Consideraciones sobre la seguridad de la información y la privacidad del Gobierno de Nueva Zelanda

  • Article

En abril de 2023, el gobierno de Nueva Zelanda aceptó una nueva política de primera nube. Esta directiva y las decisiones anteriores requieren que las organizaciones gubernamentales de Nueva Zelanda tomen las siguientes acciones antes de usar los servicios en la nube pública:

  • Alejarse de sistemas e infraestructura locales
  • Almacenar información de forma segura
  • Tener y usar un plan en la nube
  • Consideración de las perspectivas de Te Ao Māori
  • Adopción de principios de sostenibilidad
  • Evaluación de los riesgos

El gobierno de Nueva Zelanda exige que ciertas organizaciones cumplan con las Consideraciones de Seguridad de la Información y Privacidad del Gobierno de Nueva Zelanda. Este requisito se aplica a las organizaciones que se encuentran bajo el mandato del Director General de Administración Digital (GCIO), incluidos los departamentos de servicios públicos y no públicos, las juntas de salud de distrito y las entidades de la Corona. Estas organizaciones deben cumplir el marco cuando decidan el uso de un servicio en la nube. Varias preguntas del marco se refieren a la Ley de privacidad de 2020. Las respuestas de Microsoft a estas preguntas se basan en la Ley de privacidad de Nueva Zelanda de 2020, si procede.

También publicaron un conjunto de directrices para las agencias sobre cómo adoptar servicios en la nube. Este marco incluye los pasos siguientes:

  • Clasificar la información correctamente
  • Conocer las ventajas del uso de servicios en la nube pública
  • Uso del plan en la nube de la organización
  • Consulte cómo comprar servicios en la nube pública
  • Uso de la herramienta de detección de riesgos
  • Uso del proceso de su organización para evaluar los riesgos

El gobierno de Nueva Zelanda espera que todas las agencias de servicios estatales trabajen dentro de este marco al evaluar y adoptar servicios en la nube. Los requisitos de informática en la nube describen lo que deben hacer las agencias al adoptar servicios en la nube junto con una introducción a la historia de la política en la nube del gobierno.

Evaluación de riesgos necesaria

Para ayudar a las agencias gubernamentales de Nueva Zelanda a llevar a cabo una diligencia debida coherente y sólida sobre posibles soluciones en la nube, el GCIO publicó la Herramienta de detección de riesgos para la Cloud Services pública. Esta herramienta contiene alrededor de 100 preguntas centradas en la soberanía de los datos, la privacidad, la seguridad, la gobernanza, la confidencialidad, la integridad de los datos, la disponibilidad y la respuesta a incidentes y la administración. Esta herramienta no define un estándar gubernamental de Nueva Zelanda en el que los proveedores de servicios en la nube deben demostrar el cumplimiento formal. Sin embargo, muchas de las preguntas que se describen en el documento apuntan a la importancia de comprender cómo los proveedores de servicios en la nube cumplen con una amplia gama de estándares pertinentes.

Respuestas de Microsoft a la evaluación de riesgos

Para ayudar a las agencias a realizar su análisis y evaluación de los servicios en la nube empresariales de Microsoft, Microsoft está produciendo documentos que muestran cómo sus servicios en la nube empresarial abordan las preguntas establecidas en la herramienta de evaluación de riesgos vinculándolas a los estándares con los que están certificados los servicios en la nube de Microsoft. Estas certificaciones son fundamentales para la forma en que Microsoft garantiza a los clientes del sector público y privado que sus servicios en la nube están diseñados, compilados y operados para mitigar eficazmente los riesgos de privacidad y seguridad y abordar los problemas de soberanía de datos.

Si su agencia está obligada a llevar a cabo la certificación y acreditación de su sistema de Tecnología de la Información y Comunicaciones (TIC) en virtud del Manual de Seguridad de la Información de Nueva Zelanda, puede usar estas respuestas como parte de su análisis.

Nota:

Microsoft está trabajando en la publicación de contenido actualizado para Azure, Dynamics 365, Microsoft 365 y Microsoft Fabric. Vuelva pronto para obtener la información más reciente.

Recursos