Una guía para que gobiernos y administraciones públicas “se pasen” a la nube
El Marco de seguridad para nubes gubernamentales de ENISA ofrece a los Estados miembros (EM) una guía detallada para la contratación y el uso seguro de servicios de nube.
Este informe, basado en las conclusiones de dos estudios previos de ENISA, aborda la necesidad de un marco de seguridad común a la hora de implementar nubes gubernamentales, y recomienda que este forme parte de la caja de herramientas de las administraciones públicas cuando planifiquen migrar a la nube y evalúen los procedimientos y los controles de seguridad implementados.
El marco recomendado está formado por cuatro (4) fases, nueve (9) actividades de seguridad y catorce (14) pasos que detallan el conjunto de acciones que los Estados miembros deben seguir para definir e implementar una nube gubernamental segura. Este modelo fue validado empíricamente mediante el análisis de cuatro (4) estudios de casos de nubes gubernamentales (Estonia, Grecia, España y el Reino Unido), que a su vez han servido de ejemplos para la implementación de nubes gubernamentales.
El marco se centra en las siguientes actividades: elaboración de perfiles de riesgo, modelo arquitectónico, requisitos de seguridad y privacidad, controles de seguridad, implementación, despliegue, acreditación, registro/seguimiento, auditoría, gestión de cambios y gestión de salida.
El estudio muestra que el nivel de adopción de la nube gubernamental todavía es bajo o se encuentra en una fase inicial. Los problemas relativos a la seguridad y la privacidad son los principales obstáculos, y se han convertido en determinantes factores a tener en cuenta a la hora de migrar a los servicios de nube. Además, existe una clara necesidad de disponer de prototipos y pilotos de nube que permitan poner a prueba la utilidad y la eficacia que el modelo de negocio de la nube puede ofrecer a la administración pública.
Las organizaciones se están decidiendo por la computación en nube, porque mejora la efectividad y la eficacia de las TIC. En el caso de los gobiernos, la computación en nube resulta rentable y ofrece importantes oportunidades en términos de escalabilidad, elasticidad, rendimiento, resiliencia y seguridad.
El Director Ejecutivo de ENISA comentó: “Este informe proporciona a los gobiernos las herramientas necesarias para implementar con éxito los servicios de nube. El mercado único digital de la UE beneficia tanto a los ciudadanos como a las empresas, ya que les permite acceder a servicios en toda la UE. La computación en nube es un capacitador y un pilar fundamental del crecimiento y el desarrollo en toda la UE”.
Este informe, que forma parte de la contribución de la Agencia a la estrategia de nube de la UE, está destinado a expertos nacionales, organismos gubernamentales y administraciones públicas en la UE, y tiene como finalidad ayudarlos a definir la estrategia nacional de seguridad de la nube y a obtener una base que permita analizar el actual despliegue de nube gubernamental desde el punto de vista de la seguridad, así como acompañarlos en la elaboración de sus requisitos de contratación en materia de seguridad. El contenido de este informe también puede ser provechoso para los responsables de la elaboración de políticas, los proveedores de servicios de nube del sector privado de la UE y los agentes intermediarios de la nube.
Fundamentalmente, el marco sirve como guía de precontratación, y puede utilizarse a lo largo de todo el ciclo de adopción de la nube. El próximo paso de ENISA será ofrecer este marco en forma de herramienta.
Informe completo: Marco de seguridad para nubes gubernamentales
Notas para los editores:
Informes anteriores sobre este tema:
Seguridad y resiliencia en nubes gubernamentales
Guía de buenas prácticas para una implementación segura de nubes gubernamentales
Entrevistas: Dimitra Liveri, Seguridad y Resiliencia de Redes de Comunicación, cloud.security@enisa.europa.eu
Tags: