Apr 29, 2017 Last Updated 10:26 PM, Apr 13, 2017

Certificación STAR para la protección de información en la nube

Publicado en Notas
Leído 1598 Tiempo
Valore este artículo
(0 Votos)

Las organizaciones han necesitado proteger la información

seguridadLas organizaciones han necesitado proteger la información importante para sus operaciones, y en esta época en que el flujo de información es abundante debido a que millones de personas se conectan diariamente a la red mundial, las posibles amenazas también aumentan, por lo que las medidas de seguridad se vuelven una prioridad, especialmente para aquellas empresas que guardan archivos valiosos en la nube.
La protección de la información como una norma surgió a mediados de los 80, se convirtió en estándar británico BS 7799, y en 2005 adquirió carácter de norma internacional en la forma de ISO 27001, siendo hasta hoy la referencia en la materia. De acuerdo con Leonardo García Rojas, auditor líder e instructor en BSI Group México, los procesos de la norma 27001 se enfocan principalmente en la protección de la información a través de la gestión del riesgo.
“La norma ISO 27001 se apoya en acciones correctivas, preventivas, auditoría interna, revisión de la dirección, todo lo que es la parte de la mejora continua, control de documentos y control de registros. Esos serían los procesos base de gestión; después de ahí viene la gestión de riesgo y el plan de tratamiento de riesgo, así como los planes que mitigarán el riesgo de acuerdo con el tipo de tratamiento de riesgo que se elija.
“Dependiendo del balance que dé la necesidad de riesgo en la organización, van a aplicar los controles de la norma. Para eso, la norma ISO 27001 nos provee de 114 controles en 14 dominios diferentes, que van desde las políticas, los recursos humanos, la parte de seguridad física y ambiental, el control de proveedores, el control de operaciones, hasta las telecomunicaciones, la criptografía, el desarrollo, la continuidad del negocio, la parte legal, la capacidad de respuesta a incidentes, entre otros. La profundidad de los controles la va a dar realmente la mitigación de riesgos.”

La norma enriquecida
La premisa fundamental de la ISO 27001 es proteger la información con la cual la organización toma decisiones, y se protegen tres características básicas: confidencialidad, integridad y disponibilidad. La información puede estar contenida en una computadora, en un archivo digital, en un documento impreso en papel, incluso puede estar documentada en un video, y puede estar representada en el conocimiento de las personas en la organización. La norma tiene dominios especializados para la seguridad de la información en diferentes ámbitos.
“Por ejemplo, operaciones de cómputo, operaciones de telecomunicaciones, desarrollo de sistemas, criptografía, control de acceso lógico; esos serían de los más especializados, específicamente. Como un sistema que enriquezca a la ISO 27001, y para mitigar riesgos en los servicios de cómputo en la nube, en 2013 surgió la Certificación STAR, por sus siglas en inglés de Security, Trust & Assurance Registry, como iniciativa de BSI y el Cloud Security Alliance (CSA), una organización no lucrativa que promueve las mejores prácticas de seguridad en el cómputo en la nube.
“Cuando una empresa quiere hacer uso de servicios de cómputo en la nube, se pregunta: ‘¿Dónde voy a poner mi información? ¿Con qué proveedor? ¿Me la estarán protegiendo? ¿Cumpliré con los mecanismos a los que estoy obligado legalmente?’ Todas esas necesidades del mercado, todas esas preocupaciones que tienen los consumidores de servicios en la nube son contempladas por la Certificación STAR.”

