Uno de los principales inconvenientes a la hora de externalizar servicios en la nube es la falta de garantías que puedan existir en materia de seguridad de la información, determinante a la hora de exponer nuestros datos a riesgos que no controlamos directamente.
Una certificación en este ámbito puede asegurar las garantías que realmente aplica un proveedor de servicios cloud desde el punto de vista de seguridad de la información, pero actualmente no existen muchas posibilidades en esta materia.
En este artículo pretendo analizar las normas más importantes de seguridad de información aplicables a entornos cloud, y las posibilidades de que puedan ser certificables por parte de cualquier entidad.
Certificación STAR
Con la idea de poder estandarizar las buenas prácticas en este sector, Cloud Security Alliance (CSA) lidera actualmente una iniciativa que permite la certificación de la seguridad y control de estos servicios. En colaboración con la certificadora Bristish Standard Institution (BSI), lleva a cabo el programa de certificación STAR, se utiliza este sistema como garantía para los clientes a través de una evaluación independiente de la seguridad.
Una consideración a tener en cuenta a la hora de obtener esta certificación es que el plan incorpora los requisitos de la norma ISO 27001 así como un índice de madurez con requisitos específicos de la nube, y por ello para esta certificación siempre es requisito disponer de todas las exigencias de la norma ISO 27001. De hecho, la certificación que se ofrece es de ISO 27001 con la referencia del programa STAR.
Además, la certificación STAR ofrece una evaluación de controles de seguridad de otros estándares, tomando como referencias COBIT o NIST SP800-53, así como la matriz de controles cloud de CSA, denominada CCM.
De esta forma se cubren las áreas de cumplimiento, gobierno de la información, seguridad física, seguridad en recursos humanos, cumplimiento legal, gestión de operaciones, gestión de riesgos, gestión de versiones, resiliencia y arquitectura de seguridad, entre otras, pero siempre teniendo como visión la características de estos servicios.
ISO/IEC 27017:2015: seguridad en entornos Cloud
La ISO 27017 es una norma específica de seguridad con controles de seguridad para proveedores y clientes en entornos cloud, tomando como base la familia de normas ISO 27001.
En concreto, esta norma incluye una guía con 37 controles de ISO 27002 mapeados y enfocados a estos entornos, así como 7 nuevos controles que abordan los siguientes puntos:
- La responsabilidad de lo que sucede entre el proveedor de servicio cloud y el cliente.
- La eliminación y/o devolución de activos cuando un contrato cloud se resuelve.
- La protección y separación del entorno virtual del cliente.
- La configuración de una máquina virtual.
- Las operaciones y procedimientos administrativos relacionados con el entorno cloud.
- El seguimiento de la actividad de clientes en la nube.
- La alineación del entorno de la red virtual y cloud.
De cada a esta norma, debemos tener en cuenta que no es certificable aún (no sabemos si lo será en un futuro). Por tanto, los sellos que podamos encontrar relacionados con la ISO 27017 no son certificaciones como tal, sino algo totalmente privado y diferente.
Por ejemplo, hay algunas entidades que ahora disponen de un EY Certificate Point de ISO 27017, pero no se tratan de certificación oficial como la que se pueda obtener de una certificadora. Son garantías que ofrece esta entidad pero no cumple con las características de ISO para poder certificarlo.
Lo más adecuado de cara a publicitar el cumplimiento de esta norma por una entidad es realizar una declaración de cumplimiento, aunque evidentemente no tiene la misma validez que una certificación oficial. Por ejemplo, la entidad OVH ha realizado una buena exposición de su cumplimiento, como puede apreciarse en el siguiente enlace: https://www.ovh.es/noticias/articles/a2293.ovh-certificacion-27017-seguridad.
ISO/IEC 27018:2014: tratamiento de datos personales en entornos cloud
Similar en términos de certificación ocurre con la norma ISO 27018, que tampoco es certificable como tal, ya que no corresponde con un sistema de referencia de gestión independiente. Por tanto, al igual que ocurre con la anterior norma, aunque nos encontremos con alguna referencia o sello de cumplimiento de esta norma, no se tratará de un certificado de ISO como pueda obtenerse con las normas ISO 27001, ISO 20000 o ISO 22301, por ejemplo.
La ISO 27018 es la norma que establece los requisitos para la protección de la información de identificación personal (que denominan PII – Personally Identifiable Information) en sistemas cloud de forma específica. Esta norma también se encuentra inspirada en la ISO 27002 sobre controles de seguridad, al igual que con la norma ISO 29100 relativa a privacidad y protección de datos.
El objetivo de esta norma es la orientación en la implantación de controles de seguridad para la información con datos personales, y puede servir de complemento para las legislaciones actuales en esta materia.
Además, la forma y estructura de esta norma está muy enfocada a que nos permita ser de guía para cubrir aspectos relativos a la seguridad en datos personales conforme con el Reglamento General de Protección de Datos, que será exigible a partir de mayo de 2018 en todos los países miembros de la Unión Europea. Se puede tomar perfectamente como referente, teniendo como principales ventajas:
- Un marco de privacidad con especial en enfoque en la seguridad de la información.
- Los controles necesarios para mitigar los principales riesgos en este ámbito.
- La información que incluye para crear y establecer controles de privacidad para procesar datos de carácter personal.
Otro enfoque en la certificación
Las normas ISO 27017 y 27018 no dejan de ser un listado de buenas prácticas con recomendaciones específicas en materia de seguridad para dos ámbitos muy concretos, pero no dispone de un sistema de referencia de conformidad propio. Ese es el motivo principal de que no sean certificables como tal.
Un enfoque es incorporar en el marco de gestión de la norma ISO 27001 los controles aplicables a ISO 27017 e ISO 27018. De esta forma se integran en la declaración de aplicabilidad del sistema de gestión de seguridad como otros controles de seguridad aplicables, además de aquellos que especifica la ISO 27002. La idea es que estas recomendaciones completen un sistema de gestión de seguridad de ISO 27001, y que de esta forma, en la certificación de ISO 27001 se incluyan los controles de seguridad de estas normas de referencia, quedando estos controles certificados bajo el estándar de ISO 27001, que es el actualmente certificable.
Es la única forma actualmente de incluir los estándares de ISO 27017 e ISO 27018 en un sistema de gestión de seguridad que pueda ser certificado, aunque en ningún caso se tratará como una certificación independiente relativa a estas normas.
Los estándares y normas se han convertido en referencia importante en el sector de la seguridad de la información, tomando un valor muy destacable hoy en día en la homologación de servicios y siendo utilizados como complemento a las obligaciones que son exigidas por ley. No obstante, debemos tener claro siempre en que momento son certificables y de que forma, para que cualquier sello no pueda ser admitido como propietario de una certificación concreta.
Iván Ontañón Ramos
Departamento Compliance