Protegida B (Canadá)
Cumplimiento de Protegida B de Google Cloud
El Centro Canadiense de Ciberseguridad (Centro de Ciberseguridad) ha desarrollado un marco para evaluar la seguridad de los servicios en la nube, llamado Programa de Evaluación de la Seguridad de la Tecnología de la Información (TI) de los Proveedores de Servicios en la Nube (CSP) del Gobierno de Canadá. El objetivo principal de este programa es ofrecer garantías a los departamentos y agencias del Gobierno de Canadá (GC) de que los servicios en la nube cumplen los requisitos de seguridad en la nube pública del GC para la información y los servicios hasta el nivel de protección B. El Programa de Evaluación de la Seguridad de TI evalúa la posición de seguridad, los controles y las prácticas operativas de servicios en la nube específicos ofrecidos por los CSPs. No certifica a toda la empresa, sino que evalúa servicios concretos en función de los perfiles de control de seguridad del GC definidos.
La evaluación de la seguridad de TI de los CSPs se compone de tres partes que llevan a cabo distintos grupos dentro del CG: 1) el equipo de Integridad de la Cadena de Suministro (SCI) del Centro de Ciberseguridad evalúa los riesgos relacionados con la propiedad, la geolocalización y el producto o servicio de una empresa; 2) la evaluación de seguridad física y de personal la lleva a cabo el Programa de Seguridad de Contratos de Servicios Públicos y Adquisiciones de Canadá (PSPC CSP); y 3) el Centro de Ciberseguridad evalúa los servicios en la nube en función de los Perfiles de Control de la Nube del CG: Protegida B Medio (anteriormente denominado PBMM) y la superposición Protegida B de recursos de alto valor (PBHVA).
Google Cloud ha completado los tres componentes de la evaluación de seguridad de TI, incluidos los procesos de evaluación de integridad de la cadena de suministro y de seguridad en la nube de TI del Centro de Ciberseguridad, así como las evaluaciones de seguridad física y de personal necesarias. Los clientes del gobierno federal de Canadá que adquieren servicios en la nube de acuerdo con el programa de seguridad de contratos deben usar el paquete de funciones Data Boundary para Protegida B de Canadá.
Introducción
El Gobierno de Canadá (GC) clasifica los datos usando varios niveles de categorización de seguridad (por ejemplo, Protegida A, Protegida B, Confidencial, Secreta y Alto Secreto) en función de la sensibilidad de la información y del posible daño que se produciría si la confidencialidad, integridad o disponibilidad de la información se comprometiera Aunque los departamentos y agencias del GC pueden usar servicios en la nube, primero deben identificar y categorizar la información para saber qué controles de seguridad deben aplicarse.
¿Qué es Protegida B?
La información protegida se puede clasificar en tres categorías: A, B o C. Se aplica a la información personal, la información comercial confidencial o cualquier otra información o recurso que, si se pone en peligro, podría causar un daño razonable a un interés no nacional. Más concretamente, la categoría Protegida B puede incluir información personal sensible, como historiales médicos, informes de evaluación del rendimiento, información financiera detallada, etc. La divulgación no autorizada de este tipo de información podría causar un daño grave a una persona o una organización, como angustia, pérdidas financieras o daños a su reputación.
El GC ha publicado instrumentos de política, como la política sobre la seguridad del Gobierno, la política, directiva y directrices sobre servicios y medios digitales, el manual de seguridad de los contratos y la directiva sobre el uso seguro de servicios comerciales en la nube: aviso sobre la implementación de la política de seguridad (SPIN) que describen los requisitos de seguridad física, de personal y de TI, y los controles que los departamentos, las agencias y las organizaciones del sector privado deben tener en cuenta para proteger la información sensible del Gobierno.
¿Cuáles son los requisitos de los controles de seguridad relacionados con la nube de Protegida B?
En el caso de la nube, los requisitos de control de seguridad se describen en el Anexo 3 de la guía de seguridad de tecnología de la información (ITSG-33): gestión de riesgos de seguridad de TI: un enfoque para todo el ciclo de vida. El perfil de control de seguridad de Medium Cloud del Centro de Ciberseguridad se utiliza como punto de partida de los requisitos de seguridad de TI. Además, el GC ha desarrollado un perfil de control de seguridad en la nube para activos de alto valor protegidos B (PBHVA) que define controles adicionales de integridad y disponibilidad que se pueden aplicar como mejora para admitir cargas de trabajo protegidas B que se han identificado como sistemas de activos de alto valor.
