El enfoque de Microsoft para la transparencia en la nube

Transcripción

1 El enfoque de Microsoft para la transparencia en la nube Uso de Security, Trust & Assurance Registry (STAR) de Cloud Security Alliance Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 1

2 El enfoque de Microsoft para la transparencia en la nube La finalidad de este documento es únicamente informativa. MICROSOFT NO OTORGA GARANTÍAS, NI EXPRESAS NI IMPLÍCITAS NI ESTATUTARIAS SOBRE LA INFORMACIÓN DE ESTE DOCUMENTO. Este documento se proporciona tal cual. La información y puntos de vista que se expresan en él, incluidas las direcciones URL y demás referencias a sitios web de Internet, pueden modificarse sin aviso previo. El usuario asume el riesgo de utilizarlo. Copyright 2012 Microsoft Corporation. Reservados todos los derechos. Los nombres de las compañías y productos reales mencionados en el presente documento pueden ser marcas comerciales de sus respectivos propietarios. Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 2

3 Autores Frank Simorjay Trustworthy Computing de Microsoft Ariel Silverstone Concise Consulting Aaron Weller Concise Consulting Colaboradores Kellie Ann Chainier Departamento de Sector público de Microsoft Stephanie Dart Microsoft Dynamics CRM Mark Estberg Global Foundation Services John Howie Global Foundation Services Marc Lauricella Trustworthy Computing de Microsoft Kathy Phillips Departamento de asuntos legales y corporativos de Microsoft Tim Rains Trustworthy Computing de Microsoft Sian Suthers Trustworthy Computing de Microsoft Stevan Vidich Departamento de marketing de Windows Azure Steve Wacker Wadeware LLC Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 3

4 Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 4

5 Resumen ejecutivo El paso a la informática en la nube representa una gran oportunidad para cambiar el modo de funcionamiento de las empresas. Al igual que sucede con el concepto de subcontratación, la combinación de las tecnologías y procesos que conforman la definición actual de informática en la nube supone un nuevo modo de ver y utilizar la tecnología de la información, y de mejorar el valor de las organizaciones de TI. Esta evolución de la informática supone una oportunidad estupenda para muchas organizaciones, ya que pueden reducir o eliminar la necesidad de gestionar las tecnologías basadas en servidor que son la base de sus procesos empresariales. Además de modificar los procesos y el enfoque, este cambio proporciona formas de reducir costos, de ser más ágiles a la hora de adaptarse a las necesidades empresariales en constante cambio y de implementar y realizar el seguimiento de los recursos de una forma más eficaz. Este artículo ofrece una descripción general de diversos riesgos, de la gobernanza y los marcos de trabajo y estándares de seguridad de la información. También presenta el marco de trabajo específico de la nube de la Cloud Security Alliance (CSA), conocido como Security, Trust & Assurance Registry (STAR). STAR es un buen recurso para las organizaciones que busquen una fuente de información imparcial que les ayuda a evaluar a los proveedores de la nube y a aprovechar al máximo las ventajas del servicio en la nube. El compromiso de Microsoft con la transparencia queda de manifiesto en su adopción de los controles STAR para la seguridad, la privacidad, el cumplimiento normativo y la administración de riesgos, así como en sus respuestas a las declaraciones de requisitos de control de STAR, algunas de las cuales se incluyen más adelante en este artículo. Introducción La informática en la nube es una forma de tratar la informática como un servicio público. Es decir, los proveedores administran el procesamiento, el almacenamiento y el ancho de banda informático como suministros básicos, parecido a la luz o el agua. Este planteamiento es una evolución lógica de la informática para muchas organizaciones; aprovechar la informática en la nube significa que pueden reducir o eliminar la necesidad de administrar las tecnologías basadas en servidor, que son la base de sus procesos empresariales, y centrarse en las actividades principales de su empresa. Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 5

6 Además de dotar a las organizaciones de la capacidad para centrarse en los principales objetivos de su empresa, la informática en la nube puede ayudarles a reducir los costos en tecnología de la información y de capital, lo que puede traducirse en mejores resultados para los accionistas. Asimismo, la informática en la nube ayuda a las organizaciones de TI a responder a las nuevas necesidades de negocio de su cartera de clientes existente, ya que facilita una rápida implementación y seguimiento de la utilización de los recursos. Esta capacidad contribuye directamente a la agilidad de la empresa, es decir, a su capacidad para adaptarse a nuevas condiciones y lanzar rápidamente nuevas soluciones al mercado. La informática en la nube brinda a las organizaciones la opción de aprovechar la rápida evolución de la tecnología y de beneficiarse de las oportunidades de seguridad, velocidad, escalabilidad y flexibilidad relacionadas sin la presión de las soluciones "in situ". Hoy en día, las organizaciones se enfrentan con frecuencia al reto de reducir sus costos de TI sin detrimento de la agilidad y la capacidad de respuesta ante las necesidades del mercado. Gracias al modelo de informática en la nube, sólo pagan por los servicios que necesitan. El desembolso de capital se puede reducir significativamente, lo que les permite establecer prioridades para los recursos en los objetivos empresariales. La agilidad inherente a la informática en la nube también aporta una ventaja adicional: la escalabilidad. A medida que crecen las necesidades de la empresa y se agregan nuevas características o conjuntos de datos, la informática en la nube permite una escalabilidad del entorno rápido y sencillo. En caso de que se deba reducir la capacidad del entorno informático, por ejemplo, después de un pico de trabajo estacional, se puede hacer fácilmente sin los efectos negativos que suelen acompañar a la repentina inactividad de una inversión importante de capital. La oportunidad que supone la informática en la nube requiere un equilibrio de las ventajas del traslado de datos, procesamientos y capacidades a la nube con las implicaciones de seguridad de los datos, privacidad, fiabilidad y requisitos normativos. Desde el lanzamiento de MSN en 1994, Microsoft no ha dejado de desarrollar y ejecutar servicios en línea. Microsoft permite a las organizaciones adoptar la informática en la nube rápidamente mediante servicios en la nube como Windows Azure, Office 365, y Microsoft Dynamics CRM, y asumir un planteamiento de seguridad, privacidad y fiabilidad líder del sector. Los servicios en la nube de Microsoft se alojan en centros de datos de Microsoft de todo el mundo y están concebidos para ofrecer los niveles de rendimiento, escalabilidad, seguridad y servicio que esperan los clientes empresariales. Microsoft ha Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 6

