En ocasiones anteriores hemos visto como uno de los principales frenos de las empresas a la hora de externalizar servicios en la nube es la falta de claridad sobre las medidas de seguridad que proporcionan los prestadores de servicios y sobre cómo los clientes podrán ver cumplidas sus responsabilidades legales en un modelo de prestación de servicios en régimen de Cloud Computing (por ejemplo, en relación con la legislación de protección de datos).
La Cloud Security Alliance (en adelante, CSA) lleva varios años liderando una iniciativa global orientada hacia la promoción y estandarización de buenas prácticas en materia de seguridad y control en la industria de servicios en Cloud Computing. La CSA es una organización sin ánimo de lucro que da apoyo y orientación a las empresas del sector para eliminar el freno antes mencionado, beneficiando tanto a proveedores como clientes.
En los últimos meses la CSA ha dado un importante impulso a este empeño con el lanzamiento del programa de certificación STAR en colaboración con la British Standard Institution (BSI, la más importante compañía de estandarización de negocios del mundo y responsable del precursor de la actual ISO/IEC 27001:2005, el estándar de facto en materia de gestión de seguridad de la información).
La certificación STAR de una empresa de servicios en la nube debería suponer una garantía para los clientes ya que implica una evaluación independiente y exhaustiva de la seguridad que ofrece la oferta del proveedor de servicios. Se trata de una certificación ajena a cualquier solución tecnológica concreta y está basada en los requisitos de control del estándar de seguridad ISO/IEC 27001:2005 y la CSA-CCM (la matriz de controles cloud de la CSA). La certificación STAR supone un paso más en la iniciativa de la CSA de definir un Marco de Certificación Abierto (OCF, Open Certificaction Framework).
El directorio STAR
El acrónimo de la certificación STAR está formado por la siglas en Inglés de “Security, Trust & Assurance Registry” y hace referencia a uno de los pilares centrales del modelo impulsado por la CSA: la creación de un registro o directorio públicamente accesible de los controles de seguridad proporcionados por los distintos proveedores de soluciones cloud así como el nivel de certificación alcanzado por el proveedor. El objetivo último es permitir a los consumidores disponer de una forma simple y efectiva de poder comparar y evaluar el nivel de seguridad y privacidad que ofrecen distintos proveedores de servicios en la nube. Se trata, en definitiva, de dar mayor claridad y transparencia a las ofertas.
OCF, Open Certificaction Framework
El marco de certificación abierto OCF está estructurado en tres niveles, cada uno de los cuales implica un mayor nivel de transparencia y confiabilidad del proveedor cloud y, por tanto, un mayor nivel de garantía para el consumidor potencial de estos servicios.
Nivel 1: auto evaluación
En este nivel el proveedor de servicios se evalúa a sí mismo en cuanto al grado de cumplimiento de los controles definidos por la CSA como mejores prácticas (ej: en base a los controles del CSA-CMM).
Nivel 2: evaluación por parte de un tercero
En el nivel 2, se definen dos alternativas posibles:
- Certificación STAR
Este sub-nivel implica que un tercero cualificado determina una calificación sobre el grado de madurez de los procesos del proveedor Cloud. El grado de madurez se establece tomando como referencia los requisitos ISO/IEC 27001:2005, la CSA Cloud Control Matrix (CSA-CMM) y los propios requisitos internos del proveedor. Esta calificación aporta un gran valor a los potenciales clientes al permitirles objetivar sus propios criterios de selección al evaluar ofertas de servicio.
- Garantía STAR
Este nivel implica que un auditor cualificado independiente atestigüa el nivel de control del proveedor usando en su examen los criterios de un informe estándar de auditoría SOC 2 (Service Organization Controls report), complementado con una evaluación de la CSA-CMM.
Nivel 3: certificación basada en monitorización continua
Este tercer nivel está aún en fase de definición, pero la idea es que se base en proporcionar por parte del proveedor del servicio información casi en tiempo real que permita al consumidor comprobar el grado de cumplimiento de sus requisitos de control. Se basa en la recolección automatizada de evidencias de auditoría que son puestas a disposición del consumidor para su monitorización continua.
Los retos de cara al futuro
La iniciativa de la CSA es sin duda uno de los intentos más serios de estandarizar la seguridad y el control en la industria del cloud computing; sin embargo, es una iniciativa que aún está en desarrollo y lejos aún de poder ser considerada un estándar global consolidado.
En la actualidad, en el directorio STAR hay listadas unas 50 empresas de servicios Cloud, la mayoría del ámbito anglosajón. De estas 50, sólo 3 están en el nivel 2 (certificación STAR) y el resto en el nivel de menor garantía de seguridad, el basado en la propia autoevaluación de las empresas del directorio.
Varias son las dificultades que se plantean al enfoque de la certificación STAR:
- Como hemos mencionado, en las alternativas del nivel 2 se requiere a las empresas una certificación previa en la ISO/IEC 27001 o la obtención de un informe SOC2 al que se le debe añadir una evaluación con respecto al catálogo de prácticas CSA-CMM. Dado que los requisitos previos mencionados pueden ser usados por sí solos por las organizaciones para dar garantía de sus niveles de seguridad (especialmente el informe SOC), puede que los proveedores de servicios cloud no encuentren el valor añadido de incurrir en el sobrecoste de la evaluación con el CSA-CMM. Si este fuera el caso, la CSA estaría sin pretenderlo potenciando únicamente la certificación ISO/IEC 27001 y la evaluación SOC como los estándares de facto para asegurar los servicios en la nube.
- La certificación STAR, aunque pueda ser una buena referencia de partida a la hora de pre-seleccionar a un proveedor de servicios, no evita que el cliente deba realizar su propia evaluación para verificar si la oferta del proveedor se ajusta realmente a sus requisitos específicos. En este sentido, la iniciativa de la CSA no cubre de momento todas las necesidades de los clientes de servicios cloud.
- Puede que las empresas encuentren en el directorio STAR solamente un valor desde el punto de vista de márketing. Si los potenciales clientes tienden a considerar más seguros a los proveedores por el simple hecho de aparecer listadas en el directorio, entonces puede que las empresas aspiren simplemente a aparecer en el listado, aunque solo sea en el nivel 1 que es el más barato y fácil de adquirir.
El futuro dirá si la iniciativa madura y se consolida.
Un fuerte abrazo, gracias por la atención y hasta la próxima entrega.
Negocios bajo control 