En comentarios de los días previos (¿”Nubarrones” en la Nube? del 12-03-2011) ha quedado claro que la seguridad en la mayor
preocupación de aquellos que están pensando en “saltar a la Nube” (hablando
principalmente de Cloud Públicas) ya sea como usuarios o ya sea como proveedores
de Servicios Cloud, y aunque también vimos (¿Es realmente la seguridad una barrera para el Cloud Computing? del 14-03-2011) que la propia Cloud puede
aportar mejoras a la seguridad, y que en cualquier caso los problemas de seguridad precisan de
atención y de resolución siguiendo métodos acorde al Modelo Cloud, es
decir desde planteamiento coherentes
con nuevo paradigma que significa el Cloud Computing, y el cambio cultural que precisa tanto en aspectos de uso, como de gestión de los servicios,
como de procesos operativos, como de diseños y arquitecturas de las
infraestructuras subyacentes, etc. Y parodiando las “películas del oeste” ha
venido la caballería al rescate …
Una vez más la solución a este desafío de
seguridad no está en un producto, ni en una técnica, ni un método, ni en un
proceso concreto, sino en una normalización de todas las actividades necesarias
para garantizar la seguridad, como acaba de hacer la Administración Federal
Norteamericana. Como ya hemos comentado esta Administración
decidió a finales del 2010 impulsar el uso del Cloud Computing entre todos los
organismo federales para poder reducir el coste de los servicios, y obviamente
no cerrar los ojos ante la necesidad de que los servicios que se lleven a las
Cloud Públicas sean tan seguros o más que en su estadio anterior.
Para responder a ese reto, en enero de esta año
2012 ha publicado su “Federal Risk Assessment Program” (FedRAMP), que como su
nombre indica pretende evaluar y asegurar el riego mediante la normalización de
más de 150 “controles de
seguridad” agrupados en 16 “categorías” y con los que se establecen los
requisitos de seguridad comunes para la implementación de Clouds en determinados
tipos de sistemas. De esta forma los proveedores que quieran vender sus
servicios a la Administración Federal NorteAmericana deberán adherirse al
programa y demostrar que cumple con dichos controles.
Entre las áreas que cubren las “categorías” se
hayan las siguientes: el control de acceso, la auditoría y trazabilidad, la
evaluación y autorización, la gestión de la configuración, los planes de
contingencia, la identificación y autenticación; la respuesta ante incidentes,
la supervisión y mantenimiento de los controles, la protección de las
comunicaciones y de los sistemas; la integridad de la información y de los
sistemas, la protección física y ambiental, la seguridad del personal, la
evaluación de riesgos, etc. A su vez, cada “control” cubre un área muy
específica en una categoría. Por ejemplo, los “controles” específicos a realizar
dentro de la categoría de “control de acceso” incluyen la gestión de cuentas, el
cumplimiento forzoso de acceso, el hacer cumplir flujo de información, y la
separación de funciones, mientras que por poner otro ejemplo, la categoría de
“protección de comunicaciones y sistemas” abarca muchos de los procedimientos de
seguridad estándar, tales como certificados PKI, el uso de la criptografía, la
negación de servicio, etc.
Tissat, certificada (entre otras normas) en la
ISO 27.001 y la ISO 20.000, está revisando todos estos controles para
habilitarlos también en sus Servicios Cloud.
No hay comentarios:
Publicar un comentario