ISMS ForumCloud Security Alliance España (CSA-ES), iniciativa impulsada por la Asociación Española para el Fomento de la Seguridad de la Información, ha publicado una guía que recoge los controles de referencia más importantes en seguridad Cloud.

Para ello ha tomado como base los principios publicados por Cloud Security Alliance Global en el Cloud Controls Matrix (CCM) y los requisitos de la normativa española más importantes en la materia (Reglamento de la Ley Orgánica de Protección de Datosen adelante RLOPDy el Esquema Nacional de Seguridad, en adelante ENS).

Como resultado, proveedores y clientes disponen en la guía de la referencia nacional más completa para la evaluación de riesgos de seguridad en el ámbito del Cloud. El objetivo principal de la versión española del Cloud Controls Matrix es impulsar la adopción de servicios de Cloud en España, permitiendo tanto el cumplimiento normativo como la seguridad efectiva de los datos.

El documento contiene un total de 98 controles de referencia que cubren tanto aspectos de cumplimiento y gobierno, como de arquitectura y de tipo técnico, lo que permite reducir los riesgos, las amenazas y las vulnerabilidades en la nube. Para ello, el grupo de trabajo ha establecido la correspondencia entre el RLOPD, el ENS y el Cloud Control Matrix, para garantizar la seguridad de los datos más allá del mero cumplimiento normativo.

Cualquier entidad que pretenda gestionar datos de carácter personal en un entorno Cloud no sólo debería tener en cuenta los controles del RLOPD coincidentes con el CCM, sino que también debería evaluar el resto de controles de esta matriz. Ahora bien, dado el nivel de detalle, en torno al 40% de los controles de la matriz no pueden ser relacionados de forma directa con artículos del RLOPD.

El CCM, cuya implantación recomienda el capítulo español de CSA, excede significativamente al RLOPD en el abanico de controles. No obstante, existen aspectos fundamentales del RLOPD que no contempla de forma explícita el CCM, por lo que la aplicación exclusiva de los controles del CCM aportaría un elevado grado de seguridad, aunque no garantiza el cumplimiento del RLOPD.

“El CCM es una buena herramienta para que los responsables de fichero puedan aplicar un adecuado nivel de seguridad en el ‘cloud’, ayudándoles a cumplir el RLOPD, y que se ha de considerar una herramienta complementaria”, destacan Beatriz Blanco y Diego Bueno (KPMG), miembros del grupo de trabajo de CloudSecurity Alliance España establecido para la ocasión.

En relación al Esquema Nacional de Seguridad, la guía de controles incluye la distinción por niveles de seguridad en función de la criticidad de la información, tal y como se dispone en el ENS (bajo, medio o alto), así como aquellos relacionados con la propiedad intelectual del software propietario, las restricciones de acceso al código fuente de las aplicaciones o programas, ciertos requisitos contractuales y reglamentarios en relación con el acceso de terceros o las medidas de seguridad concretas sobre el uso de redes inalámbricas.

“Los controles de la matriz CCM ayudan a cumplir el ENS en un entorno Cloud y aportan medidas de seguridad adicionales de interés para las Administraciones Públicas”, explica Jorge Laredo (HP), miembro del grupo de trabajo de Cloud Security Alliance España establecido para la ocasión.