Por: Carlos A. FERREYROS SOTO
Doctor en Derecho
Universidad de Montpellier I Francia.
Resumen
En el pasado, las
organizaciones se focalizaban en la compra de equipos de Tecnologías de la Información,
TI (hardware y/o software) para administrarlos ellos mismos. Hoy en día, muchas
organizaciones prefieren comprar servicios de TI a un proveedor de servicios de
TI. Esta tendencia se conoce en general, y liberalmente, como 'going cloud'.
El amplio uso de los servicios en la nube combinado con el volumen de datos ha
dado como resultado el término Big Data.
La Agencia Europea de Seguridad de las Redes y de la Información (ENISA), siguiendo las tendencias tecnológicas y las necesidades de la comunidad, se ha centrado en ayudar al sector público y privado a comprender los beneficios y los inconvenientes de seguridad en Cloud Computing y Big Data . En este artículo publicado por ENISA, el lector encontrará información relevante a la: 1. Seguridad en la Nube y 2. Seguridad en las Nubes Gubernamentales. Además del acceso a un cierto número de enlaces a recursos e informes relacionados al tema de la seguridad de las redes y de la información, este artículo debe invitar a la reflexion sobre las experiencia europea en estas materias.
A fin de acceder a
similares normas y estándares europeos, las empresas, organizaciones públicas y
privadas interesadas en asesorías, consultorías, capacitaciones, estudios,
evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo
electrónico: cferreyros@hotmail.com
____________________________________________________________
Agencia Europea de Seguridad de las Redes y de la Información (ENISA)
Nuestra evaluación de riesgos de seguridad en la nube de 2009 es ampliamente consultada en todos los estados miembros de la UE y fuera de la UE. Como seguimiento a esta evaluación de riesgos, publicamos un marco de garantía para controlar los riesgos de seguridad de la información cuando se pasa a la nube. Este marco de garantía se está utilizando como base para algunas iniciativas de la industria sobre la garantía de la nube. En 2011 ENISA publicó un informe sobre seguridad y resiliencia en nubes gubernamentales .
Estamos
dando seguimiento a nuestro trabajo anterior en la nube con las siguientes
actividades:
Gestión de la seguridad a través de SLA : el trabajo del
responsable de TI de una organización ha cambiado como consecuencia: en lugar
de instalar hardware, instalar y configurar software, los responsables de TI
tienen que gestionar contratos de servicio con estos proveedores de servicios
de TI. ENISA analiza cómo se pueden establecer y controlar estos contratos de
servicios de tal manera que se optimice la seguridad de la información. En
diciembre de 2011, ENISA publicó una encuesta y un análisis de los
parámetros de seguridad en los SLA de la nube en el sector público europeo . También se
organizó en 2011 un taller sobre parámetros de seguridad en los SLA de la nube,
junto con OASIS y CSA, en el simposio de la nube de OASIS International .
Servicios críticos en la nube : también estamos
desarrollando una visión sobre la criticidad de los servicios en la nube. El
ahorro de costes está impulsando a las empresas a utilizar servicios en la nube
alojados en grandes centros de datos que pueden ofrecer recursos informáticos
de forma más eficiente que los pequeños: es posible ofrecer alta calidad a un
buen precio. Por supuesto, si un servicio en la nube con
millones de clientes deja de funcionar, el impacto también es grande. Tenemos
la intención de analizar y discutir, con las partes interesadas, cuál podría
ser el impacto de una falla en el servicio de la nube, y en qué circunstancias
los servicios en la nube deben considerarse "infraestructura
crítica".
Grupo de expertos en seguridad y resiliencia en la
nube: A
lo largo de los años, ENISA ha escrito una serie de artículos sobre computación
en la nube, con una variedad de expertos en seguridad en la nube. Estos
expertos trabajan y se reúnen en un grupo informal de expertos llamado ENISA
Cloud Security and Resilience Expert Group. El espacio
de trabajo del Grupo de expertos en resiliencia y seguridad en la nube de ENISA está abierto para
la audiencia. Para obtener más información sobre las actividades del grupo,
póngase en contacto con nosotros en cloud.security@enisa.europa.eu
Guía de buenas prácticas para nubes
gubernamentales: En
2013, ENISA publicó un
informe sobre nubes gubernamentales , evaluando qué Estados miembros de
la UE tienen infraestructuras gubernamentales en la nube operativas y brindando
una descripción general de la adopción de la nube en el sector público de la
UE. Con este trabajo, ENISA tiene como objetivo ayudar a los Estados miembros a
elaborar una implementación de la estrategia nacional de la nube, comprender
las barreras actuales y sugerir soluciones para superar esas barreras, y
compartir las mejores prácticas que allanan el camino para un conjunto común de
requisitos para todos los Estados miembros (MS ).
