Metamarco de Programas de Certificación para Nube de ENISA

ENISA publica un metamarco y una herramienta en línea para ayudar a los usuarios con la seguridad de la nube a la hora de contratar servicios en nube.

ENISA lanza el “Metamarco de Programas de Certificación para Nube” (CCSM, por sus siglas en inglés). El CCSM es un metamarco que adapta los escrupulosos requisitos de seguridad que se utilizan en el sector público a los objetivos de seguridad de los programas de certificación para nube existentes. El objetivo del CCSM es proporcionar una mayor transparencia por lo que respecta a los programas de certificación y ayudar a los usuarios a la hora de contratar servicios de computación en nube.

La primera versión del CCSM, limitada a los requisitos de seguridad de la red y la información, está basada en 29 documentos con requisitos de SRI procedentes de 11 países (Reino Unido, Italia, Países Bajos, España, Suecia, Alemania, Finlandia, Austria, Eslovaquia, Grecia y Dinamarca), y cubre 27 objetivos de seguridad, adaptándolos a 5 programas de certificación para nube.

ENISA lleva trabajando desde el año pasado con el grupo selecto del sector de la nube sobre programas de certificación y con la Comisión Europea, con quienes ha elaborado 2 herramientas para ayudar a los usuarios con la seguridad de la nube. Este trabajo forma parte de la Estrategia de Nube de la UE. La primera herramienta, la CCSL, es una lista de los programas de certificación de seguridad de la información existentes cuyo lanzamiento tuvo lugar el año pasado y que está disponible en línea. La segunda herramienta, el CCSM, es una extensión de la CCSL.

El CCSM ya está siendo utilizado, y la Comisión Europea ha anunciado la convocatoria de una licitación para la contratación de servicios en nube a gran escala (2500 MV de nube y 2500 TB de almacenamiento en nube), utilizando los 27 objetivos de seguridad del CCSM.

El Director Ejecutivo de ENISA, Udo Helmbrecht, comentó: “La seguridad en la nube es una cuestión importante para los usuarios tanto del sector público como del privado de la UE. Obviamente, la certificación no soluciona todos los problemas de seguridad, pero sí que puede simplificar algunas de las fases de la contratación. Esta herramienta ayuda a los usuarios a utilizar los programas de certificación existentes, además de ofrecer a los proveedores de servicios en nube un formato para explicar las medidas de seguridad que adoptan para proteger sus servicios”.

Esta versión del CCSM se ha implementado en forma de una herramienta en línea, la cual recupera diferentes programas de certificación en una única lista de objetivos de seguridad. Esta herramienta permite a los usuarios escoger los objetivos de seguridad más relevantes para ellos, y

1. generar una adaptación matriz para diferentes programas de certificación para nube, y/o

2. generar listas de verificación o cuestionarios de contratación en formato impreso o como hojas de cálculo.

Los próximos pasos del CCSM serán la inclusión de los requisitos de SRI de otros países y la ampliación del alcance del CCSM, a fin de que también incorpore requisitos de SRI específicos a la protección de datos personales.

Informe completo y herramienta en línea: https://resilience.enisa.europa.eu/cloud-computing-certification

Notas para los editores:

• Nota de prensa de la Comisión Europea: Empresas de tecnología de la UE invitadas a presentar una oferta de prestación de servicios en nube para la UE http://ec.europa.eu/dgs/informatics/doc/newscloud.pdf

• Nuevos programas en la Lista de Certificación para Nube (CCSL): http://www.enisa.europa.eu/media/news-items/new-schemes-on-the-cloud-certification-list-1

• La certificación en la Estrategia de Nube de la UE: https://resilience.enisa.europa.eu/cloud-computing-certification/certification-in-the-eu-cloud-strategy

Entrevistas: Dr. Marnix Dekker, experto en SRI, y Dimitra Liveri, Seguridad y Resiliencia de Redes de Comunicación, en cloud.security@enisa.europa.eu

Tags: