Siguiendo con nuestra tradición de analizar esquemas similares a la calificación de seguridad para ayudar a ponerla en contexto, vamos a analizar el mencionado esquema de certificación llevado a cabo por EuroCloud Alemania (EuroCloud Deutschland_eco e.V.).

Lo primero que hemos de decir es que el análisis lo hemos realizado basándonos en los documentos publicados en la web de la iniciativa, en concreto, el de "Información general del producto y precios" (pdf en inglés) y la "Referencia rápida" (pdf en inglés) porque las guías de auditoría no son públicas, existiendo un compromiso de confidencialidad de los clientes en cuanto a la propia guía y el alcance de la auditoría [lo que nos ha sorprendido un poco] y que se da a conocer en workshops realizados por la propia EuroCloud con un coste de 600€ (eso sí, a descontar del precio de la auditoría si se contrata en un plazo de 6 meses tras el workshop).

A continuación vamos a exponer las similitudes y diferencias que hemos ido detectando a lo largo de ambos documentos:

Utilización de niveles

Nos parece un gran acierto el hecho de haber pensado en distintos grados para la certificación. En este caso se utiliza la similitud con la gradación de estrellas de los hoteles (de 1 a 5), al igual que los cinco niveles utilizados en la calificación (de la A a la E). Por desgracia, parece que sólo se dan certificaciones a partir de 3 estrellas, lo cual nos deja únicamente con tres niveles operativos (3, 4 ó 5 estrellas).

La diferencia es que los niveles que utiliza esta certificación son globales, mientras que en la calificación utilizamos los 5 niveles pero en las tres dimensiones de la seguridad (confidencialidad, integridad y disponibilidad).

Enfoque SaaS

De hecho, todos los documentos llevan ese subtítulo (SaaS). En realidad, existen tres modalidades de certificación que podrían resumirse en la siguiente ecuación:

Star Audit SaaS certification = Star Audit SaaS Ready certification + Star Audit SaaS App certification

Total = Infraestructura + Aplicación

La calificación no distingue por modalidad, en realidad, es válida para cualquier tipo de servicio TIC, lo único es que los controles no aplicarán de igual manera dependiendo del tipo de servicio.

Validación de cumplimiento

El esquema de EuroCloud se apoya en el equipo de auditores de eco IT Service und Beratung GmbH que también pertenece, como EuroCloud, a la Asociación de la Industria de Internet de Alemania (eco) mientras que la calificación de leet security es una combinación de auto-evaluación (con validación inicial) y auditorías periódicas.

Período de validez

En este punto nos encontramos con diferencias y similitudes. Por un lado, mientras que la certificación tiene una validez de 24 meses, la calificación es válida durante 12 meses.

Pero por otro, ambos esquemas coincidimos en conseguir el compromiso del proveedor de notificar cualquier circunstancia que pudiera afectar a la certificación - calificación.

Comunicación

En este punto, también encontramos otra similitud, pues ambos esquemas coinciden en la importancia de difundir los resultados de la certificación - calificación.

Precios

Mientras que en leet security hemos apostado por precios que varían en función del tamaño del proveedor, el precio en el esquema de EuroCloud depende de, por un lado, el tipo de certificación que se quiera (total, infraestructura o aplicación) y el número de estrellas deseado (por ejemplo, 12.500EUR en el caso de la certificación general de 3 estrellas ó 26.500EUR para la de 5 estrellas).

En realidad, también hay una similitud, los socios de EuroCloud tienen un descuento; en la certificación porque es la propia EuroCloud la que ofrece el servicio y en el caso de leet security, gracias al acuerdo con EuroCloud España.

Criterios de evaluación

Los criterios recogidos en la certificación de EuroCloud serían los siguientes:

  • Contrato y cumplimiento
  • Seguridad
  • Operaciones e infraestructura
  • Procesos operativos
  • Aplicación
  • Implantación

La gran diferencia con la calificación de seguridad es que ésta se enfoca en la seguridad y resiliencia del servicio, mientras que la certificación incluye aspectos más relacionados con la operativa de la aplicación (todo un apartado dedicado a ella), dado de su enfoque específico en SaaS y no de carácter general como la calificación.

Por otra parte, la seguridad no aparece hasta la certificación de 4 estrellas, mientras que en la calificación existen requisitos incluso para alcanzar el nivel E.
 

En definitiva, que cada esquema tiene su propio enfoque con sus ventajas e inconvenientes. Esperamos haber ilustrado bien las similitudes y diferencias y haber destacado los elementos por los que pensamos que la calificación ofrece información valiosa para los usuarios.

Puedes seguirnos en twitter.com/leet_security

17 de septiembre de 2012