidad, de modo que se puedan llevar a cabo adecuados análisis de riesgos.
2. Architecture
2.1. Superficie de ataque
2.1.1. Las políticas de seguridad y los procedimientos de la organización deberán poner énfasis en la protección y configuración de forma segura los entorno virtualizados
2.2. Protección de las redes virtualizadas
2.2.1. La utilización de entornos virtualizados, lleva a utilizar elementos típicos de red en el espacio virtual "router" y "switches", de este modo se deben de tomar la precauciones necesarias para asegurar las redes, en los entornos virtuales
2.3. Imagenes virtuales
2.3.1. Se debe de prestar especial atención a las copias de seguridad de las imagenes virtuales, ya que contienen información relevante sobre la configuración, del servicios, así como datos de explotación
2.4. Protección en el cliente
2.4.1. Las organizaciones deben de revisar las medidas de seguridad entorno al software con el que se explota y accede al servicio en la nube.
3. Identify and Access Management
3.1. Los mecanismos necesarios para conocer en todo momento quién (identificación y autenticación) y cómo (controles de acceso, permisos, roles) accede a la información (los datos).
4. Data Protecction
4.1. Aislamiento de los Datos
4.1.1. Puesto que los datos pueden estar presente en múltiples formas, se deben de utilizar mecanismos que permitan aislar unos de otros
4.2. Sanitización de los datos
4.2.1. La eliminación de los datos, debe asegurarse que se toman las medidas apropiadas para eliminar por completo la información almacenada. Se deberá de establecer los controles necesarios (procedimientos, auditorías) para asegurar que lo datos son borrados de manera segura.
5. Gobernance
5.1. La organización debe de tener una completa visión y control sobre las políticas, procedimientos y estándares que se estén aplicando en los servicios adquiridos
5.2. Se debe de llegar a un "acuerdo" con el centro de servicios del "Public Cloud" para determinar los Roles y responsabilidades entre ambas organizaciones
5.3. Así mismo se deberán de establecer los mecanismos de control adecuados para su correcta monitorización y seguimiento, por ejemplo, mediante auditorías periódicas
5.4. Las auditorías deberán, al menos, ser orientadas a verificar cómo los datos son almacenados, protegidos y usados
6. Compliance
6.1. Localización de los Datos
6.1.1. Establecer un mapa del flujo real de los datos, para comprobar que "leyes" aplican en el seguimiento de los datos, "recogida", "transferencia", "almacenamiento", todo con objeto de valorar los riesgos o beneficios diferentes en cada situación.
6.2. Proceso electrónico
6.2.1. Este proceso contempla la identificación, proceso de captura, análisis y tratamiento por el software de almacenamiento de la información (ESI). Esto debe tenerse en consideración sobre todo en cuento a la eliminación de la información, prestando especial interés la localización y borrado seguro