Aquellos que hayan analizado la ISO/IEC 27017 (o incluso los que se hayan certificado en ella) habrán visto que es una norma que, apoyándose en el repositorio de controles que supone la ISO/IEC 27002, añade otros controles que son específicos para la computación en la nube.

Además, tiene la particularidad de que las medidas que añade tienen en cuenta el rol del consumidor y del proveedor, incluyendo una guía para cada uno de ellos (que puede ser la misma o específica).

En cualquier caso, nos gustaría detenernos en el control 14.1.1 Análisis y especificación de requerimientos de seguridad. En este control, la norma recoge diferentes funciones para los roles mencionados anteriormente:

  • Por un lado, el cliente debe especificar los requerimientos de seguridad y, posteriormente, analizarlos y evaluar si están los controles implementados en el servicio están alineados con dichos requerimientos.
  • Y, por otro lado, el proveedor tiene que proporcionar información relativa a los controles que tiene implementados para que el cliente pueda realizar el mencionado análisis de alineamiento entre controles y requerimientos.

La verdad es que es lógico y evidente, pero como toda norma, nos dice el qué, pero no el cómo: ¿Cómo se puede articular esta solicitud  y envío de información de controles sin caer en una revelación de información sensible que pueda provocar un agujero de seguridad en sí misma?

Pero, en verdad, este escenario es el que, actualmente, tienen todos los clientes y proveedores de servicio:

  • Cada cliente define sus propios requerimientos de seguridad, específicos para sus necesidades.
  • El proveedor responde a cada uno de estos requerimientos de manera individual y específica.
  • Los clientes revisan cada una de las respuestas de sus (potenciales) proveedores una a una.
  • (En el mejor de los casos) Cada cliente repite este proceso todos los años para una muestra relevante de proveedores.

¿Se imagina el lector un cliente que tenga que hacer este proceso si tiene más de 25 proveedores? ¿Y si tuviera más de 50? ¿O más de 100? Por otro lado, ¿se imagina el lector que un proveedor tenga más de 25 clientes? ¿Y si tuviera más de 50? ¿O entorno al millar?

¿Cómo puede este proceso ser manejado de manera que se transmita información relevante sin ser crítica desde un punto de vista de seguridad y siendo coste-eficiente?

Para LEET Security esta es una de las funciones (sino “la” función) del etiquetado de seguridad gracias a la transparencia que proporciona sobre las medidas de seguridad implementadas en un servicio. Además, dado que los criterios son objetivos y públicos y que el proveedor solo acomete un proceso de evaluación para calificarse, este proceso es tremendamente eficiente (siguiendo el principio de “hacer una vez, utilizar múltiples veces”).

Adicionalmente, la nueva versión de la guía de calificación incluirá un mapeo exhaustivo con los controles de las ISO/IEC27002 e ISO/IEC27017, pero si no puedes esperar a que salga, puedes pedirnos el mapeo escribiéndonos a info at leetsecurity.com.

 

Puedes seguirnos en twitter.com/leet_security

1 de marzo de 2016