7 aplicado la tecnología y los procesos más avanzados para mantener un acceso, seguridad y privacidad consistente y confiable para todos los usuarios. Estas soluciones en la nube de Microsoft poseen capacidades que facilitan el cumplimiento normativo con un amplio abanico de normativas y mandatos de privacidad globales. En este artículo, Microsoft ofrece una descripción general de diversos riesgos, la gobernanza y los marcos de seguridad de la información, e introduce el marco de trabajo específico para la nube desarrollado por la Cloud Security Alliance (CSA), llamado Security, Trust & Assurance Registry (STAR). El artículo también trata las raíces y la evolución del STAR, y examina cómo los productos de la nube de Microsoft cumplen los requisitos de seguridad, privacidad, cumplimiento normativo y administración de riesgos definidos por el STAR. Este artículo proporciona información sobre el modo en que los servicios de Microsoft como Windows Azure, Office 365 y Microsoft Dynamics CRM cumplen las directrices del STAR en materia de controles de seguridad, privacidad, cumplimiento normativo y administración de riesgos. A la hora de fidelizar clientes, Microsoft proporciona documentación que detalla las responsabilidades compartidas con Microsoft respecto a las aplicaciones y datos que los clientes le confían; dicha documentación es fundamental para las organizaciones con obligaciones regulatorias y de cumplimiento normativo. Al igual que sucede cuando se emplea un servicio de terceros, el cliente que utiliza el servicio es responsable en última instancia de determinar si el servicio satisface sus necesidades y obligaciones. Con respecto a Windows Azure, este artículo abarca sus principales servicios: servicios en la nube (roles de web y trabajador, anteriormente bajo cálculo), almacenamiento (tablas, blobs, colas) y de red (administrador de tráfico y Windows Azure Connect). No proporciona información detallada sobre otras características de Windows Azure, como la base de datos SQL, el bus de servicio, el mercado y su almacenamiento en caché. Para obtener más información sobre Windows Azure, consulte la sección "Documentación adicional" más adelante en este artículo. Los servicios Office 365 y Microsoft Dynamics CRM Online se ejecutan en una infraestructura de la nube que ofrece Microsoft a la que se puede tener acceso desde diversos dispositivos de cliente. Este artículo asume que los lectores están familiarizados con los conceptos básicos de Windows Azure; por lo tanto, no se explican en él. Los vínculos a los materiales de lectura que describen estos conceptos fundamentales se pueden encontrar en "Artículos sobre Windows Azure" en Technet. Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 7

8 Retos de la seguridad en la nube Tener un buen conocimiento sobre la administración de riesgos es importante en el panorama actual de la seguridad y la privacidad de la información. Cuando se trabaja con proveedores de informática en la nube como Windows Azure y con servicios proporcionados en la nube como Office 365 y Microsoft Dynamics CRM, es importante ser consciente de que las evaluaciones de riesgos deben tener en cuenta la naturaleza dinámica de la informática en la nube. Siempre que surge una nueva iniciativa, las organizaciones deben plantearse realizar una evaluación de los riesgos en todo su alcance empleando varios criterios. La informática en la nube no es distinta. Las siguientes secciones abarcan algunos de los criterios más importantes que suelen interesar a las organizaciones que se plantean implementaciones de informática en la nube. Seguridad En los casos de informática en la nube, hay muchas implicaciones de seguridad a tener en cuenta. Capas Al evaluar los controles en la informática en la nube, es importante tener en cuenta todo el conjunto de servicios del proveedor de servicios en la nube. Es posible que haya muchas organizaciones distintas implicadas en la prestación de servicios de infraestructura y servicios de aplicación, lo que eleva el riesgo de desfase. Una interrupción en cualquier capa de la pila de la nube o en la última milla de conectividad definida por el cliente podría comprometer la prestación del servicio en la nube y tener un impacto negativo. Por consiguiente, los clientes deben evaluar el funcionamiento de su proveedor de servicios y conocer la infraestructura y las plataformas de base del servicio, así como las aplicaciones en sí. Destrucción o borrado de datos seguros Muchas organizaciones poseen políticas que requieren que se eliminen datos cuando ya no se necesitan o tras un período de tiempo determinado. A veces, estas políticas requieren que se certifique la eliminación de datos, lo que puede adoptar la forma de una declaración de que los datos se han destruido de tal modo que no se puedan recuperar. Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 8

