¿A qué normas de cumplimiento debería ajustarme en la nube? La propuesta de AWS

El anuncio de ENISA sobre la Lista de Sistemas de Certificación de Cloud (LSCC) y la nueva Metaestructura de Sistemas de Certificación de Cloud (MSCC) es el último paso en la ejecución de la actual Estrategia Europea de Cloud. En opinión de AWS, este anuncio aclara las normas de adopción de la nube, y la guía proporcionada por LSCC ha sido diseñada para ayudar a agilizar el proceso mediante el cual los clientes determinan las necesidades de cumplimiento de la nube.

"La evolución de los organismos de estandarización mundiales y la política gubernamental está allanando el camino para que las empresas y agencias gubernamentales se beneficien del uso de la nube”, comentan desde ENISA. "Cada región del mundo adopta ligeramente diferentes enfoques para la creación de políticas, la formulación de directrices y prácticas recomendadas para el uso de cloud de forma segura dentro de los límites de sus respectivas leyes y culturas".

AWS Compliance, del gigante Amazon, se ha propuesto vigilar desde cerca la evolución del trabajo de estos organismos de estandarización y proporcionar orientación sobre los que en su opinión son los principios clave de seguridad cloud: la evaluación de las prácticas de seguridad del proveedor de servicio en la nube, y el seguimiento de las mejores prácticas para los clientes de cloud con el fin de utilizar los servicios de la nube de forma más segura.

Tal y como detallan desde AWS, la última guía de ENISA se enfoca en acelerar la adopción de la nube. "La LSCC y la nueva MSCC se enmarcan bajo el primer principio clave: la seguridad en la nube. La guía es un paso positivo para proporcionar a las empresas la información que necesitan para utilizar los servicios en la nube con confianza”. Por su parte, el MSCC va un paso más allá de la simple enumeración de los sistemas de certificación: "es una herramienta que proporciona un mapeo de los sistemas de certificación de los requisitos de seguridad que se utilizan en el sector público”, explican desde AWS. Este mapeo puede ayudar a la contratación de servicios en la nube, ya que ayuda a explicar cómo las certificaciones de los CSP cubren los requerimientos específicos de los clientes. "La claridad que aporta la nueva MSCC también ayuda a los CSP, ya que les permite ser transparentes acerca de la seguridad de sus servicios mediante el uso de certificaciones reconocidas, en lugar de tratar de ser certificado o auditado bajo todas las normas de seguridad local. Esta transparencia permite a los clientes trazar la seguridad y el cumplimiento de sus requisitos específicos locales, lo cual es un beneficio para los proveedores y los clientes".

Como confirma AWS, la compañía de servicios en la nube se adhiere a los sistemas de certificación identificados por ENISA que considera que son los más útiles para sus clientes: ISO 27001, SOC 1/ISAE 3402, SOC 2 & SOC 3 Security y PCI-DSS. "Estos esquemas son exhaustivos y proporcionan un mayor nivel de transparencia, ya que los marcos de certificación son maduros, predecibles y consistentes a través de los auditores. La facilidad de uso de estos sistemas de certificación es alta porque son normas adoptadas a nivel mundial, y muchos de nuestros clientes utilizan estos sistemas de certificación para ellos mismos, lo que hace que la certificación en AWS sea posible”.

Otros esquemas existentes son los programas regionales, nacionales y de nicho. Generalmente siguen los elementos de seguridad ISO, y aunque alcancen de forma efectiva la aplicabilidad de los programas mundiales, aún pueden ser útiles para aquellos proveedores regionales de cloud que tratan de atender los mercados locales exclusivamente.