>Cloud Security Alliance España ha traducido y adaptado la nueva versión de la matriz de controles de referencia para la seguridad Cloud, incorporando las especificaciones de la normativa española en materia de seguridad.

>El objetivo principal de la creación de una versión en español del Cloud Controls Matrix es impulsar la adopción de servicios de Cloud en España, permitiendo tanto el cumplimiento normativo como la seguridad efectiva de los datos.

Descarga la versión española del Cloud Controls Matrix: http://www.ismsforum.es/CSA_CCM_v3-ES

Cloud Security Alliance España (CSA-ES), iniciativa impulsada por la Asociación Española para el Fomento de la Seguridad de la Información, ha publicado una guía que recoge los controles de referencia más importantes en seguridad Cloud, tomando como base los principios publicados por Cloud Security Alliance Global en el Cloud Controls Matrixv3 (CCM)y los requisitos de la normativa española más importantes en la materia (Reglamento de la Ley Orgánica de Protección de Datos, en adelante RLOPD, y el Esquema Nacional de Seguridad, en adelante ENS). En esta ocasión, además de la adaptación al RLOPD y al ENS, se han traducido de forma completa al español el contenido de los controles. Como resultado, proveedores y clientes disponen en la guía de la referencia nacional más completa para la evaluación de riesgos de seguridad en el ámbito del Cloud.

El objetivo principal de la versión española del Cloud Controls Matrix es impulsar la adopción de servicios de Cloud en España, permitiendo tanto el cumplimiento normativo como la seguridad efectiva de los datos.

La versión 3 del CCM mejora sustancialmente las versiones anteriores y contiene un total de 136 controles de referencia que cubren tanto aspectos de cumplimiento y gobierno, como de arquitectura y de tipo técnico, lo que permite reducir los riesgos, las amenazas y las vulnerabilidades en la nube. Se ha establecido la correspondencia entre el RLOPD, el ENS y el CCM, pero la aplicación del CCM va más allá del mero cumplimiento normativo.

Cualquier entidad que pretenda gestionar datos de carácter personal en un entorno Cloud no sólo debería tener en cuenta los controles del RLOPD coincidentes con el CCM, sino que también debería evaluar el resto de controles de esta matriz. Ahora bien, dado el nivel de detalle, en torno al 40% de los controles de la matriz no pueden ser relacionados de forma directa con artículos del RLOPD.

El CCM, cuya implantación recomienda el capítulo español de CSA, excede significativamente al RLOPD en el abanico de controles. No obstante, existen aspectos fundamentales del RLOPD que no contempla de forma explícita el CCM, por lo que la aplicación exclusiva de los controles del CCM aportaría un elevado grado de seguridad, aunque no garantiza por si misma el cumplimiento del RLOPD.

“El CCM v3 es una buena herramienta para que los responsables de fichero puedan aplicar un adecuado nivel de seguridad en el ‘cloud’, ayudándoles a cumplir el RLOPD. La adopción de la versión 3 eleva el nivel de seguridad y es una ayuda imprescindible para el cumplimiento del RLOPD e un entorno ‘cloud’, destaca Beatriz Blanco, miembro del grupo de trabajo de Cloud Security Alliance España establecido para la ocasión.

En relación al Esquema Nacional de Seguridad, la guía de controles incluye la distinción por niveles de seguridad en función de la criticidad de la información, tal y como se dispone en el ENS (bajo, medio o alto), así como aquellos relacionados con la propiedad intelectual del software propietario, las restricciones de acceso al código fuente de las aplicaciones o programas, ciertos requisitos contractuales y reglamentarios en relación con el acceso de terceros o las medidas de seguridad concretas sobre el uso de redes inalámbricas. En este caso, dado el grado de detalle del ENS, solo un 14% de los controles del CCM no se pueden relacionar directamente con medidas contenidas en el ENS

“Los controles de la matriz CCM ayudan a cumplir el ENS en un entorno Cloud y aportan medidas de seguridad adicionales de interés para las Administraciones Públicas. En su estado de madurez actual se ha de considerar como una referencia ineludible en la valoración de la seguridad de un entorno ‘cloud’”, explica Jorge Laredo (HP), miembro del grupo de trabajo de Cloud Security Alliance España establecido para la ocasión.

Descarga la versión española del Cloud Controls Matrix: http://www.ismsforum.es/CSA_CCM_v3-ES