Hoy hemos publicado en el blog de INTECO, un análisis de la certificación propuesta por la Cloud Security Alliance (CSA) junto con la British Standard Institution (BSI) para la seguridad de los servicios en la nube basado en el Open Certification Program de la primera. El objetivo de esta entrada es analizar este marco desde nuestra perspectiva como agencia de calificación de seguridad.

Utilización de niveles

Vemos que el uso de niveles como mecanismo para aportar información va calando en el mundo de la seguridad de la información. Decimos esto porque el esquema de certificación propuesto por CSA-BSI también utiliza tres niveles (auto-evaluación, auditoría por tercero y auditoría continua), aunque en este caso los niveles definidos hacen referencia a la rigurosidad conque se ha realizado la validación de las medidas de seguridad, y no a las propias medidas, como hace la calificación de seguridad.

Enfoque

Dado el objetivo de la CSA, la certificación propuesta está enfocada a los servicios en la nube, de hecho, las medidas de seguridad que se evalúan son las incluidas en el material de la CSA (básicamente la CCM - Cloud Controls Matrix). Por su parte, la calificación de seguridad pretende cubrir todos los servicios TIC y, por este motivo, las medidas de seguridad evaluadas toman en consideración un amplio rango de medidas de seguridad (desde la ISO27001, pasando por PCI-DSS, hasta las normas FFIEC).

Por otro lado, la calificación incluye otros factores no explícitos de seguridad, sino que afectan de manera general al proveedor (su estrategia, solvencia financiera, etc.) y que contribuyen, sin lugar a dudas, en la creación de una relación de confianza entre usuario y proveedor de servicios.

Auto-evaluación

Como hemos comentado, el nivel más bajo de la certificación es la auto-evaluación por el propio proveedor de su cumplimiento con la CCM. Se podría pensar que esto coincide con nuestro mecanismo de validación, pero no hay que olvidar que además de la auto-declaración, nuestra metodología incluye controles en el proceso como son la auditoría aleatoria periódica y la validación previa a la publicación de nuevas calificaciones que investiga las propuestas de modificación atípicas de los proveedores.

Como se puede ver, son planteamientos diferentes pero, en cualquier caso, suponen un avance hacia la mejora de los niveles de confianza en los proveedores de servicios en la nube.

Puedes seguirnos en twitter.com/leet_security

7 de septiembre de 2012