9 Muchos proveedores de la nube no pueden confirmar fácilmente dicha eliminación, en parte debido al modo en que la nube se replica rápidamente y se reubica en muchas unidades de disco, servidores y centros de datos. Aunque pueda suponerse que dichos datos se sobrescriben en su ubicación "original" o anterior, suele existir la posibilidad de que un proceso (o ataque) forense los recupere. Pérdida de datos La informática en la nube en su actual forma de varios residentes es relativamente nueva, y a muchas organizaciones les preocupa la madurez de las herramientas que utilizan los proveedores para alojar y gestionar sus datos. Microsoft destaca entre los competidores más recientes gracias a su experiencia en plataformas de tecnología relacionadas (como Hotmail, MSN y otros), que se remonta en algunos casos hasta veinte años. Más allá de los riesgos típicos de pérdida de datos en las unidades de disco, la existencia de herramientas adicionales como hipervisores, administradores de máquinas virtuales, nuevos entornos de funcionamiento y almacenamiento, y aplicaciones de rápida implementación introducen factores de estabilidad y redundancia adicionales que se deben incluir a la hora de estudiar la pérdida de datos. Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 9

10 Privacidad Como parte de la evaluación de riesgos de seguridad, se debe plantear una revisión de seguridad para identificar los riesgos potenciales para los datos y las operaciones en la nube. En la actualidad, la noción de privacidad va más allá de la descripción tradicional de datos de clientes y se extiende hasta la privacidad de las organizaciones, que incluye la mayoría de las restricciones de propiedad intelectual; es decir, los conocimientos de funcionamiento, modo y oportunidad de las organizaciones. A medida que más organizaciones se basan en el conocimiento, el valor de la propiedad intelectual que generan aumenta. De hecho, el valor de la propiedad intelectual suele ser una parte importante del valor total de la organización. Confidencialidad e integridad Del mismo modo, la preocupación por la confidencialidad (quién puede ver los datos) y la integridad (quién puede modificar los datos) adquiere relevancia y se debe incluir en cualquier evaluación. Por lo general, cuantos más puntos de acceso haya a los datos, más complicado será el proceso de creación del perfil de riesgo. Aunque muchos marcos normativos se centran en la confidencialidad, otros, como Sarbanes-Oxley, se ocupan casi exclusivamente de la integridad de los datos que se utilizan para elaborar comunicados financieros. Confiabilidad En muchos entornos de informática en la nube, debe tenerse en cuenta el flujo de datos que transmite información desde la nube y hacia ella. A veces, hay implicados muchos transportadores y a menudo hay que evaluar los tiempos de acceso más allá del transportador. Por ejemplo, un error de un proveedor de servicios de comunicación puede provocar retardos y afectar a la confiabilidad de los datos y servicios basados en la nube. Se debe evaluar y calcular los riesgos que entraña cualquier proveedor de servicios adicional. Auditoría, seguridad y atestación Muchas organizaciones tienen experiencia en aplicaciones tradicionales y actividades de implementación de datos, como auditorías y evaluaciones. En una implementación en la nube, la necesidad de algunas de estas actividades se vuelve aún más acuciante al mismo tiempo que las propias actividades se vuelven más complejas. Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 10

11 La falta de un control físico por parte de la organización propietaria de los datos es inherente al concepto de la nube, especialmente en el caso de implementaciones de nube pública. Hay que contemplar controles físicos para proteger las unidades de disco, los sistemas e incluso los centros de datos donde residen los datos. Dichas consideraciones también son aplicables a entornos de software en los que se implementen componentes de servicios en la nube. Además, la obtención de permisos para satisfacer los requisitos de pruebas de resistencia, de penetración y de análisis periódicos de vulnerabilidad puede suponer un desafío en las implementaciones en la nube. Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 11

12 También les plantea un desafío cumplir y satisfacer los requisitos para la validación independiente de los controles. Los proveedores de la nube suelen mostrarse reacios a aprobar diferentes tipos de pruebas en una infraestructura compartida debido al impacto que éstas podrían tener en otros clientes. Con frecuencia, las organizaciones que optan por la implementación en la nube no saben evaluar los riesgos ni cómo elegir un proveedor que los mitigue. En determinados marcos normativos, las auditorías son obligatorias. A menudo, los clientes de la nube se enfrentan a retos que amenazan o parecen contradecir las muchas ventajas de la adopción de la nube y su implementación. Ventajas de los marcos estandarizados Por lo general, las principales competencias de las organizaciones que adoptan la informática en la nube no incluyen la implementación y administración de tecnologías de informática en la nube. Debido a los riesgos potenciales, comunes y específicos de la nube, con frecuencia las organizaciones dependen de consultorías externas y de las lentas respuestas a las solicitudes de ofertas de los proveedores de la nube para evaluar los riesgos de sus necesidades específicas de implementación de la nube. Dichas respuestas deben ser evaluadas por profesionales de la nube con experiencia, además de por expertos en riesgos internos, para constatar los verdaderos riesgos para la organización. Estas evaluaciones de riesgos deben determinar el riesgo que se deriva de la adopción de estas tecnologías y el mejor modo de mitigarlo. El proceso de selección del socio para la implementación de la nube suele desarrollarse en un clima de intensa presión empresarial para reducir costos y aumentar la flexibilidad. En estas circunstancias, un proceso de administración de riesgos prolongado puede verse como un inhibidor, en lugar de un habilitador de los objetivos empresariales. Procedimientos recomendados Parte de la dificultad y la complejidad que implica la selección de un proveedor de la nube se puede atenuar con el uso de un marco de controles comunes. Dicho marco debe considerar no sólo los procedimientos recomendados para la seguridad de la información, sino que también debe incluir un auténtico conocimiento y una evaluación de las consideraciones y riesgos específicos que entraña la implementación de la nube. Además, dicho marco debe abordar gran parte del costo que implica la evaluación de Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 12

13 soluciones alternativas y ayudar a administrar significativamente los riesgos que han de tenerse en cuenta. Complejidad Un marco de controles específico de la nube como Cloud Controls Matrix (CCM) reduce el riesgo de que una organización olvide considerar factores importantes a la hora de seleccionar un proveedor de la nube. El riesgo se reduce más aún al basarse en el conocimiento acumulado de los expertos del sector que han creado el marco de trabajo, y aprovecha los esfuerzos de muchas organizaciones, grupos y expertos en un formato de presentación muy concienzudo. Además, un marco de trabajo eficaz del sector se actualizará periódicamente para tener en cuenta los cambios de las tecnologías en proceso de maduración, basándose en las experiencias de expertos que han revisado numerosos planteamientos distintos. Comparación Para las organizaciones que no poseen un conocimiento profundo de los distintos modos en que los proveedores de la nube pueden desarrollar o configurar sus ofertas, la revisión de un marco de trabajo totalmente desarrollado puede proporcionar una idea sobre cómo comparar ofertas distintas y diferenciar a los proveedores. Un marco de trabajo también puede ayudar a determinar si una oferta de servicio concreta cumple o supera los requisitos de cumplimiento y los estándares pertinentes. Auditoría y base de conocimiento El uso de un marco de trabajo aceptado por la industria es un modo de revisar documentación sobre las motivaciones y el modo en que se han tomado las decisiones, y de conocer los factores que tuvieron más peso y por qué. La comprensión del modo en que se toman las decisiones puede proporcionar una base de conocimiento para adoptar decisiones en el futuro, especialmente cuando los cambios de personal hacen que las personas que en su día tomaron las decisiones ya no se encuentren disponibles. Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 13

14 Evolución de los estándares de seguridad Para decidir qué estándar y marco de trabajo aplicar a la hora de seleccionar un proveedor de informática en la nube, las organizaciones solían tener que elegir entre marcos de trabajo escritos en un entorno informático anterior a la nube. Entre los marcos de riesgo, control y seguridad de la información, se incluye la familia de estándares publicada por la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional (ISO/IEC); COBIT, un marco de trabajo para el gobierno y la administración de TI empresarial de la Asociación de Auditoría y Control de Sistemas de Información (ISACA); la serie SP800 de estándares del Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. y algunos más. Familia de estándares de la Organización Internacional de Normalización y la Comisión Electrotécnica Internacional (ISO/IEC) La familia de estándares ISO incluye algunos de los marcos de referencia de seguridad de la información más conocidos del mundo. El estándar británico 7799, parte 1 se internacionalizó por primera vez como un código de buenas prácticas de seguridad de la información en 2000 y se denominó ISO/IEC En 2007, esta designación cambió a ISO La versión actual, ISO 27002:2005, se acepta generalmente para la implementación de marcos de administración de la seguridad. ISO/IEC se basa en el estándar británico 7799, parte 2, y define cómo implementar, supervisar, mantener y mejorar continuamente un sistema de administración de la seguridad (ISMS). Utiliza el estándar ISO/IEC, que se basa en el marco de trabajo Planificar-Hacer-Comprobar-Actuar. Las organizaciones se pueden certificar según el estándar ISO/IEC 27001, como ha hecho Microsoft con Windows Azure (servicios fundamentales) y otros servicios en línea de Microsoft (que se identifican más adelante en esta sección), lo que ha dado pie a que las organizaciones que desean validar sus esfuerzos en seguridad de la información con clientes, reguladores y otros accionistas externos adopten el ISO/IEC Hoy en día, la familia de estándares ha crecido hasta incluir los siguientes estándares: ISO/IEC 27000:2009, Sistemas de administración de la seguridad de la información Descripción general y vocabulario Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 14

