Un desafío clave que afronta ‘la industria en la nube’ es asegurar a los clientes que el servicio que se presta no solo es seguro si no que permite recuperarse de cualquier incidente tras una interrupción mínima, destaca Eduardo Muñoz, Presidente de BSI Group México.
La Alianza para la Seguridad en la Nube (CSA por sus siglas en inglés) y BSI, la compañía global de estándares de negocio, anunciaron el lanzamiento del programa de Certificación STAR, el cual es una rigurosa auditoría independiente de tercera parte para la seguridad de un proveedor de servicios en la nube.
La certificación tecnológica aprovecha los requisitos del estándar de sistemas de gestión ISO/IEC 27001:2013 en conjunto con la Matriz de Controles en la Nube de CSA, un conglomerado específico de criterios que miden los niveles de capacidad del servicio en la nube.
Las organizaciones que contratan servicios externos de proveedores de servicios en la nube han manifestado su preocupación sobre la seguridad de sus datos e información. Logrando la Certificación STAR, los proveedores en la nube de cualquier tamaño podrán dar a clientes potenciales un mayor entendimiento de sus niveles de control de seguridad.
La nueva alianza permitirá a la CSA ofrecer un Marco de Certificación Abierto acorde con las normas internacionales, que proporcionará más confianza y transparencia a las operaciones de los proveedores de ‘servicios en la nube’ y un mayor nivel de seguridad para el ‘consumidor en la nube’.
El aumento de ‘servicios en la nube’ como un cómputo global de utilidad crea un mandato para armonizar un mejor un cumplimiento de requisitos, afirma Daniele Catteddu, director de EMEA de la CSA.
«Nosotros compartimos con BSI Group un compromiso para mejorar la transparencia en el ‘ecosistema en la nube’ y crear un mercado de ‘servicios en la nube’ de confianza. BSI es uno de los actores más relevantes en el ámbito de normas, certificación y auditoría de Seguridad de la Información y, por lo tanto, es el socio ideal para la CSA».
Consumidores y proveedores se beneficiarán de los conocimientos y de las actividades de cumplimiento respaldadas por la CSA, que se aplicarán de manera general en los sistemas reglamentarios mundiales.
Existen 11 áreas de control dentro de la Matriz de Controles en la Nube de CSA: cumplimiento, gobernanza de datos, seguridad de las instalaciones, recursos humanos, seguridad de la información, legalidad, gestión de operaciones, gestión de riesgos, gestión de liberaciones, resiliencia y arquitectura de la seguridad. La auditoría independiente por parte de un organismo de certificación acreditado por CSA, como lo es BSI, asignará un puntaje de ‘Capacidad de Gestión’ para cada una de las 11 áreas de control antes dichas. Cada control obtendrá un puntaje en un plazo específico y se medirá contra los 5 principios de gestión.
El informe interno mostrará a las organizaciones que tan maduros son sus procesos y qué áreas necesitan considerar mejorar para alcanzar un nivel óptimo de madurez.
Estos niveles se designan como “No”, “Bronce”, “Plata” u “Oro”. La organización certificada será incluida en el Registro CSA STAR como “Certificado STAR”.
«Un desafío clave que afronta ‘la industria en la nube’ es asegurar a los clientes que el servicio que se presta no solo es seguro si no que permite recuperarse de cualquier incidente tras una interrupción mínima. Al adoptar el OCF, los proveedores de ‘servicios en la nube’ se beneficiarán de ventajas como la mitigación de riesgos, mejorando el tiempo de recuperación de incidentes y demostrando una buena gestión de la información», asegura Eduardo Muñoz.
Por su parte, Leonardo García, Instructor y Auditor de BSI Group México, explicó que la Certificación STAR va más allá de la conformidad y mejora continua, “con BSI nos aseguramos que sucedan las cosas. Esa es la gran diferencia. Verificamos que el proveedor de servicios en la nube cumpla lo que promete y sus controles operen con los resultados que requiere la organización en materia de seguridad de información para servicios de computo en la nube”.
Es decir, señala, el proveedor de servicios certificado garantiza que todas las actividades en materia de seguridad de información se llevan a cabo, gracias a que ha sido revisado y ha sido implementado un marco de referencia de seguridad de información, en conjunto con un mecanismo de tercera parte que ha verificado que las actividades que espera el cliente estén seguras.