revista conacto bsi clouding 400Seguridad en la nube
Leonardo García explica que Cloud Security Alliance creó la Cloud Control Matrix (matriz de controles en la nube), que especifica los controles que son relevantes para la seguridad de la información de servicios de cómputo en la nube. Por su parte, BSI retomó el esquema de certificación para que a partir de la base de sistemas de gestión con base en ISO 27001, y junto con Cloud Control Matrix, “se complete una serie de controles específicos para la operación de servicios de la nube, que dan certeza a sus consumidores aniquilando todas esas inquietudes que tienen, en el sentido de los riesgos con los que tienen que lidiar en el diario manejo de su información”.
Así pues, la certificación es voluntaria y está dirigida a todos los servicios que se proveen como parte de la proveeduría de la nube: plataforma como infraestructura como servicio, plataforma como servicio, y software como servicio. No necesariamente es específica para servicios de almacenamiento, más bien para toda la gama de los productos actuales y futuros que se puedan desarrollar como parte de la entrega de servicios de la nube y en las diferentes modalidades de nubes privadas, nubes públicas o nubes híbridas.
Para obtener la Certificación STAR, en primer lugar se debe contar con el compromiso de la alta dirección para introducir exitosamente el sistema de gestión, contando con el apoyo de gerentes y personal responsable de los procesos clave. Adicionalmente, se debe tener la certificación en ISO 27001 con el mismo alcance del servicio que se desea certificar en STAR, y se tienen que revisar los sistemas y procesos en uso en ese momento para después compararlos con los requerimientos de Cloud Control Matrix.
“En promedio, para una empresa que no tenga un sistema de gestión implantado, que empiece desde cero, con un servicio mediano, requeriría entre ocho y doce meses para llegar a la Certificación STAR. De ahí que la implementación y certificación dependerá del alcance y del número de servicios que tenga.”

En las nubes

Leonardo García Rojas, auditor líder e instructor en BSI Group México, explica los distintos tipos de nubes que existen:

• Nube pública (por ejemplo, Dropbox) es aquella donde podemos almacenar nuestra información abriendo una cuenta y ya. La mayoría de esos servicios se ofrecen de manera gratuita. Existe un contrato con términos y condiciones, sin embargo, la mayoría de la veces para proteger al proveedor de ese servicio y no necesariamente al usuario. En este tipo de nube no sabemos qué controles de seguridad se tienen. A pesar de que muchas veces hay servicios públicos muy buenos, no sabemos los controles de seguridad con los que cuentan, no sabemos si realmente están garantizando que mantienen nuestra información privada, ni tenemos certeza de su manejo.

• La nube privada depende de una empresa que pone su propia infraestructura para proveer servicios a sus usuarios internos, o cuando contrata a un tercero para que le provea sus servicios a través de un contrato específico. Cuenta con controles de seguridad claros para las partes.

• Una nube híbrida a veces se comporta como una entidad de servicios públicos, otras como una empresa que provee el servicio de nube privada.


Diferenciador en el mercado
La Certificación STAR otorga tres niveles de madurez, es por eso que el nivel que la empresa certificada obtenga como STAR puede ser bronce, plata u oro, correlacionado con el nivel de garantía de los propios servicios que se ofrezca a los consumidores finales, explica Leonardo García. El nivel que alcance dependerá del empeño que la compañía ponga en madurar sus controles. “Entre más avancen dentro de la parte clasificada como oro, que es el nivel más alto, mayor será la garantía que den los proveedores de servicios de la nube a sus consumidores, y eso precisamente será lo que los consumidores exigirán, pues cada vez les van a pedir que lleguen más arriba, a pesar de que el proveedor ya esté en el nivel oro.”
A decir de García, la Certificación STAR es un elemento diferenciador que distingue a la empresa, a sus productos y servicios en el mercado, porque gran parte de las preocupaciones de los clientes son los riesgos de poner la información en la nube. “En el momento en que se cuenta con los controles de Cloud Control Matrix, todo bajo contrato, se da la certeza de que los sistemas de seguridad son robustos y de que tienen una enorme ventaja competitiva en relación con otros proveedores del mismo servicio.”
Afirma que este impacto positivo lo han podido ver en las 11 empresas internacionales certificadas dentro de este esquema de BSI, que ya se encuentra en México, donde varias empresas que ya cuentan con la certificación ISO 27001 están interesadas en ampliar la seguridad que ofrecen a los servicios de cómputo en la nube.
“En cuanto a la Certificación STAR, BSI es pionero en este tipo de certificaciones, es la única que existe en el mundo y desde México estamos trabajando en específico todo el mercado de América Latina. México va como punta de lanza al calificar personal, auditores y entrenadores para este tipo de certificación, a fin de garantizar los servicios STAR a nuestros clientes”, finaliza.

(Para más información visite el sitio https://bsi.learncentral.com/)

Última modificación Sábado, 10 Septiembre 2016 08:50
Más en esta categoría Optar por la formación »

banner bsi 2013 feb