15 ISO/IEC 27001:2005, Sistemas de administración de la seguridad de la información Requisitos ISO/IEC 27002:2005, Código de buenas prácticas para la seguridad de la información ISO/IEC 27003, Guía de implementación del sistema de administración de la seguridad ISO/IEC 27004, Administración de la seguridad de la información Medidas ISO/IEC 27005:2008, Administración de riesgos de la seguridad de la información ISO/IEC 27006:2007, Requisitos de los organismos que proporcionan auditorías y certificación La familia de estándares de ISO/IEC, y en particular el ISO/IEC 27002, constituyen los estándares comúnmente aceptados para la administración de la seguridad de la información en la actualidad. ISO/IEC 27007:2011, Directrices para la auditoría de sistemas de administración de la seguridad de la información ISO/IEC 27031:2011, Directrices para la disponibilidad de la tecnología de la información y comunicaciones para la continuidad empresarial Windows Azure, Microsoft Dynamics CRM, Office 365 y la capa de infraestructura de Global Foundation Services (GFS) subyacente emplean marcos de seguridad basados en el estándar ISO/IEC 27001:2005. Los servicios fundamentales de Windows Azure (servicios en la nube, almacenamiento y redes), Microsoft Dynamics CRM y Office 365 tienen la certificación ISO Además, la infraestructura física de GFS sobre la que se ejecutan todas las características de Windows Azure (excepto CDN) y sobre la que se ejecutan Office 365 y Microsoft Dynamics CRM, tiene la certificación ISO No hay proceso de certificación para el ISO/IEC Sin embargo, el estándar ofrece un conjunto sugerido de controles apropiados para un sistema de administración de la seguridad de la información, que está documentado en el anexo A de la ISO/IEC El marco de seguridad de Microsoft, basado en ISO/IEC 27001, permite a los clientes evaluar cómo Microsoft cumple o supera los estándares de seguridad y las directrices de Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 15

16 implementación. Además, Windows Azure y la infraestructura de GFS reciben la declaración anual de estándares de auditoría n.º 70 (SAS 70 tipo II o su sucesor, SSAE16 y adicionalmente ISAE 3402). La política de seguridad de la información, que se aplica a las ofertas de la nube de Microsoft, también cumple el ISO/IEC y se aumenta con requisitos específicos para las ofertas de la nube de Microsoft. Los vínculos a las copias públicas de las certificaciones de Windows Azure, Microsoft Dynamics CRM, Office 365, Global Foundation Services y FOPE ISO están disponibles en la sección "Documentación adicional" más adelante en este artículo. COBIT El marco de Objetivos de Control para Información y Tecnologías Relacionadas (COBIT) es un estándar bien concebido y comúnmente aceptado que se publicó para ayudar a las organizaciones a evaluar riesgos para la información relacionados con la tecnología. Publicado por primera vez en 1996 y actualmente por su quinta revisión (publicado en 2012), el COBIT fue publicado por el Instituto de Gobierno de TI, que está afiliado a la Asociación de Auditoria y Control de Sistemas de la Información (ISACA). Aunque la versión anterior (4.1, publicada en 2007) se organiza utilizando 34 procesos de alto nivel y 215 objetivos de control detallado, la nueva versión es distinta. Para COBIT 5, ISACA eligió dividir el documento en 37 procesos de alto nivel y 17 objetivos. COBIT está diseñado para salvar las distancias de administración y control entre los riesgos técnicos y los empresariales. Para obtener más información sobre COBIT, consulte la sección "Documentación adicional" más adelante en este artículo. COBIT es una herramienta muy útil para ayudar a correlacionar estándares distintos como la Biblioteca de Infraestructuras de Tecnologías de Información (ITIL), la Integración de Modelos de Madurez de Capacidades (CMMi) y el ISO Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 16

17 NIST Serie 800 de publicación especial (SP) Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. publica varios estándares para que los utilicen sus agencias y departamentos gubernamentales. Entre sus estándares más notables podemos destacar la serie SP800, dedicada a la seguridad y la privacidad. El NIST fue el creador de la definición práctica globalmente aceptada de la informática en la nube, que se ha publicado ahora como el borrador SP Esta publicación preliminar se ha enviado al organismo de estándares ISO/IEC para su inclusión en el próximo estándar internacional. Tenga también presente que en la serie SP800 se encuentra SP800-53, que define los controles de seguridad que se deben implementar en las soluciones informáticas del Acta de la Administración de Seguridad de la Información Federal (FISMA). Los controles también se encuentran en el Programa de Federal de Administración de Riesgo y Autorización (FedRAMP), que es un programa para todo Estados Unidos que ofrece un enfoque estandarizado de la evaluación, autorización y supervisión continua de la seguridad para productos y servicios en la nube. Microsoft obtenido la Autorización Moderada de Operación (ATO) de la FISMA para GFS y Office 365. Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 17

18 Presentación de STAR Con el surgimiento de la informática en la nube y una mayor comprensión por parte del mercado de su tremendo potencial para ayudar a las organizaciones a crear, administrar y mantener herramientas para lograr el crecimiento, ha quedado claro que tal vez los estándares existentes, tal y como se describen en la sección anterior, ya no sirvan para enfrentarse a los problemas que plantea una rápida implementación y los novedosos usos empresariales de esta eficaz tecnología. La Cloud Security Alliance (CSA) y STAR La Cloud Security Alliance (CSA) es una organización sin ánimo de lucro que promueve el uso de procedimientos recomendados para asegurar la seguridad de la informática en la nube. Para reducir gran parte de los esfuerzos, ambigüedad y costos de obtener las preguntas e información más relevantes sobre las prácticas de seguridad y privacidad de los proveedores de la nube, la CSA publica y mantiene el Security, Trust & Assurance Registry (STAR). Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 18

