Etiquetas

, , ,

En comentarios de los días previos (¿”Nubarrones” en la Nube? del 12-03-2011)  ha quedado claro que la seguridad en la mayor preocupación de aquellos que están pensando en “saltar a la Nube” (hablando principalmente de Cloud Públicas) ya sea como usuarios o ya sea como proveedores de Servicios Cloud, y aunque también vimos (¿Es realmente la seguridad una barrera para el Cloud Computing? del 14-03-2011) que la propia Cloud puede aportar mejoras a la seguridad, y que en cualquier caso los problemas de seguridad precisan de atención y de resolución siguiendo métodos acorde al Modelo Cloud, es decir desde planteamiento coherentes con nuevo paradigma que significa el Cloud Computing, y el cambio cultural que precisa  tanto en aspectos de uso, como de gestión de los servicios, como de procesos operativos, como de diseños y arquitecturas de las infraestructuras subyacentes, etc. Y parodiando las “películas del oeste” ha venido la caballería al rescate …

Una vez más la solución a este desafío de seguridad no está en un producto, ni en una técnica, ni un método, ni en un proceso concreto, sino en una normalización de todas las actividades necesarias para garantizar la seguridad, como acaba de hacer la Administración Federal Norteamericana. Como ya hemos comentado esta Administración decidió a finales del 2010 impulsar el uso del Cloud Computing entre todos los organismo federales para poder reducir el coste de los servicios, y obviamente no cerrar los ojos ante la necesidad de que los servicios que se lleven a las Cloud Públicas sean tan seguros o más que en su estadio anterior.

Para responder a ese reto, en enero de esta año 2012 ha publicado su “Federal Risk Assessment Program” (FedRAMP), que como su nombre indica pretende evaluar y asegurar el riego mediante la normalización de  más de 150 “controles de seguridad” agrupados en  16 “categorías” y con los que se establecen los requisitos de seguridad comunes para la implementación de Clouds en determinados tipos de sistemas. De esta forma los proveedores que quieran vender sus servicios a la Administración Federal NorteAmericana deberán adherirse al programa y demostrar que cumple con dichos controles.

Entre las áreas que cubren las “categorías” se hayan las siguientes: el control de acceso, la auditoría y trazabilidad, la evaluación y autorización, la gestión de la configuración, los planes de contingencia, la identificación y autenticación; la respuesta ante incidentes, la supervisión y mantenimiento de los controles, la protección de las comunicaciones y de los sistemas;  la integridad de la información y de los sistemas, la protección física y ambiental, la seguridad del personal, la evaluación de riesgos, etc. A su vez, cada “control” cubre un área muy específica en una categoría. Por ejemplo, los “controles” específicos a realizar dentro de la categoría de “control de acceso” incluyen la gestión de cuentas, el cumplimiento forzoso de acceso, el hacer cumplir flujo de información, y la separación de funciones, mientras que por poner otro ejemplo, la categoría de “protección de comunicaciones y sistemas” abarca muchos de los procedimientos de seguridad estándar, tales como certificados PKI, el uso de la criptografía, la negación de servicio, etc.

Tissat, certificada (entre otras normas) en la ISO 27.001 y la ISO 20.000, está revisando todos estos controles para habilitarlos también en sus Servicios Cloud.