La pasada semana, la Agencia Europea para la Seguridad de la Información y las Redes (ENISA) ha publicado este documento que lleva por subtitulo "Una guía para la monitorización de los niveles de seguridad de servicio para contratos en la nube" [pdf] y que, como su propio nombre indica, recoge las pautas para ayudar a los que quieran contratar este tipo de servicios a definir la forma en la que se realizará esta supervisión.

El documento identifica ocho grandes capítulos:

  1. Disponibilidad del servicio
  2. Respuesta a incidentes
  3. Elasticidad del servicio y tolerancias de carga
  4. Gestión del ciclo de vida de los datos
  5. Cumplimiento técnico y gestión de las vulnerabilidades
  6. Gestión de cambios
  7. Aislamiento de los datos
  8. Gestión de logs y forense

El documento nos ha servido para varias cosas. En primer lugar, para comprobar si habíamos incluido en nuestra metodología todos los aspectos de monitorización necesarios. Efectivamente, la metodología que sirve para asignar las calificaciones, contempla el hecho de que el proveedor de servicios facilite a sus usuarios la posibilidad de supervisar el nivel de seguridad de dichos servicios. De hecho, las condiciones de uso de la calificación incluyen la obligación de que el proveedor nos informe de cualquier circunstancia que pueda influir en el nivel de calificación que ostente, así como de los incidentes de seguridad que sufra. De esta manera, la agencia se encarga de llevar a cabo esta labor de monitorización de manera indirecta para el usuario final.

Pero, por otro lado, también nos ha servido para corroborar que, lógicamente, la rigurosidad de los valores a monitorizar dependerá del perfil de riesgo del usuario, por eso el documento incluye, para cada uno de los capítulos, una mención a valorar el perfil de riesgo de la organización. En nuestra opinión, este enfoque ad hoc para cada caso nos parece poco eficiente, puesto que, cada organización se convierte en un caso único que no permite aprovechar las ventajas que da la estandarización. La idea que tenemos en leet es que en lugar de que sea el cliente el que identifique sus requerimientos únicos, sea el proveedor el que clasifique las necesidades [considerando cinco niveles (de la A a la E) en tres dimensiones (confidencialidad, integridad y disponibilidad) tenemos un total de 125 posibles calificaciones, o lo que es lo mismo 5^3] aprovechando las ventajas de la calificación y cree diferentes modalidades de servicio para cada tipo de cliente con el objetivo de conjugar, en la medida de lo posible, las ventajas de la estandarización y de la particularización de las necesidades.

Puedes seguirnos en twitter.com/leet_security

4 de abril de 2012