19 Cloud Controls Matrix (CCM) STAR emplea Cloud Controls Matrix (CCM) para ofrecer un marco de controles para comprender los conceptos y principios de seguridad, privacidad y fiabilidad que se ajustan a los consejos de la Cloud Security Alliance en 13 dominios. Este artículo utiliza la versión 1.2 de CCM, al versión actual en estos momentos, que comprende una lista de 100 preguntas. El CCM de la CSA proporciona a las organizaciones un marco de trabajo con toda la estructura, detalle y claridad que necesitan sobre la seguridad de la información adaptado a los proveedores de servicios en el sector de la nube. Dominios STAR STAR emplea los 13 dominios siguientes para hacer frente a los problemas de seguridad de la informática en la nube Marco arquitectónico de la informática en la nube Administración de riesgos empresariales y de gobierno Descubrimiento electrónico y legal Cumplimiento normativo y auditoría Administración del ciclo de vida de la información Portabilidad e interoperabilidad Seguridad tradicional, continuidad empresarial y recuperación de desastres Operaciones del cetro de datos Capacidad de respuesta, notificación y corrección de incidentes Seguridad de las aplicaciones Encriptación y administración de claves Administración de acceso e identidad integrada Los proveedores pueden elegir enviar un informe que documente su cumplimiento con el CCM, y la STAR publicará dichos informes. Para obtener información sobre Cloud Security Alliance, visite STAR es un "registro gratuito al que se puede tener acceso de forma pública que documenta los controles de seguridad de los que disponen diversas ofertas de informática en la nube, ayudando de este modo a los usuarios a evaluar la seguridad de los proveedores de informática en la nube que utilizan o con los que se plantean trabajar." Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 19

20 Los consumidores de servicios en la nube pueden usar los datos que contiene STAR para evaluar a los proveedores e identificar preguntas que sería conveniente que respondieran los proveedores antes de adoptar sus servicios en la nube. (STAR es un proceso basado en la auto-evaluación de los proveedores de la nube y la CSA no audita ni garantiza las respuestas que se obtienen. Microsoft ha elegido no solo responder a todas y cada una de las 100 preguntas de CCM de la STAR, sino también ajustar los dominios a las certificaciones ISO que han recibido varios servicios de Microsoft para proporcionar un nivel de comodidad adicional a los clientes de los servicios en la nube. ) Microsoft ha publicado una descripción general de su capacidad para cumplir los requisitos de CCM. El objetivo de esa descripción registrada en la STAR es proporcionar a los clientes información para que evalúen las ofertas de Microsoft. Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 20

21 En sintonía con STAR Cuando se mitigan los riesgos en la implementación de una solución de nube, las organizaciones deben tener en cuenta los riesgos específicos de la nube que se describen en la sección "Retos de la seguridad en la nube" así como sus objetivos organizativos. Deben sopesarse y evaluarse detenidamente los riesgos comunes así como los específicos de la nube para garantizar los mejores resultados para la organización. Un procedimiento recomendado consiste es realizar la selección de un proveedor de la nube tal y como se ha descrito anteriormente, utilizando un marco de trabajo común. Este planteamiento ayuda a mitigar los riesgos, pero también a evitar los costos que supone contratar a un experto externo y un caro proceso de revisión independiente, dependiendo en lugar de ello de los esfuerzos combinados de años de experiencia en el campo. Las organizaciones pueden emplear los criterios de control de CCM para ayudar a mitigar los riesgos de que falten criterios de evaluación importantes. STAR también permite a las organizaciones emplear un marco de trabajo totalmente desarrollado para comparar cuidadosamente ofertas similares. Además, ofrece un modo de medir y cuantificar factores de ponderación para criterios relacionados. Mediante el uso de STAR, una organización puede comparar diversas ofertas de la nube, emplear criterios importantes para la organización y documentar cómo y cuándo se seleccionó una solución en concreto. Este enfoque permite madurar los esfuerzos de selección futuros y se suma a la base de conocimiento de la organización. Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 21

22 Ejemplos específicos de la adopción por parte de Microsoft de los controles STAR Para ofrecer algunos ejemplos específicos de cómo el marco de trabajo STAR ayuda tanto en el proceso inicial de selección como en la diligencia debida continua, Microsoft ha seleccionado algunos ejemplos concretos de controles STAR y las respuestas de Microsoft correspondientes. En los siguientes ejemplos, una organización puede descubrir cómo ahorrar tiempo y dinero mediante el uso del marco de trabajo CCM para obtener respuestas estándar de proveedores de la nube en lugar de desarrollar sus propias listas de preguntas. Por ejemplo, una organización puede seleccionar las preguntas que sean más relevantes y comparar las respuestas de Microsoft con las de otros proveedores para decidir qué servicio seleccionar. Los ejemplos se aplican a Windows Azure, Office 365 y Microsoft Dynamics CRM. Descargas completas de envíos a STAR Microsoft Dynamics CRM Online Enviado el 5 de abril de 2012 Microsoft Office 365 Enviado el 2 de diciembre de 2011 Microsoft Windows Azure Enviado el 30 de marzo de 2012 CO-01 Cumplimiento normativo - Planificación de auditoría "Deben diseñarse elementos de planes, actividades y acciones operativas de auditorías que se centren en la duplicación, acceso y limitaciones de datos para minimizar el riesgo de interrupción del proceso empresarial. Los accionistas deben planificar y acordar las actividades de las auditorías con antelación". Respuesta de Microsoft: "Los objetivos de Microsoft son administrar los servicios de Microsoft con seguridad como principio fundamental y ofrecer al cliente garantías concretas de la seguridad de Microsoft. Microsoft ha implementado y mantenido medidas técnicas y organizativas razonables y apropiadas, controles internos y rutinas de seguridad de la información Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 22

23 con el fin de ayudar a proteger los datos de los clientes de la pérdida accidental, destrucción o alteración; acceso o revelación no autorizada; o destrucción ilegal. Todos los años, Microsoft se somete a auditorías de terceros realizadas por auditores de reconocimiento internacional para validar que posee una certificación independiente de cumplimiento normativo de las políticas y procedimientos para la seguridad, la privacidad, la continuidad y el cumplimiento. Las certificaciones ISO de Microsoft Dynamics CRM, Windows Azure, Office 365 y Global Foundation Services (que opera la infraestructura física) se pueden encontrar en el sitio web del auditor externo de Microsoft, BSI Group. Hay disponible información adicional sobre auditorías previa suscripción de un contrato de no divulgación a petición de potenciales clientes. Los informes de auditoría independiente y certificaciones de Windows Azure, Office 365 y Microsoft Dynamics CRM Online se comparten con los clientes en lugar de permitir auditorías de clientes individuales. Estas certificaciones y atestaciones reflejan con exactitud el modo en que Microsoft obtiene y alcanza sus objetivos de seguridad y cumplimiento normativo, y sirven como mecanismo práctico para validar sus promesas a todos los clientes. Por razones operativas y de seguridad, no se permite que los clientes de Microsoft realicen sus propias auditorías de Windows Azure, Office 365 y Microsoft Dynamics CRM. Los clientes sí que pueden realizar pruebas de penetración no invasivas de su propia aplicación en la plataforma Windows Azure con consentimiento previo". Los estándares ISO abarcan la "supervisión y revisión del sistema de administración de la seguridad (ISMS)", al que hacen referencia específica en al cláusula Para obtener más información, recomendamos consultar los estándares ISO públicos de los que estamos certificados". DG-05 Gobernanza de datos Eliminación segura "Se debe establecer el modo en que el proveedor de servicios cumple con la necesidad de políticas y procedimientos así como implementar mecanismos para la segura eliminación y completa supresión de datos de todos los medios de almacenamiento, garantizando así que estos no se pueden recuperar por ningún medio informático forense". Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 23

24 Respuesta de Microsoft: "Microsoft emplea procedimientos recomendados y una solución de limpieza que cumple la normativa NIST En el caso de los discos duros que no se pueden limpiar, empleamos un proceso de destrucción que elimina la información (como el desmenuzado) y hace imposible su recuperación (por ejemplo, desintegración, desmenuzado, pulverizado o incineración). El tipo de activo determina el medio de eliminación apropiado. Se conservan registros de la destrucción. Microsoft Dynamics CRM Online emplea servicios aprobados de almacenamiento y administración de la eliminación. Los documentos impresos se destruyen por medios aprobados al alcanzar el fin predeterminado de su ciclo de vida. Todos los servicios de Windows Azure emplean servicios aprobados de almacenamiento y administración de la eliminación. Los documentos impresos se destruyen por medios aprobados al alcanzar el fin predeterminado de su ciclo de vida. Microsoft Office 365 emplea servicios aprobados de almacenamiento y administración de la eliminación. Los documentos impresos se destruyen por medios aprobados al alcanzar el fin predeterminado de su ciclo de vida." La "eliminación segura o reutilización de equipos y eliminación de medios" se cumple según los estándares ISO 27001, que se trata específicamente en el anexo A, dominios y Para obtener más información, recomendamos consultar los estándares ISO públicos de los que estamos certificados". FS-03 Seguridad de las instalaciones - Puntos de acceso controlado "Se deben implementar perímetros de seguridad física (vallas, paredes, barreras, guardas, verjas, vigilancia electrónica, mecanismos de autenticación física, mostradores de recepción y patrullas de seguridad) para proteger datos sensibles y sistemas de información". Respuesta de Microsoft: "Los edificios de los centros de datos no se definen y no se anuncia que el centro de datos de Microsoft ofrece servicios de alojamiento en el emplazamiento. El acceso a las instalaciones del centro de datos está restringido. Las áreas de la entrada principal o recepción tienen dispositivos de control de acceso por tarjeta electrónica en las puertas del perímetro, lo cual restringe el acceso a las instalaciones del interior. Las salas del Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 24