Informes de incidentes para la computación en la
nube: ENISA
a menudo ha subrayado las oportunidades de seguridad de la computación en la
nube. En 2013, ENISA publicó un
documento que analiza cómo los proveedores de la nube, los clientes en sectores
críticos y las autoridades gubernamentales pueden establecer esquemas de
informes de incidentes de seguridad en la nube.
Certificación en la estrategia Cloud de la UE: En 2012, la CE
emitió un comunicado llamado "Estrategia europea para la computación en la
nube: liberando el poder de la computación en la nube en Europa". Una de
las acciones esbozadas allí es ayudar al desarrollo de esquemas de
certificación voluntaria en toda la UE. Hacer una lista de dichos esquemas. En
la estrategia se pide a ENISA que apoye este trabajo. La CE, como uno de los
primeros pasos, creó un grupo de expertos de la industria, llamado Cloud Select
Industry Group (C-SIG), con varios grupos de trabajo, también sobre
Certificación, abreviado como CERT-SIG. En 2013, ENISA publicó un
documento de trabajo que recopilaba y resumía los resultados de
CERT-SIG y proponía pasos adicionales a la CE, CERT-SIG y la European Cloud
Partnership.
El
vicepresidente de la UE, Kroes (Comisionado para la Agenda Digital de la UE),
escribió en su blog sobre este trabajo en:
http://ec.europa.eu/commission_2010-2014/kroes/en/content/making-cloud-more-transparent-boost-secure-
servicios de confianza
Lista de esquemas
de certificación de la nube (CCSL): ENISA, como parte de las actividades bajo la
estrategia de la nube de la UE, desarrolló una lista de diferentes esquemas de
certificación que podrían ser relevantes para los clientes potenciales de
computación en la nube. La creación de esta lista se menciona explícitamente
como una acción clave en la Estrategia
Europea de la Nube . Esta lista fue desarrollada por ENISA en estrecha colaboración con la
Comisión Europea y el sector privado. La lista de esquemas de certificación se
puede encontrar en: https://resilience.enisa.europa.eu/cloud-computing-certification (Remitimos a los lectores interesados a un
artículo de ENISA publicado el año pasado que brinda una descripción general de
una variedad
de esquemas de certificación de seguridad de la información , utilizado en
diferentes sectores.)
2. Seguridad en las Nubes Gubernamentales
Los organismos
públicos son un actor clave en el área de la computación en la nube, ya que
ofrece escalabilidad, elasticidad, alto rendimiento, resiliencia y seguridad,
junto con la rentabilidad y, al mismo tiempo, podría permitir y simplificar la
interacción de los ciudadanos con el gobierno al reducir el tiempo de
procesamiento de la información. costo de los servicios gubernamentales y
mejorar la seguridad de los datos de los ciudadanos. Las Nubes Gubernamentales
ofrecen a los organismos públicos, incluidos ministerios, agencias
gubernamentales y administraciones públicas (AP), el potencial para gestionar
la seguridad y la resiliencia en entornos TIC tradicionales y fortalecer su
estrategia de Nube nacional.
Estrategia de la nube de la UE: “La computación en la nube puede ayudar a impulsar la transición hacia servicios públicos del siglo XXI que sean interoperables, escalables y en línea con las necesidades de una población y empresas móviles que desean beneficiarse del mercado único digital europeo”.
La estrategia de nube de la UE , subtitulada " Liberar el potencial de la computación en nube en
Europa" ,
fue lanzada por la Comisión Europea en 2012. Describe el plan estratégico de la
Comisión Europea con el objetivo de habilitar y facilitar la adopción de
servicios de nube en la nube pública y privada. sector informático en toda la
UE.
ENISA, reconociendo
la necesidad de más directrices para respaldar la implementación de la nube en
el sector público, lanzó este trabajo centrado en la seguridad y la privacidad.
Esta serie de publicaciones está dirigida principalmente a los organismos
públicos de la UE (en cualquier nivel de administración local, oficinas
regionales de la administración pública, agencias y autoridades) que evalúan
los costos y beneficios del despliegue de la nube.
Publicaciones de ENISA
- Security and Resilience in
Governemental Clouds , 2011:
este informe identifica un modelo de toma de decisiones que puede ser
utilizado por la alta dirección para determinar los requisitos operativos,
legales y de seguridad de la información, así como las limitaciones
presupuestarias y de tiempo. Lea el informe .
- Guía de buenas prácticas
para nubes gubernamentales , 2013:
este informe evalúa qué Estados miembros de la UE tienen infraestructuras
gubernamentales en la nube operativas y proporciona una descripción
general de la adopción de la nube en el sector público de la UE y ofrece
algunas pautas sobre los próximos pasos. Lea el informe .
- Marco de seguridad para las
nubes gubernamentales , 2014:
este informe brinda orientación sobre el proceso desde la precontratación
hasta la finalización y salida de un contrato de nube, explicando cuáles
son los pasos a seguir cuando se enfoca en la seguridad y la privacidad. Lea el informe .
No hay comentarios:
Publicar un comentario