Olof Sandström     Miembro del Comité Técnico Operativo de Cloud Security Alliance España (CSA ES)

En los últimos años el uso de servicios en la Nube o Cloud Computing ha crecido de una forma muy relevante y su potencial de crecimiento en los próximos años es enorme. De forma paralela al aumento del uso de la Nube, han ido surgiendo diferentes iniciativas de normalización relacionadas con estos servicios: desde esquemas de certificación a códigos de buenas prácticas, hasta el establecimiento de marcos diversos marcos regulatorios. Estos elementos pretenden aportar criterios sólidos y consistentes de funcionalidad, seguridad e interoperabilidad en los segmentos de proveedor y cliente.

En este sentido, nos encontramos con referenciales que establecen criterios en relación con los servicios Cloud para proveedores, clientes y profesionales. La cuestión es que ante la diversidad de normas, estándares, guías, etc. al final el usuario puede acabar confundido, sin tener claro cuál de ellos es más adecuado para su caso concreto.

Desde el capítulo español de Cloud Security Alliance (en adelante CSA-ES) se consideró oportuno realizar una revisión de estas normas, códigos de buenas prácticas, etc. para poder resumir a los posibles usuarios de estos documentos en qué consiste cada uno, y cuál puede ser el interés para su organización, o para él personalmente como profesional.

El objetivo principal del estudio que se realizó era comparar los diferentes marcos de referencia (normas, códigos de buenas prácticas, guías, leyes, etc.) en materia de Cloud Computing  con unos criterios comparativos comunes para permitir diferenciar las particularidades de cada uno de ellos y su aplicabilidad, tanto a proveedores como a clientes.  

También se establecieron una serie de casos de uso en los que cada referencial es particularmente eficaz en su aplicación. Los casos de uso identificados han sido de particular interés, puesto que definen casuísticas habituales en el mercado, tanto desde la perspectiva de un Cloud Service Provider, como desde la perspectiva de un usuario de servicios en la Nube.

·Segmento proveedor

• Caso 01: Empresa privada que proporciona servicios en la Nube
• Caso 02: Organismo público que presta servicios en la Nube
• Caso 03: Profesional que trabaja en el marco de la prestación de servicios en la Nube

·Segmento cliente

• Caso 11: Almacenamiento y sincronización de fotos para un usuario particular
• Caso 12: Correo y almacenamiento en la Nube para una pequeña empresa
• Caso 13: Externalización de comercio online para una gran empresa
• Caso 14: Centro de respaldo para un organismo público

El contenido completo del estudio puede descargarse de Internet en este enlace

Conclusiones del Estudio

Más allá de los resultados concretos del estudio, el grupo de trabajo llegó a las siguientes conclusiones:

1. Hay un número muy relevante de marcos de referencia aplicables al entorno de los servicios Cloud. Probablemente ningún paradigma o cambio tecnológico haya generado un cuerpo normativo tan extenso en tan poco tiempo.
2. Una parte relevante de las normas y códigos de buenas prácticas que se aplican en el ámbito de los servicios Cloud, no son específicos de la Nube. Tratan sobre ámbitos TIC de forma general, y las organizaciones lo adoptan para un entorno de Cloud Computing.
3. En general, cada marco de referencia se han desarrollado de forma independiente, sin tomar en consideración lo que otros marcos ya habían desarrollado.
4. Probablemente asistiremos a una consolidación de los marcos de referencia en función de la evolución de cada uno de ellos dentro del mercado, tras lo cual quedará un número reducido de marcos de referencia de facto en cada área (sistemas, gestión, profesionales, etc.).
5. La protección de los datos personales en los servicios en la Nube, entendido como derecho fundamental en Europa, añade cierta complejidad al desarrollo de los marcos de referencia, especialmente en lo que atañe a la internacionalización de los mismos.

Marcos de referencia incluidos en el Estudio

Dentro del estudio realizado en 2015 se incluyeron referenciales que se encontraban formalmente aprobados en el momento de la realización del mismo. Estos marcos de referencia se agruparon como se describe a continuación.

Legislación aplicable

• Esquema Nacional de Interoperabilidad
• Esquema Nacional de Seguridad
• Ley Orgánica de Protección de Datos de Carácter Personal
• Reglamento de Desarrollo de la LOPD

Certificaciones de sistema

• ISO 27001:2013 Information Security Management Systems, Requirements
• ISO 20000-1:2011 Service Management System, Requirements
• Cloud Security Alliance Open Certification Framework (CSA OCF)
• Cloud Security Alliance Security, Trust and Assurance Registry (CSA STAR)
• Eurocloud Star Audit
• Payment Card Industry Data Security Standard (PCI DSS)
• Statement on Standards for Attestation Engagements 16 SOC1, SOC2, SOC3 (SSAE 16 1-2-3)

Certificaciones profesionales

• Cloud Security Alliance Security, Certificate of Cloud Security Knowledge (CSA CCSK)
• Cloud Security Alliance Security, Certificate of Cloud Security Professional (CSA CCSP)

Códigos de buenas prácticas

• ISO 27002:2013 Code of practice for information security controls
• ISO 27018:2014 Code of practice for PII protection in public clouds acting as PII processors
• CSA Cloud Control Matrix
• Cloud Industry Forum Code Of Practice (CIF COP)

Guías de uso

• CCN STIC 823 Guía de seguridad de las TIC, utilización de servicios en la nube
• Article 29 WP196
• Guía APD para clientes que contraten servicios de Cloud Computing
• Guía APD para prestadores de servicios de Cloud Computing

Marcos que se tendrán en cuenta en próximas versiones

Aunque pueda parecer que el estudio ha contemplado un número significativo de marcos de referencia, lo cierto es que aún quedan bastantes por tener en cuenta, y que por diferentes motivos no se contemplaron en la primera versión del estudio:

• Se encontraban en sus fases finales de elaboración en el momento de la realización del estudio, pero aun no estaban formalmente aprobados.
• Estaban especialmente orientados al mercado estadounidense o asiático
• Siendo relevantes, su implantación en Europa era aún escasa.
• Se identificaron varias certificaciones personales susceptibles de ser incluidas en el estudio, sin embargo el equipo considero oportuno abordarlas en una siguiente versión.

Por ello, en siguientes versiones se pretende incluir en el mismo al menos los siguientes marcos de referencia:

·Legislación aplicable

• Ley de Administración Electrónica
• Futuro Reglamento Europeo de Protección de Datos

·Certificaciones de sistema

• Leet Security
• European Privacy Seal (EuroPriSe)
• Federal Risk and Authorization Management Program (FedRAMP)

·Certificaciones profesionales

• Amazon Web Services Certified Solutions Architect (AWS – CSA)- Professional
• Rackspace Cloud U
• IBM Certified Solution Advisor – Cloud Computing Architecture (IBM CSA-CCA)
• IBM  Certified Solution Architect - Cloud Computing Infrastructure(IBM CSA-CCI)
• IBM Certified Application Developer – Cloud Platform (IBM CAD-CP)
• Google Certified Deployment Specialist
• Red Hat Certified Architect: Cloud
• Cloud School Certified Cloud Technology Professional (CCTP)
• Microsoft Certified Solutions Expert (MCSE): Private Cloud
• VMWare Certified Professional 6 (VCP6) – Cloud

·Códigos de buenas practicas

• ISO 27017:2015 Code of practice for information security controls based on ISO/IEC 27002 for cloud services
• NIST SP 800-146 Cloud Computing Synopsis and Recommendations
• ISACA COBIT 5

·Guías de uso

• NIST SP 500-307 Cloud Computing Service Metrics Description