La auditoría y certificación del Cloud Computing y del Esquema Nacional de Seguridad

Por María del Valle Palma Villalón, Miembro del Subcomité (SC)38 “Servicios y plataformas para aplicaciones distribuidas” del Comité 71 “Tecnología de la Información” de AENOR (Asociación Española de Normalización y Certificación).

En el marco de EuroCloud España 2016, se desarrolló la mesa sobre “Auditoría y Certificación” en la que debatieron varios miembros del Subcomité (SC)38 “Tecnología de la Información” de AENOR.

En esta mesa participaron:

• D. Miguel Ángel Amutio, Subdirector Adjunto de Coordinación de Unidades TIC del MINHAP.
• D. Tomás Sánchez, Presidente del Subcomité (SC)38 de AENOR.
• D. Antonio Ramos, CEO de Leet Security.
• D. Alejandro García, Director General de IMQ.
• Dña. Beatriz Mayoral, Área de Certificación y Auditoría de Eurocloud.
• D. Juan Carlos Pascual, colaborador de Eurocloud

Los miembros del Subcomité (SC)38 coinciden mayoritariamente en señalar que la proliferación de certificaciones de los servicios en la nube generan inseguridad a los clientes, ya que éstos no disponen de los suficientes criterios para valorar cuales son las que mejor se adaptan a sus necesidades. En el otro lado, a los proveedores les supone un gran esfuerzo el tener que estar continuamente certificándose en normas diversas (1). Por ello se necesita una norma general entendible, con sistemas de niveles que calificarían su grado de conformidad con determinados servicios.

Informar que el Subcomité (SC)38 de AENOR ha creado dos normas UNE:

• UNE – Tecnología de la Información – Computación en la nube – Sistemas de etiquetado que se publicará próximamente.
• UNE 71380:2014 – Tecnología de la información – Computación en la nube – Vocabulario y definiciones (2)

Tomás Sánchez destacó la importancia de la norma de vocabulario UNE 71380:2014 como los cimientos para cualquier iniciativa relacionada con la computación en la nube. Mencionó a Red.es que está concediendo unas ayudas para la adopción de soluciones cloud que finalizarán el 25 de mayo de 2016 (3) y no se ha contado con el Subcomité (SC)38 para definir los requisitos de homologación de los proveedores.

En su intervención D. Miguel Ángel Amutio informó que existe gran interés por algunos organismos de las administraciones públicas para que un tercero, una entidad independiente, les certifique su conformidad al Esquema Nacional de Seguridad con objeto de dar publicidad a la seguridad de sus servicios. Para facilitar esta certificación se ha publicado la guía para la Declaración y certificación de conformidad con el ENS y distintivos de cumplimiento (4 y 5) que se ha actualizado en marzo de 2016 (6).

Según D. Antonio Ramos, en el caso de soluciones y servicios prestados por el sector privado a entidades públicas, a los que resulte exigible el cumplimiento del ENS, dichas soluciones deberán estar en condiciones de exhibir la correspondiente Declaración o Certificación de Conformidad con el ENS utilizando los mismos procedimientos que los exigidos para las entidades públicas (7).

Miguel Ángel Amutio indicó además, que se está trabajando en el esquema de certificación, en el que las entidades certificadoras deberán estar acreditadas por ENAC, según la norma UNE 17065 (8).

Por otra parte D. Antonio Ramos defendió la importancia no sólo de la certificación que únicamente proporciona un sí cumplo, con la adición de unos sistemas de niveles de calidad en los que se certifique el grado que es conforme con el esquema.

En este sentido, la siguientes normas de certificación establecen diferentes niveles:

En la certificación del ENS se indican tres categorías (4):

• “Las Guías CCN STIC 802 (Esquema Nacional de Seguridad. Guía de auditoría),804 (Esquema Nacional de Seguridad. Guía de implantación) y 808 (Verificación del cumplimiento de las medidas en el ENS), proporcionan los elementos necesarios para definir los criterios de determinación de la conformidad, así como la implantación y verificación de las medidas de seguridad, incluyendo el proceso de auditoría.
• La determinación de la conformidad de los sistemas de información del ámbito de aplicación del ENS con categorías MEDIA o ALTA se realizará mediante un procedimiento de auditoría formal que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el ENS, al menos cada dos años. Con carácter extraordinario, tal auditoría deberá realizarse siempre que se produzcan modificaciones significativas en el sistema considerado que pudieran repercutir en las medidas de seguridad que deban adoptarse, taly como disponen el artículo 34 y el Anexo III del ENS.
• Para la determinación de la conformidad de los sistemas de información del ámbito de aplicación del ENS con categoría BÁSICA bastará con la ejecución de un procedimiento.”

