Seguridad en la Nube

Mantener la información y las redes de TI seguras es crítico para los negocios. La necesidad de más almacenacimietno rentable y soluciones de software en conjunto con el acceso móvil ha dejado un aumento en la adopción de la computación en la nube - y mientras la computación en la nube ha abierto nuevas oportunidades, también presenta una serie de riesgos nuevos para la información de las organizaciones. A través de la implementación de ISO/IEC 27001, el estándar para la gestión de la seguridad de la información más adoptado internacionalmente, las organizaciones pueden asegurar que tienen un completo entendimiento de los riesgos involucrados y el impacto en el negocio tales como los controles que pueden poner en el sitio para proteger la información crítica de la organización.

La computación en la nube es la práctica de utilizar una red de servidores remotos alojados en internet, gestionar y procesar los datos en lugar de un servidor local o computadora. En los últimos años ha habido un incremento en el número de organización que utilizan Proveedores de Servicios en la Nube (CSP por sus siglas en inglés) para mantener y gestionar su información.

Sin embargo, muchas organizaciones que subcontratan Servicios a los CSPs han tenido algunas preocupaciones sobre la seguridad de sus datos e información. Una encuesta reciente del Information Week en Mayo 2013 indicó que el 51% de las organización han comenzado a retractarse de utilizar la nube como una solución debido a las fallas de seguridad (Information Week – Mayo 2013).

La Certificación STAR es una mejora a ISO/IEC 27001, el estándar internacional para sistemas de gestión de seguridad de la información.  Si bien esta norma es ampliamente reconocida y respetada, sus requerimientos son más genéricos y como tal puede haber la percepción de que no está enfocada en ciertas áreas de seguridad que son críticas para sectores particulares como la Seguridad en la Nube, en suficiente detalle.

Desarrollada por la Alianza para la Seguridad de la Información (CSA) en conjunto con un grupo de trabajo de la industria, la Matriz de Controles en la Nube (CCM) llena el vacío especificando los controles comunes que son relevantes para la seguridad de en la nube. En asociación con la CSA, BSI ha desarrollado la Certificación STAR basada en la matriz que certifica a un cliente contra los controles así como la concesión de una calificación STAR Oro, Plata y Bronce dependiendo que tan bien  se haya implementado el sistema en las organizaciones.

Al adoptar la Certificación STAR como una extensión de ISO/IEC 27001 Sistemas de Gestión de Seguridad de la Información, usted estará enviando un mensaje claro a clientes existentes y potenciales de que sus sistemas de seguridad son robustos y que ha abordado los asuntos críticos específicos de la seguridad en la nube.

Este esquema asiste en la adopción de servicios en la nube del negocio mediante la promoción de una mayor transparencia y permitiendo a los proveedores de seguridad en la nube (CSPs) proveer a sus grupos de interés la confianza de que tienen los controles necesarios en su sitio para asegurar la información que mantienen. 

La certificación STAR permite:

• Completa visibilidad para la alta dirección para evaluar la efectividad de su sistema de gestión en relación con las expectativas del estándar internacional y de la industria de la seguridad en la nube
• Una auditoria a la medida a ser implementada la cual reflejará como los objetivos de una organización deben orientarse a optimizar los servicios en la nube
• Una organización para demostrar los niveles de progreso y desempeño vía un reconocimiento validado independiente de un organismo de certificación externo
• Organizaciones para compara su desempeño contra sus iguales.

La certificación STAR da a los clientes potenciales de la organización certificada un mayor entendimiento del nivel de control que hay en el sitio así como destaca las áreas en que una organización podría desear enfocarse.

El esquema está disponible para cualquier organización que ofrezca servicios de seguridad en la nube, o que se encuentre en el proceso de certificación de ISO/IEC 27001. El alcance de la certificación de ISO/IEC 27001 no debe ser menor al alcance de la certificación STAR.

Mientras no haya impulsores regulatorios para las compañías de alcanzar la certificación, los Proveedores de Seguridad en la Nube (CSP) están buscando acuerdos de certificación más robustos. A medida que sus clientes pongan un alto nivel de confianza en ellos, los CSPs necesitarán demostrar mayor garantía de que esta confianza no está fuera de lugar. Para los proveedores de TI, esto es particularmente importante  ya que sus clientes no suelen ser expertos en seguridad de TI y por lo tanto buscarán una certificación independiente de tercera parte como indicación de la competencia de las organizaciones para entregar servicios en la nube.

La certificación STAR proporciona la tranquilidad que requiere la organización para hacer frente a problemas específicos que son críticos para la seguridad de la información y el modelo de madurez evalúa que tan bien gestionadas son las actividades en las áreas de control.

Nosotros hemos sido pioneros en la estandarización por más de 100 años y ahora somos el líder en el mercado. Ayudamos a más de 80,000 organizaciones que van desde marcas globales hasta pequeñas organizaciones ambiciosas en 172 países a obtener una ventaja sobre la competencia. Como una de las pocas organizaciones que entienden los estándares de principio a fin, no solo evaluamos qué tanto cumple con ellos, creamos nuevos estándares y capacitamos equipos globalmente para su uso y así desempeñarse mejor. Nuestro conocimiento puede transformar su organización.