Programa de Seguridad de Contratos (CSP) de Servicios Públicos y Adquisiciones de Canadá (PSPC):
El PSPC CSP verifica la seguridad física y del personal de los contratos de servicios en la nube. Para ello, se debe asegurar que Google Cloud esté registrado en el PSPC CSP y que tenga el nivel de autorización de seguridad necesario para la organización. Además, se facilitan las autorizaciones de seguridad para los empleados que necesiten acceder a información protegida o a zonas de operaciones. Además, la PSPC realiza inspecciones de seguridad física en los centros de datos de Google Cloud en Canadá para confirmar que se cumplen los requisitos de seguridad contractual, las zonas de funcionamiento seguras, la protección adecuada de los datos y el acceso controlado.
Centro Canadiense de Ciberseguridad (CCCS): integridad de la cadena de suministro (SCI)
El equipo de SCI del Centro de Ciberseguridad evalúa los factores de riesgo relacionados con la empresa, como la propiedad, la ubicación y las prácticas comerciales, junto con los riesgos técnicos del producto o servicio en sí. El equipo de SCI utiliza varias fuentes para generar una clasificación de riesgos, que contribuye a la determinación final de la evaluación de seguridad en la nube. Puedes encontrar más información sobre el proceso de SCI en el documento ITSAP.10.070, cadena de suministro cibernética: un enfoque para evaluar los riesgos.
Proceso de evaluación de seguridad de TI de los proveedores de servicios en la nube (CSP) según el Centro Canadiense de Ciberseguridad (CCCS)
El proceso de evaluación de la seguridad de la información tecnológica (ITSM.50.100) de los proveedores de servicios en la nube (CSP) consiste en una evaluación detallada de la solución en la nube en relación con los controles de seguridad, como el perfil de nube de nivel medio o el perfil de superposición de recursos de alto valor protegidos B. Google Cloud es responsable de proporcionar pruebas que demuestren el cumplimiento de cada uno de los controles de seguridad del perfil de control correspondiente. A continuación, el CCCS emite un informe de evaluación de seguridad que resume sus hallazgos.
Cumplimiento de Protegida B de Google Cloud
Google Cloud ha pasado una evaluación de los requisitos de seguridad organizativa, física y de personal del PSPC para proveedores de servicios en la nube. Google Cloud también ha completado los procesos de evaluación de seguridad de TI y de integridad de la cadena de suministro de proveedores de servicios en la nube (CSPs) del Centro Canadiense de Ciberseguridad (CCCS), y se ha aprobado para admitir cargas de trabajo de nivel de protección B medio y de nivel de protección B alto. Puedes acceder al informe resumen de CCCS bajo demanda y sin coste adicional a través del Administrador de informes de cumplimiento.
Alojar cargas de trabajo protegidas de tipo B en Google Cloud
La inversión de Google Cloud en la seguridad de nuestra infraestructura asegura que los controles de seguridad estén integrados y preconfigurados para que los clientes puedan ceñirse a distintos niveles de cumplimiento sin tener que contar con una infraestructura en la nube gubernamental aislada tradicional.
Assured Workloads es una oferta de cumplimiento de Google Cloud diseñada para ayudar a los clientes a cumplir varios marcos normativos, como el CJIS, el FedRAMP (niveles Moderado y Alto), los niveles IL2, IL4 e IL5 del Departamento de Defensa de EE. UU., el nivel B de protección y muchos otros.
Los clientes del gobierno federal de Canadá que quieran usar los servicios de Google Cloud para procesar cargas de trabajo protegidas de acuerdo con los requisitos del programa de seguridad del contrato deben usar el paquete de funciones Data Boundary para Protegida B de Canadá. Los servicios autorizados de Protegida B que se ponen a disposición de los clientes de Protegida B a través de Assured Workloads para Canadá simplifican la seguridad y el cumplimiento para los departamentos y agencias del GC mediante la implementación de controles como los siguientes: límites para restringir la ubicación de los datos de clientes de Protegida B a Canadá, y asistencia técnica proporcionada únicamente por personal de seguridad evaluado y con un nivel de fiabilidad (o superior). La lista de productos y servicios compatibles con Assured Workloads para Protegida B de Canadá se puede consultar en esta página.
