A continuación os presentamos los estudios realizados en 2015 por Cloud Security Alliance España:

Estudio del Estado de la Seguridad en Cloud Computing 2015. ESPAÑA-PERÚ   

El Estudio del Estado del Arte de Seguridad en Cloud Computing, realizado en 2015 en cooperación entre los capítulos español y peruano de Cloud Security Alliance, continúa la serie de estudios realizados en 2013 y 2014 para España.

Como en sus anteriores ediciones, el propósito es identificar cómo las empresas perciben el cloud desde una perspectiva focalizada en la seguridad de la información, de los datos y de los servicios corporativos.

El Estudio confirma la alta exigencia, previamente identificada, de los usuarios de servicios en la Nube respecto de las garantías de seguridad que piden a sus proveedores, destacándose en particular las garantías sobre confidencialidad, disponibilidad y privacidad. Exigencia que se ve reconocida con un aumento de la satisfacción con las mejoras que obtienen en sus servicios TI cuando son prestados a través de servicios en la Nube, con un nivel de satisfacción similar en todos los aspectos evaluados.

Se mantienen también las tendencias ya identificadas sobre los servicios más demandados por los clientes, con predominio de los servicios de almacenamiento y correo electrónico, si bien el usuario de servicios de almacenamiento prefiere recibir este servicio preferentemente desde Nubes Privadas.

Por otra parte, los criterios que los usuarios valoran para decidir sobre el proveedor de servicios en la Nube o el modelo de prestación de los mismos (público o privado) han experimentado una importante novedad. La Continuidad de Negocio sigue siendo el criterio más importante, seguidos de aspectos de seguridad, cumplimiento legal o contenido, y cumplimiento de los SLA. Pero la ubicación geográfica del servicio en la Nube es ahora el criterio menos valorado, por debajo de las certificaciones de seguridad del proveedor, la concesión de derechos a auditar para el cliente, o la integración del proveedor en los controles de seguridad. En este contexto, aumenta el conocimiento y aceptación de las certificaciones CCSK (para profesionales) o CSA-STAR (para organizaciones) sobre la prestación de servicios seguros en la Nube.

Asimismo, los participantes en el estudio consideran que no resulta sencillo ni probable que las organizaciones estén consumiendo servicios en la Nube mediante ShadowIT (uso de servicios en el Nube en una organización por personal no TI y sin conocimiento de TI). Y también indican que tras la migración a servicios en el Nube, se mejora la situación sobre los incidentes de seguridad, tanto en volumen (se tienen menos incidentes o los mismos), como en criticidad (los incidentes que ocurren son de menor importancia).

Finalmente, el Estudio revela, por primera vez, la existencia de organizaciones que decidieron en su día utilizar servicios en la Nube y que han decidido descontinuar la prestación de servicios de esta manera. Se trata de un porcentaje de organizaciones pequeño (3% de los participantes), en su mayoría basado en Perú, y que usaban por igual nubes privadas y públicas. Este hallazgo se interpreta como síntoma de madurez del mercado: los servicios en la Nube ya han podido utilizarse en tiempo y variedad suficiente, y ya son evaluados en base a datos más que en expectativas. Es razonable que no siempre sea una evaluación satisfactoria.

Implicaciones de Seguridad de Big Data 

Big Data ha vuelto a poner a los datos en el centro de la IT y de la Empresa. Su enorme capacidad de almacenamiento y cálculo ha revolucionado el conocimiento de todo tipo de sistemas y la toma de decisiones sobre los mismos. Con estas grandes capacidades han venido nuevos riesgos. A las amenazas tradicionales se les suman otras nuevas: al código malicioso se le unen los datos maliciosos de la misma manera que al gobierno de la seguridad se debe añadir el gobierno de los datos.

Big Data exacerba los problemas de privacidad y de propiedad de los datos. Aparecen formas de deducir información personalmente identificable a partir de datos parciales y dispersos. Y se agrava la asimetría entre los usuarios/ciudadanos que generan los datos y las Administraciones y Empresas que los explotan. Es imprescindible un debate social, técnico y político, para minimizar los riesgos y repartir equitativamente los beneficios de Big Data.

Este estudio pretende poner de manifiesto, a nivel ejecutivo, las interacciones que existen entre Big Data y seguridad con la intención de contribuir a abrir perspectivas y generar debate en el mundo de habla hispana.

Normativa y certificación en Cloud Computing 

En los últimos años el uso de servicios en la Nube ha crecido de una forma muy relevante y su potencial de crecimiento en los próximos años es enorme. De forma paralela al aumento del uso de servicios prestados desde la Nube, han ido surgiendo diversos intentos de normalización y sistematización de estos servicios: desde esquemas de certificación a códigos de buenas prácticas hasta el establecimiento de marcos regulatorios por diversos reguladores. Estos elementos pretenden aportar criterios sólidos y consistentes de funcionalidad, seguridad e interoperabilidad en los segmentos de proveedor y cliente.

Desde el capitulo español de Cloud Security Alliance (en adelante CSA-ES) se ha realizado una revisión de estas normas, códigos de buenas prácticas, etc. para poder resumir a los posibles usuarios de estos documentos en qué consiste cada uno, y cuál puede ser el interés para su organización.

Esta matriz supone el primer esquema sobre las certificaciones, estándares, marcos regulatorios y buenas prácticas en el ámbito cloud, así como una referencia para proveedores y clientes que incluye criterios compartivos para dar a conocer las particularidades de cada referencia.

Como principales conclusiones del Estudio, se observa que hay un número muy relevante de marcos de referencia aplicables al entorno de los servicios en la Nube. Probablemente ningún paradigma tecnológico o cambio haya generado un cuerpo normativo tan extenso en tan poco tiempo.

Una parte relevante de las normas y códigos de buenas prácticas que se aplican en el ámbito de los servicios en la Nube, no son específicos de la Nube. Tratan sobre ámbitos TIC de forma general, y las organizaciones lo adoptan para un entorno en la Nube.

En general, cada marco de referencia se ha desarrollado de forma independiente, sin tomar en consideración de una forma significativa lo que otros marcos ya habían desarrollado.

Probablemente asistiremos a una consolidación de los marcos de referencia en función de la evolución de cada uno dentro del mercado, tras lo cual quedara un número reducido de marcos de referencia de facto en cada área (sistemas, gestión, profesionales, etc.).

La protección de los datos personales en los servicios en la Nube, entendido como derecho fundamental en Europa, añade cierta complejidad al desarrollo de los marcos de referencia, especialmente en lo que atañe a la internacionalización de dichos marcos.