Análisis del Esquema de Auto-evaluación del Jericho Forum

Siguiendo con la tradición de analizar esquemas de seguridad que puedan aplicar a la nube, en esta entrada es el turno del "Esquema de Auto-Evaluación" del Jericho Forum(R) (PDF en inglés) cuyo interés para nosotros radica en el hecho de que aplicar un sistema de calificación, en este caso, con dos niveles.

El sistema se aplica para evaluar el grado en el que se cumplen los once mandamientos del Jericho Forum, y como su propio nombre indica, mediante una auto-evaluación por el propio proveedor del sistema, sin ningún tipo de validación por un tercero (a diferencia del esquema propuesto por leet security, en el que la propia agencia realiza dicha validación).

Pero, conceptualmente, la idea es la misma:

• Los proveedores pueden utilizarlo para responder a RFPs e indicar el nivel de seguridad que implementa.
• Los clientes pueden evaluar las necesidades de cada producto, en función de los requisitos.

También coincide el sistema de valoración de los niveles:

• Para alcanzar el nivel n, los criterios para el nivel n-1 tienen que cumplirse también.
• Para tener el nivel n, debe alcanzarse dicho nivel en todas las medidas que se evalúan.

La gran diferencia se da en el número de niveles: mientras que la guía evaluada tiene tres niveles (inaceptable - aceptable - bueno) frente a los cinco niveles utlizados por leet security (además de que no se utiliza tampoco el concepto de dimensiones - confidencialidad, integridad y disponibilidad).

En resumen, la guía analizar muestra como la auto-evaluación y la utilización de niveles son mecanismos útiles para obtener una mejor información a la hora de evaluar la seguridad de los productos y servicios TIC.