UNE – Tecnología de la Información – Computación en la nube – Sistemas de etiquetado en la que se indica que el sistema de etiquetado debe enunciar de manera clara e inequívoca las características de los servicios de computación en la nube que se pretenden calificar (interoperabilidad, escalabilidad, fiabilidad etc.), mediante escalas que cumplan con determinados criterios (estrellas, números, letras etc.). Posteriormente este Subcomité (SC)38 tiene intención de desarrollar el resto de normas.

El certificación Star Audit – ECSA – (9) que tiene una estructura modular ofreciendo tres niveles de madurez, los niveles de certificación se indican mediante estrellas.

Asimismo Dña. Beatriz Mayoral del Área de Certificación y Auditoría de Eurocloud, estuvo explicando la oferta de esta asociación para el Sector Cloud.

Siguiendo con las intervenciones, D. Alejandro García defendió la certificación Star Audit de Eurocloud , certificación europea con alcance internacional específica para la computación en la nube, considerando que la ISO 27001 no es suficiente para certificar este tipo de servicios y la Start Certification de CSA (Cloud Security Alliance) (10 y 11) norteamericana está demasiado acotada.

Juan Carlos Pascual anunció la creación por EuroCloud de un sello de calidad cloud para la Internet de las Cosas.

Para finalizar, mencionar la guía de la Agencia Española de Protección de Datos – Guía para clientes que contraten servicios de Cloud Computing (12) – en la que recomienda a los clientes de los servicios de computación en la nube seleccionar a aquellos proveedores que acrediten una certificación de seguridad adecuada:

“8.- ¿Cómo puedo garantizar o asegurarme de que se cumplen las medidas de seguridad?

Como cliente debe tener la opción decomprobar las medidas de seguridad, incluidos los registros que permiten  conocer quién ha accedido a los datos de los que es responsable.

El proveedor de cloud computing le acreditaque dispone de una certificación de seguridad adecuada. Puede acordarse que un tercero independiente audite la seguridad. En este caso, debe conocerse la  entidad auditora y los estándares reconocidos que aplicará.

Solicite información al proveedor de cloud sobre cómo se auditarán las medidas de seguridad. El cliente debe ser informado diligentemente por el proveedor de cloud sobre las incidencias de seguridad que afecten a los datos de los que el propio cliente es responsable, así como de las medidas adoptadas para resolverlas o de las medidas que el cliente ha de tomar para evitar los daños que puedan producirse (p. ej. informar a sus propios clientes sobre cómo proteger su información personal).

El cifrado de los datos personales es una medida que debe valorarse positivamente. Solicite información al proveedor de cloud sobre el cifrado de los datos.”

Dña. Maria del Valle Palma Villalón es directora de:
Docuformacion: www.docuformacion.com
Revista de Gestion Documental Digital: www.revistagestiondigital.com e
Impulsora del espacio DEB@TIC, dedicado a la transformación digital que se desarrolla en el espacio de coworking tecnológico de Se Aceptan Ideas,
en Madrid.

Bibliografía

(1) Palma Villalón, María del Valle.”La Computación en la nube en Europa y en España: una oportunidad de negocio“. Revista Gestión Documental, actualizado en abril de 2016.

(2) Aenor – AEN/CTN 71 – SC(38). “UNE 71380:2014 – Tecnología de la información – Computación en la nube. Vocabulario y definiciones“. Aenor.

(3) Red.es. “Ayudas adopción cloud“. “Concesión de ayudas del programa de fomento de la demanda de soluciones de computación en la nube para pequeñas y medianas empresas“. Red.es.

(4) Centro Criptológico Nacional. “Declaración y certificación de conformidad con el ENS y distintivos de cumplimiento“. CCN-CERT, julio 2010, actualizada en feb 2016.

(5) Centro Criptológico Nacional. “800 Guías Esquema Nacional de Seguridad“. CCN-CERT.

(6) Portal Administración Pública. “Actualizada la Guía de Declaración y Certificación de conformidad con el ENS y distintivos de cumplimiento“. Pae, 18 marzo 2016.

(7) Leet Security. “Llega la Certificación del Esquema Nacional de Seguridad“. Leet Security.

(8) Aenor – AEN/CTN 66. “UNE-EN ISO/IEC 17065:2012 – Evaluación de la conformidad. Requisitos para organismos que certifican productos, procesos y servicios. (ISO/IEC 17065:2012)“. Aenor.

(9) Palma Villalón, María del Valle. “La certificación EuroCloud Star Audit-ECSA de servicios de computación en la nube“. Revista Cloud Computing, 18 junio, 2015.

(10) Cloud Security Alliance. “STAR Certification“. CSA

(11) Cloud Security Alliance. “CSA Star“. Incibe.

(12) Agencia Española de Protección de Datos. “GUÍA para clientes que contraten servicios de Cloud Computing“. AEPD,
2013.