Cloud Security Alliance España celebró su quinto encuentro anual el pasado 26 de noviembre en CaixaForum Madrid, con la colaboración de ISMS Forum Spain, en el que se dieron cita más de 100 profesionales de la seguridad en cloud computing.

Alain Pannetrat, senior researcher de Cloud Security Alliance, fue el encargado de abrir el encuentro con las últimas novedades e iniciativas de Global Cloud Security Alliance. Destacó el proyecto CloudTrust Protocol (CTP), que define un catálogo de métricas y estándares de seguridad, gobierno y gestión para garantizar transparencia entre proveedores y usuarios de servicios en la Nube, poniendo a disposición de los usuarios información relevante sobre el nivel de seguridad que ofrece su proveedor.

A continuación, Ramsés Gallego, miembro de CSA España y presidente de ISACA Barcelona, presentó la tercera edición del Estudio del Estado del Arte de Seguridad en Cloud Computing, realizado en cooperación entre los capítulos español y peruano de Cloud Security Alliance, y que continúa la serie de estudios realizados en 2013 y 2014 para España.

Como principales resultados, Ramsés indicó que los servicios más demandados por los clientes son los servicios de almacenamiento y correo electrónico; Además, pese a la alta exigencia de los usuarios de servicios en la Nube respecto de las garantías de seguridad que piden a sus proveedores, destacan los datos del menor número de incidentes en la nube y menor número de incidentes críticos; Y en relación al lugar desde el que se ofrece el servicio, se observa menor preocupación por el país del proveedor. Por primera vez, destacaba Ramsés, los datos reflejan el retorno de usuarios desde la nube aunque en mínimos.

Acto seguido, Miguel Ángel Pantoja, miembro de CSA España, presentó el segundo estudio del capítulo, “Implicaciones de Seguridad de Big Data”. “Los datos han vuelto al centro de la IT”, así comenzaba Miguel Ángel su presentación para hacer referencia a la enorme capacidad de almacenamiento y la rápida toma de decisiones, con el riesgo que supone, por ejemplo, si se inyectan datos maliciosos.

Miguel Ángel puso de manifiesto la falta de gobierno de la seguridad para controlar quién traza el origen de los datos, quién asegura que no han sido manipulados, o que no se han inyectado datos maliciosos… “Cada vez hay más datos y cada vez hay más decisiones tomadas por máquinas”, por lo que planteó la necesidad de pensar en la propiedad de los datos y en la propia seguridad física. “No hay conciencia del valor de los datos y en muchos casos los datos se ceden silenciosamente”, concluía Miguel Ángel.

En tercer lugar, Olof Sandstrom, miembro de CSA España y director de operaciones de Arsys, presentó el tercer Estudio de 2015: “Normativa y certificación en Cloud Computing”. Olof alegaba la ambigüedad en el ámbito de certificación de profesionales y proveedores de servicios en la Nube como premisa para llevar a cabo una labor de recolectar y comparar 21 marcos de referencia (normas, regulación y códigos de buenas prácticas) atendiendo a tipología, ámbito, cumplimiento obligado o no, alcance, sector, orientación, certificación y aplicabilidad. El objetivo, apuntaba Olof, es aportar información a los usuarios y a la Industria sobre la utilidad o la aplicabilidad de cada uno de los marcos de referencia.

Las principales conclusiones del Estudio, señalaba Olof, la multitud de normas no específicas de la Nube, el desarrollo independiente de los marcos de referencia, o la consolidación y reducción de los marcos de referencia.

Tras la presentación de estudios de CSA España, el encuentro centró su atención a la reciente anulación de "Safe Harbor" atendiendo a las garantías y adecuación del nivel de protección de datos y seguridad en relación a las transferencias de datos entre Europa y Estados Unidos. Leandro Núñez, miembro de CSA España, introducía la mesa redonda enmarcando la situación actual, abriendo cuestiones al resto de participantes. Manuel Martínez, desde Gas Natural Fenosa, abogaba por intentar dejar claro qué criterio se debe utilizar en la contratación de servicios en la Nube y qué marco de control debería exigirse a los proveedores. Ricardo López, desde Sareb, añadía que la sentencia ha supuesto establecer diligencia y mantener el control de los datos.

Por su parte, como Cloud Service Providers, Enrique Llopis de Drooms explicaba que lo fundamental es exigir al proveedor las condiciones del servicio y el tratamiento de datos (SLA, localización de datos, etc.); que “seamos auditables los proveedores”. Josep Bardallo de SVT Cloud, por su parte, consideraba que los proveedores de cloud “tenemos que evolucionar hacia un tercero de confianza que revise el cumplimiento del proveedor”.

Sobre el papel de las autoridades nacionales de protección de datos, los miembros de la mesa coincidían en que como autoridades de control deberían marcar una referencia a seguir por las empresas.

La última sesión del encuentro se organizó en colaboración del Centro de Estudios en Movilidad, iniciativa de ISMS Forum, para abordar los principales riesgos y amenazas en entornos IoT (Internet of Things). Desde el Centro de Estudios en Movilidad, Juan Manuel Zarzuelo, líder del área de IoT, dibujó el escenario actual de penetración de dispositivos conectados y la falta de seguridad en su diseño como kernel compartido, compartición de recursos, saltos de contenedores, escalabilidad de privilegios, entre otros. Todo ello, explicaba Juan Manuel, aplicado a edificios que emiten información, semáforos que controlan el tráfico…, entre otras tecnologías aplicadas a nuestra vida cotidiana que en 2020 llegarán a ser 20,8 billones de dispositivos conectados.