Hace unos días se hacía pública una nota de prensa por la que se informaba del acuerdo entre la Cloud Security Alliance (CSA) y la British Standard Institution (BSI) para lanzar un esquema de certificación de servicios en la nube basado en el Open Certification Program (Programa de Certificación Abierto) de la primera.
Por lo que hemos visto en la web de CSA, su idea es crear una certificación de proveedores de nube flexible, incremental y con múltiples capas que sea compatible con el resto de estándares (básicamente ISO27001 y las sucesoras de SAS70) y en el que pretenden que los distintos gobiernos incluyan las normas locales que deban ser cumplidas por los proveedores. Para ello, la certificación se apoyará en dos pilares: el CSA GRC Stack (la pila GRC – Gobierno, Riesgo y Cumplimiento) y el CSA STAR (Registro de Seguridad, Confianza y Aseguramiento).
En resumen, la idea de CSA es construir una certificación en tres niveles, en función del nivel de rigurosidad de la validación:
Nivel 1
El proveedor auto-completa el cuestionario publicado en el CSA STAR que, como no podría ser de otra forma, está basado en la CSA CCM (Cloud Controls Matrix) y, simplemente con eso, ya aparece en el registro STAR.
Como se puede comprobar estamos en el nivel más bajo de la certificación, puesto que es el propio proveedor el que manifiesta cumplir con los controles identificados.
Nivel 2
En este punto es donde intervine la BSI, puesto que es un tercero independiente el que valida que el proveedor cumple con dichos controles.
Por tanto, estamos en un nivel de “credibilidad” mayor puesto que ya interviene un tercero.
Nivel 3
Este nivel está todavía en desarrollo y se obtendrá al adherirse a la verificación continua que está siendo objeto de investigación por la CSA.
Por lo tanto, no es que los distintos niveles proporcionan mayores o menores niveles de seguridad, sino que es la credibilidad del cumplimiento lo que aumenta con el nivel de la certificación. Finalmente en cuanto a los plazos, la información disponible en CSA [PDF] recoge los siguientes:
- El nivel 1 ya está disponible.
- El Marco Abierto de Certificación (OGF) y el esquema de acreditación de auditores estarán disponibles en el 1er trimestre de 2013.
- La certificación STAR para proveedores estará disponible en el 2º trimestre de 2013.
- El nivel 3 de Monitorización Continua no estará disponible antes de 2015.
Fuente: INTECO-CERT