Servicios cubiertos
Los siguientes servicios de Google Cloud se han sometido a la evaluación de seguridad de TI de nivel Protegida B del Centro Canadiense de Ciberseguridad:
Google Cloud
Protegida B medio
Administrador de contextos de acceso
Consola de administración (incluidos el SDK de administrador y Directory Sync)
Etiquetado de datos de AI Platform
Búsqueda con arquitectura neuronal de AI Platform
AI Platform Training y AI Platform Prediction
Anthos Config Management (ACM)
BeyondCorp Enterprise (nota: se ha separado de la consola de Cloud)
BigQuery Data Transfer Service
Care Studio (antes Cloud Healthcare Search)
Servicio de Autoridades de Certificación
Chronicle (producto de seguridad)
Inventario de Recursos de Cloud
Consola de Cloud (sin BeyondCorp Enterprise)
Aplicación de la consola de Cloud
Cloud External Key Manager (Cloud EKM)
Cloud Life Sciences (anteriormente, Google Genomics)
Cloud NAT (Traducción de direcciones de red)
Cloud Run (plataforma totalmente gestionada)
GCP Marketplace (antes, Cloud Launcher)
Gestión de Identidades y Accesos
Justificaciones de Acceso a Claves (soberanía de los accesos)
Looker Studio (incluida la versión Pro, que antes era Google Data Studio)
Cuadernos (anteriormente Vertex AI Workbench/AI Platform Notebooks)
Security Command Center (incluido Web Security Scanner) (antes llamado Cloud Security Scanner)
Servicio de transferencia de Storage
Registro de modelos de Vertex AI
Vertex AI Search (incluye Agentspace)
Vertex Online y predicción en lote
Federación de identidades para los trabajadores (BYOID)
Recurso de alto valor protegido B (PBHVA)
Administrador de contextos de acceso
Consola de administración (incluidos el SDK de administrador y Directory Sync)
Etiquetado de datos de AI Platform
Búsqueda con arquitectura neuronal de AI Platform
AI Platform Training y AI Platform Prediction
Anthos Config Management (ACM)
BeyondCorp Enterprise (nota: se ha separado de la consola de Cloud)
BigQuery Data Transfer Service
Care Studio (antes Cloud Healthcare Search)
Servicio de Autoridades de Certificación
Chronicle (producto de seguridad)
Inventario de Recursos de Cloud
Consola de Cloud (sin BeyondCorp Enterprise)
Aplicación de la consola de Cloud
Cloud External Key Manager (Cloud EKM)
Cloud Life Sciences (anteriormente, Google Genomics)
Cloud NAT (Traducción de direcciones de red)
Cloud Run (plataforma totalmente gestionada)
GCP Marketplace (antes, Cloud Launcher)
Gestión de Identidades y Accesos
Justificaciones de Acceso a Claves (soberanía de los accesos)
Looker Studio (incluida la versión Pro, que antes era Google Data Studio)
Cuadernos (anteriormente Vertex AI Workbench/AI Platform Notebooks)
Security Command Center (incluido Web Security Scanner) (antes llamado Cloud Security Scanner)
Servicio de transferencia de Storage
Registro de modelos de Vertex AI
Google Workspace
Recursos relacionados
ISO/IEC 27001La familia de normas ISO/IEC 27000 ayuda a proteger la información. Google Cloud y Google Workspace cumplen la norma ISO/IEC 27001:2022.- ISO/IEC 27017La norma ISO/IEC 27017 contiene directrices sobre controles de seguridad de la información. Google Cloud y Google Workspace cumplen la norma ISO/IEC 27017:2015.
SOC 2Google Cloud se somete a una auditoría externa de forma periódica para comprobar que sus productos cumplen los estándares SOC‐2.
FedRAMPGoogle Cloud mantiene las autorizaciones de acceso de nivel moderado y alto del programa FedRAMP para los productos de Google Cloud y Google Workspace.
Ve un paso más allá
Empieza a crear en Google Cloud con 300 USD en crédito gratis y más de 20 productos Always Free.
Descubre las prácticas recomendadas de seguridad
Ver nuestras prácticas recomendadasResuelve problemas habituales
Ver vídeos sobre casos prácticos de seguridadColabora con un partner
Ver nuestros partners de seguridad
