ISACA acaba de publicar el libro "IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud" (pdf solo para socios, el resto tendrá que comprarlo) en el que analiza como utilizar los materiales ya publicados previamente (COBIT, RiskIT, ValIT y BMIS) de modo específico a la problemática de la computación en la nube.

Nos gustaría resaltar algunos aspectos del documento que tienen relación con nuestra actividad como agencia de calificación de servicios.

En primer lugar, al analizar los retos de la computación en la nube, se mencionan algunos en los que la utilización de la calificación de los servicios podría tener un efecto muy positivo. Nos referimos concretamente a:

  • La transparencia de los procedimientos / políticas de seguridad - La utilización de la calificación es, sobre todo, un mecanismo de transparencia, por tanto, su aplicación a los servicios de TI y, en particular, a los prestados en la nube, ayudará a clarificar la postura de seguridad, no solo de cada proveedor, sino de cada servicio (un proveedor puede ofrecer distintas modalidades de un servicio fundamental con diferentes grados de seguridad).
  • La viabilidad de negocio del proveedor - La calificación del servicio que realiza leet security toma en consideración no solo aspectos "técnicos" de seguridad, sino que también incorpora elementos como la estrategia, la política de gestión de personas o la situación financiera del proveedor, ayudando al cliente a formarse una opinión de dicha viabilidad.

En segundo lugar, al hablar del modelo de gobierno en la nube, existe un apartado dedicado (como no) a la due diligence del proceso de selección del proveedor. Para ISACA, "realizar una investigación sobre los antecedentes del potencial proveedor de servicios en la nube es una faceta crítica del proceso GRC de la nube, aunque sea oneroso". Según el documento, habría cuatro aspectos que cubrir: Conocer a tu proveedor, derecho a auditar, evaluación de la continuidad y transparencia de la política / proceso de seguridad. En este apartado habría que resaltar que la aportación del sistema de calificación sería hacer este proceso de una manera mucho más eficiente y económica.

Finalmente, en el capítulo dedicado a dar garantías sobre la computación en la nube, encontramos múltiples referencias a la necesidad de crear un marco que simplifique esta tarea para la que, tanto proveedores como clientes, tienen incentivos para desarrollar. Hasta el momento existen múltiples estándares y documentos que intentan acercarse a la computación en la nube con un enfoque parcial (en el documento se recogen hasta 11), pero ninguno desde la perspectiva de ofrecer una visión al cliente sobre la resiliencia del servicio, que es el enfoque que hemos adoptado en nuestro sistema de calificación.

Por todos estos motivos, te animamos a enviarnos un correo a info@leetsecurity.com con dudas o cualquier otro tipo de información sobre el servicio de calificación.

Puedes seguirnos en twitter.com/leet_security

16 de agosto de 2011