25 centro de datos de Microsoft que contienen sistemas críticos (servidores, generadores, paneles eléctricos, equipos de red, etc.) están restringidas mediante varios mecanismos de seguridad como el control de acceso por tarjeta electrónica, cierre con llave, puertas anti-cola y dispositivos biométricos. Es posible que existan barreras físicas adicionales, como "armarios cerrados" o jaulas cerradas instaladas dentro del perímetro de las instalaciones según se requiera para asegurar los activos según las políticas o los requisitos empresariales". El "perímetro de seguridad físico y la seguridad medioambiental" se garantiza según los estándares ISO 27001, a los que se hace referencia expresa en el anexo A, dominio 9. Para obtener más información, recomendamos consultar los estándares ISO públicos de los que Microsoft está certificado". SA-12 Arquitectura de seguridad Sincronización de relojes "Se deberá utilizar una referencia temporal precisa externa acordada para sincronizar los relojes de todos los sistemas de procesamiento de información relevante de la organización o del dominio de seguridad definido explícitamente para facilitar el rastreo y la reconstrucción de cronologías de actividad. Nota: es posible que jurisdicciones legales específicas y plataformas de almacenamiento y transmisión orbital (GPS de EE. UU. y la red del satélite Galileo de la UE) requieran un reloj de referencia cuya sincronización difiera de la referencia temporal de la ubicación de la organización. En ese caso, la jurisdicción o plataforma se tratará como un dominio de seguridad definido explícitamente". Respuesta de Microsoft: "Con el fin de aumentar la seguridad de Microsoft Dynamics CRM Online, Windows Azure y Office 365, y de proporcionar detalles de informe precisos en el registro de eventos y procesos de supervisión y registros, Microsoft Dynamics CRM Online, Windows Azure y Office 365 emplean estándares de ajuste horario consistentes (como PST, GMT o UTC). Siempre que sea posible, los relojes de los servidores de Microsoft Dynamics CRM Online, Windows Azure y Office 365 se sincronizarán mediante el Protocolo de Tiempo de Red, que cuenta con una fuente de tiempo central de estandarización y referencia, para mantener un horario preciso en todos los entornos de Microsoft Dynamics CRM Online, Windows Azure y Office 365". La "sincronización de relojes" se garantiza según los estándares ISO 27001, a la que se hace referencia expresa en el anexo A, dominio Para obtener más información, recomendamos consultar los estándares ISO públicos de los que estamos certificados". Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 25

26 Resumen La decisión de cómo proceder para la implementación de la nube reviste una gran importancia. A medida que las organizaciones van descubriendo las ventajas de rápida implementación y aprovisionamiento, escalado y disminución, y reducción de costos de la informática en la nube, empiezan a ver la migración a la nube como un enfoque interesante para la prestación de servicios. No obstante, dicha migración e implementación de nuevos servicios a veces se ve ralentizada o impedida por la necesidad de investigar (o evaluar) a conciencia los riesgos que implica y de mitigarlos. En el proceso de implementación de la informática en la nube, gran parte de los riesgos se consideran nuevos o incluso exóticos, en comparación con los riesgos operativos diarios existentes. Parte de la dificultad y la complejidad que implica la selección de un proveedor de la nube se puede atenuar con el uso de un marco de controles comunes. Dicho marco debe basarse en procedimientos recomendados del sector y en un auténtico conocimiento y evaluación de las consideraciones y riesgos específicos que entraña la implementación de la nube. Dicho marco también debe ayudar a reducir gran parte del costo que acarrea la evaluación de soluciones alternativas y ayudar a administrar significativamente los riesgos inherentes a la implementación de cualquier tecnología nueva. El CCM de la CSA proporciona a las organizaciones un marco de trabajo con toda la estructura, detalle y claridad que necesitan sobre la seguridad de la información adaptado al sector de los servicios de la informática en la nube. La CSA publica y mantiene el STAR, que se creó para reducir gran parte de los esfuerzos, ambigüedad y costos necesarios para obtener la información adecuada sobre las prácticas de seguridad y privacidad de los proveedores de la nube. STAR emplea Cloud Controls Matrix (CCM) para ofrecer un conocimiento detallado de los conceptos y principios de seguridad y privacidad que se ajustan a los consejos de la Cloud Security Alliance. Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 26

27 Para ayudar a las organizaciones a implementar soluciones de informática en la nube, Microsoft presenta sus respuestas detalladas al STAR, que está a disposición del público en el sitio web de la CSA. Las respuestas de Microsoft incorporan las directrices ISO y ejemplifican el compromiso y la importancia que a Microsoft a la privacidad y la seguridad de sus clientes. El Security, Trust and Assurance Registry, creado por la Cloud Security Alliance (CSA), es dicho marco. Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 27

28 Documentación adicional Cloud Security Alliance (CSA) Página web de la hoja informativa de COBIT sobre la Asociación de Auditoria y Control de Sistemas de la Información (ISACA) BSI Group: la institución de los estándares británicos El estándar EBS ISO/IEC 27005:2011 proporciona directrices para la administración de riesgos para la seguridad de la información Catálogo de estándares de la Organización Internacional de Estandarización (ISO) Global Foundation Services Certificación ISO de Windows Azure ISO Certificación Microsoft Dynamics CRM ISO Artículos sobre Windows Azure Información legal de la plataforma Windows Azure Microsoft Dynamics CRM Registro STAR de la CSA Centro de confianza de Microsoft Office 365 Centro de confianza de Windows Azure Directiva 95/46/EC del Parlamento y del Consejo Europeos Trustworthy Computing El enfoque de Microsoft para la transparencia en la nube 28