Cloud Computing*, (*modelo que permite ofrecer servicios de computación a través de Internet), es un término que se ha instalado entre nosotros recientemente y viene para quedarse. ¿Quién no quiere vivir en la nube y beneficiarse de sus múltiples ventajas, comenzando por el ahorro de costes que supone? Uno de los principales objetivos de este post es responder a las cuestiones que se plantean ante el eventual cruce entre un Sistema de Gestión de Seguridad de la Información (SGSI) y la contratación de servicios en Cloud.
Un SGSI, en cualquier empresa, certificado en ISO/IEC 27001, debe identificar fundamentalmente, la política y los objetivos de seguridad, el alcance del sistema, los procesos de negocio críticos para la organización y seleccionar la metodología de gestión del riesgo para realizar una evaluación del riesgo y que como resultado final, proporcionará a la organización los medios para gestionar los riesgos no aceptables.
Lo anterior es válido para entidades de cualquier sector y tamaño, ahora bien, haremos mención de las particularidades que habría que considerar, relacionadas con sistemas que gestionan servicios de información en la nube:
1. Definición del Alcance del Sistema que debe especificar los procesos cuya información o sistemas de información son objeto de interés para la certificación y revisar posibles dependencias con servicios en la nube que tenga subcontratados la organización.
2. Definición de la Política de Seguridad que fije un marco de objetivos, normativas y directrices de seguridad que marquen las pautas a seguir por la organización y por los prestadores de servicios, teniendo en cuenta los requisitos de la actividad empresarial, los requisitos legales y las obligaciones contractuales, de acuerdo a la metodología de gestión de riesgos de la organización. Ésta debe ser distribuida a toda la organización así como a los proveedores de servicios en la nube.
3. Definición de la Organización del SGSI identificando a los responsables y asignándoles responsabilidades y funciones, tanto dentro de la organización como en los proveedores de servicios en la nube que estén incluidos en el alcance para la definición, implantación, mantenimiento y revisión de controles así como para la participación activa en la identificación, gestión y monitorización de riesgos.
4. Definición de la metodología de evaluación de riesgos. De la selección de una metodología u otra dependerá que la gestión del SGSI sea exitosa. Por este motivo será necesario identificar las amenazas específicas de la nube, así como incluir los controles necesarios, específicos de la computación en la nube que puedan ser aplicados para gestionar el riesgo. El proveedor debe proporcionar al cliente los riesgos que implica la operación del servicio en cuanto a las tecnologías de la información y de las comunicaciones, para que cliente y proveedor colaboren en la definición de las medidas de seguridad que traten los riesgos identificados.
5. Establecer un canal de comunicación cliente-proveedor en relación a la identificación de riesgos, incidencias, cambios en niveles de riesgo aceptables y coordinación de la seguridad.
6. Definir y revisar las cláusulas del contrato y los acuerdos de nivel de servicio con el proveedor.
Una consideración muy importante y que no debemos perder de vista, desde el inicio de la certificación de un SGSI, es que la organización o el cliente es el último responsable de la información y de los sistemas de información utilizados para la gestión de la misma, ya sean datos propios o de clientes. Por ese motivo, cuando se precisa la subcontratación de servicios en la nube, la implicación del proveedor llega hasta donde el cliente le exige, mediante cláusulas y acuerdos de nivel de servicio.
La responsabilidad sobre los servicios en la nube es compartida entre proveedor y cliente, debiendo los mecanismos de seguridad para proteger la información y datos en la nube deben ser identificados, evaluados, implantados, gestionados y monitorizados y auditados por ambas partes.
¿Qué controles de seguridad deben considerar las organizaciones o clientes para asegurar la correcta gestión de su SGSI y el cumplimiento con la política y objetivos de seguridad de la organización?
Lo más importante es identificar cuáles son los riesgos que implica tener un servicio en la nube, a partir de ahí, se deberán identificar, en base a la selección de la metodología de gestión del riesgo seleccionada, cuáles son las medidas a adoptar. Teniendo en cuenta que estamos pensando en la relación entre cliente y proveedor de servicios en la nube, es imprescindible preparar los Acuerdos de Nivel de Servicio (ANS), que serán los que proveerán al cliente de la capacidad suficiente para poder cumplir con sus objetivos de seguridad, siendo la herramienta mediante la que se definirán los controles que deberá cumplir el proveedor del servicio.
Los controles que relacionan al cliente con el proveedor de servicio y sirven de herramienta para poder cumplir con los objetivos de seguridad de la organización son fundamentalmente los recogidos del anexo A de la norma ISO/IEC 27001 (aunque no son exhaustivos y podrían seleccionarse de otras normas): A.6.2.1 Identificación de riesgos por el acceso a terceros, A.6.2.3 Tratamiento de la seguridad en contratos con terceros, A.10.2.1 Prestación de Servicios, A10.2.2 Supervisión y revisión de los servicios prestados por terceros, A10.2.3 Gestión de cambios en los servicios prestados por servicios.
¿Cómo afecta al proveedor de servicios en la nube que sus clientes se certifiquen?
Los proveedores, aparte de dar el servicio a sus clientes, deben esforzarse en proporcionar las evidencias necesarias para garantizar que el cumplimiento de los niveles de seguridad y de los acuerdos de nivel de servicio con sus clientes.
Algunos de los beneficios para los proveedores de servicios serían el establecimiento efectivo de controles, confianza en la gestión de los controles, políticas y objetivos de control evaluados, y probados por una parte independiente, e identificación de oportunidades de mejora en áreas operacionales.
Como desventaja notable, no disponer de un certificado puede derivar en una carga desmesurada de auditorías para el proveedor de servicios, viéndose en la obligación de atender múltiples solicitudes de auditorías de sus clientes.
