Es cada mayor la cantidad de proveedores de servicios en la nube que
intentan garantizar los niveles deseados de seguridad requeridos por sus
clientes y socios. Metodologías, frameworks, estándares
(con o sin certificación), etc.. Hay muchas herramientas y estrategias para
lograr la visibilidad necesaria para "ganar" su cuota de mercado y de
alguna manera diferenciarse de la competencia.
Independientemente de las herramientas utilizadas las respuestas son siempre las mismas: controlar, medir, evaluar, evaluar y evaluar (y por supuesto, PDCA, por eso siempre queda bien en cualquier situación...). Pero, ¿cómo? ¿Qué frameworks, metodologías o estándares?
Para los que quieren una primera aproximación y con el fin de obtener apoyo en esta ardua tarea, ISACA tiene un libro (disponible sin costo para los miembros) cuyo enfoque principal son los controles y las contramedidas que pueden utilizarse en la "nube" y cómo podemos usar la "nube" para crear valor en los sistemas.
Uno de los puntos interesantes de esta publicación: es la inclusión de un programa de auditoría alineada con el tema.
También, el libro explora los modelos de "Cloud Computing Service Delivery" (SaaS y PaaS, IaaS) y " Cloud Deployment " (nube privada, nube pública, nube comunitaria y nube hibrida) desarrollado por CSA (Cloud Security Alliance).
Basado en las herramientas GEIT desarrollada por ISACA, el libro hace una aproximación de estos frameworks y modelos de buenas prácticas de manejo de la "nube".
Como "Assurance Frameworks", hace referencia a la matriz de seguridad COBIT, ISO 27001/2, CSA Security Matrix, entre otros.
La matriz de seguridad CSA (parte del GRC Stack) introduce un conjunto de controles para garantizar la seguridad en la "nube", y en el que asigna varios cheques de Marcos y las normas reconocidas en el mercado.
También tenemos la nueva norma ISO
27018 que es la primera norma internacional sobre seguridad en la nube y aborda
cuestiones específicamente relacionadas con este tipo de tecnología, algo que
hasta el momento no existía. Fundamentalmente protege el derecho a la
privacidad de la información de los usuarios y obliga a las empresas
proveedoras a informar sobre el tratamiento que le dan a los datos de sus
clientes. La norma pretende fortalecer la privacidad mediante la
incorporación de sistemas de protección claves para la información
sensible de clientes almacenada en la nube.
Dejo el enlace donde se puede tener acceso a la publicación de ISACA del
2009 pero muy al día (completo, si son miembros de ISACA):
También algunos libros nuevos de ISACA recomendados:
Pueden descargar la matriz de seguridad de la CSA:
https://cloudsecurityalliance.org/research/initiatives/cloud-controls-matrix/
Por ultimo La norma ISO/IEC 27018:2014 la pueden adquirir aquí:
Así que, al parecer ya tenemos todo (o no!), estrategias, metodologías y Frameworks (y controles alineados a las necesidades actuales).
¿Estamos en el camino correcto? Sí, pero todavía nos falta mucho por recorrer.
No hay comentarios.:
Publicar un comentario