Introduction
Mi empresa se encuentra actualmente en conformidad con ISO27001. Originalmente pensé que esto es un problema puramente técnico, con los méritos de diferentes soluciones que se sopesan sobre bases puramente técnicas. Sin embargo, entiendo que parece haber un cierto sesgo en contra de ciertas soluciones por razones no técnicas.
Por ejemplo, si un servicio de intercambio de archivos es extremadamente popular y es utilizado por el público en general, entonces parece haber una resistencia automática contra él para uso comercial con datos seguros, incluso si ha pasado una auditoría de seguridad, e incluso si se utiliza junto con un nivel adicional de seguridad por parte de una empresa diferente.
O, por ejemplo, parece haber una percepción en nombre de los clientes, que un servidor que se encuentra a 5000 millas de distancia, es menos seguro que un servidor que está al lado, aunque en un nivel técnico esto parece ser falso que todo depende de cómo esté todo configurado.
Por lo tanto, me gustaría plantear que "Riesgo percibido" es un factor en el cumplimiento de ISO27001 además de "riesgo técnico".
No es que las cosas no puedan explicarse a los auditores. Pero preferiría comenzar desde una posición fuerte, en lugar de tener que defenderme.
El motivo de esta introducción un tanto larga es para explicar por qué hago una pregunta que podría invitar a "opiniones" en lugar de "hechos" (como se señala en los comentarios a mi pregunta original)
La pregunta
Nuestra base de datos SQL Server 2012 actualmente se encuentra en el mismo servidor que la aplicación. Se recomienda que la aplicación esté completamente separada de la base de datos.
Pensé que podríamos trasladar la base de datos de SQL Server a la plataforma Microsoft SQL Server Azure 2016, que sería mucho más económica que adquirir y administrar un servidor separado.
Supongo que el riesgo real (en términos de seguridad de la información) de usar la plataforma SQL Server Azure 2016 no es mayor que la configuración de un servidor separado. Sin embargo, mi gerente está preocupado por el riesgo percibido . Él siente que tener los datos lejos y "menos en nuestro control" puede hacer que nuestros clientes se sientan menos seguros.
¿Estaría en lo cierto al decir que sería una práctica estándar de la industria para grandes empresas (como un banco) utilizar servicios como SQL Server Azure 2016? ¿O son un "no-no"?