Esquema de Certificación Abierto



Documentos relacionados
Cloud Security Alliance. Recomendaciones de Seguridad para Usuarios

Principales Cambios de la ISO 9001:2015

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

Norma ISO 9001: Sistema de Gestión de la Calidad

El papel del liderazgo en la Continuidad del Negocio.

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V.

NORMA ISO Estos cinco apartados no siempre están definidos ni son claros en una empresa.

Necesita un sistema para entregar servicios de TI consistentes, eficaces y confiables? Utilice un sistema de gestión en conformidad con ISO/IEC 20000

Orientación acerca del enfoque basado en procesos para los sistemas de gestión de la calidad

Estándares de Seguridad

PROYECTO GESTIÓN POR PROCESOS: INFORME DE AUTOEVALUACIÓN MEDIANTE CUESTIONARIO

ENFOQUE ISO 9000:2000

Cloud Computig. Riesgos Actuales en la Implementación de. Por: Oscar Vite Consultant PinkElephant, Iberoamérica

M ucho se ha especulado en relación a los

Proceso: AI2 Adquirir y mantener software aplicativo

Norma ISO 14001: 2015

ISO 9001:2015 e ISO 14001:2015 LAS REVISIONES ESTÁN LLEGANDO ESTÁS PREPARADO?

Norma ISO Francisco D Angelo Douglas García Claudia Herrera Luis Laviosa

RECTA FINAL PARA LA ISO 9001:2015

global trust Razones por las cuales debería emplearse un Laboratorio Acreditado? International Laboratory Accreditation Cooperation

Certificación. Gestión Avanzada 9004

Quíenes somos. Servicios de Auditoría y Formación de primera clase a nivel internacional

Master en Gestion de la Calidad

A qué huelen las nubes?: seguridad y privacidad del cloud computing

ASOCIACIÓN INTERNACIONAL DE SUPERVISORES DE SEGUROS

I INTRODUCCIÓN. 1.1 Objetivos

ISO 9001:2015 Estado de la Revisión

G.UA.01 Guía del dominio de Uso y Apropiación

Principios de Privacidad y Confidencialidad de la Información

OHSAS 18001: La integración de la Seguridad y Salud en el Trabajo en las organizaciones

Portal de Compras del Gobierno del Estado de Baja California ( A. Antecedentes

PROTECCIÓN DEL PATRIMONIO TECNOLÓGICO

CÓDIGO DE ÉTICA Código: DG-D Versión: 01 - Fecha Emisión: 05/02/2013

Gestión de Configuración del Software

Una estructura conceptual para medir la efectividad de la administración

Boletín Informativo SIGMC

Seguridad en la nube. Aspectos prácticos. Jordi Gascón, CA Technologies IFEMA, 16 Febrero 2011

Política General de Control y Gestión de Riesgos

Norma ISO 14001: 2004

Privacidad y protección de datos en la prestación de Servicios de Cloud Computing T11: Privacidad en la nube

ICTE NORMAS DE CALIDAD DE AGENCIAS DE VIAJES REGLAS GENERALES DEL SISTEMA DE CALIDAD. Ref-RG Página 1 de 9

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

ISO 31000: La gestión de riesgos como componente integral de la gestión empresarial

Introducción a la ISO Sistemas de Gestión de Seguridad de Información. Carlos Ignacio Gamboa Hirales

A qué huelen las nubes?: seguridad y privacidad del cloud computing

DIRECCION DE PROYECTOS II

Basado en la ISO 27001:2013. Seguridad de la Información

2.2 Política y objetivos de prevención de riesgos laborales de una organización

TEMARIO. Sistemas de Gestión

Pasando de ISO 9001:2008 a ISO 9001:2015

Bechtle Solutions Servicios Profesionales

Improving performance, reducing risk. Proceso de Actualización Normas de Sistemas de Gestión ISO 9001 de Calidad ISO de Medio Ambiente

PRINCIPIOS DE LA GESTION DE LA CALIDAD

INTRODUCCIÓN. El presente proyecto se ha elaborado como propuesta apara el Programa de Gestión de Calidad SISO 9000:2000

1. Nombre de la herramienta. Evaluación del desempeño ambiental, ISO La herramienta presenta una tendencia más fuerte hacia:

ISO 9001:2000 DOCUMENTO INFORMATIVO DOCUMENTO ELABORADO POR CHRISTIAN NARBARTE PARA EL IVECE

Certificación. Contenidos 1. Implantación del SGSI. 2. Auditoría y certificación. 3. La entidad de certificación. 4.

1.1. Sistema de Gestión de la Calidad

Plan de Estudios. Maestría en Negocios Internacionales

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

COMPILACION BIBLIOGRAFICA PMBOK, OPM3 JHON FREDY GIRALDO. Docente: Carlos Hernán Gomez Asignatura: Auditoria de Sistemas

GESTIÓN DE LA CALIDAD

Implantación de un Modelo de Buen Gobierno Corporativo mediante SAP GRC

RESUMEN DEL ESTUDIO SOBRE LAS NECESIDADES DE CERTIFICACIÓN Y ACREDITACIÓN EN MATERIA DE CIBERSEGURIDAD

0. Introducción Antecedentes

Presentación de COBIT 5. Alfredo Zayas. ISACA Capítulo Cd. de México

GUIA SOBRE LOS REQUISITOS DE LA DOCUMENTACION DE ISO 9000:2000

COSO Marco de referencia para la implementación, gestión y control de un adecuado Sistema de Control Interno

Presentación del Data Monitor de Sedex Nuestra interesante nueva gama de herramientas de creación de informes

POLÍTICA DE GESTIÓN DEL SERVICIO

Nuestro Propósito, nuestros Valores, y nuestros Principios

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

PROPUESTA DE RESOLUCIÓN ESPECÍFICA PARA LOS PROGRAMAS DE CONTADURÍA PÚBLICA.

Introducción a ISO 25000

ISO 9001 TRANSICIÓN A LA NUEVA VERSIÓN Autores: Ing. Roberto Lemo Ing. Hugo González Directores de Calidad & Gestión

Necesita proteger su información? Tome medidas con ISO/IEC de BSI.

Grupo de Difusión del CTN50/SC1 Gestión de documentos y aplicaciones de AENOR Universitat Oberta de Catalunya

Septiembre 2015 Global Unit Technology & Services SAFER, SMARTER, GREENER

I. INTRODUCCIÓN DEFINICIONES

Curso TURGALICIA SISTEMA DE GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO OHSAS 18001:2.007

Aseguramiento de la Calidad

SEGURIDAD DE LA INFORMACIÓN

ISO 9001:2015 Cuestionario de autoevaluación

INTRODUCCIÓN QUIÉNES SOMOS NUESTRO OBJETIVO

SISTEMA DE GESTIÓN DE LA CALIDAD EN SALUD

Security Health Check

Cómo seleccionar el mejor ERP para su empresa Sumario ejecutivo

Riesgos asociados al CLOUD

SISTEMAS Y MANUALES DE LA CALIDAD

I. DISPOSICIONES GENERALES

Hoja Informativa ISO 9001 Comprendiendo los cambios

MODERNIZANDO PCN Y RECUPERACION DE DESASTRES UTILIZANDO VIRTUALIZACION Y LA NUBE

ISO 9001:2015 Comprender los cambios clave. Lorri Hunt

Certificación Profesional de Auditoria Interna

2O21 METAS EDUCATIVAS LA EDUCACIÓN QUE QUEREMOS PARA LA GENERACIÓN DE LOS BICENTENARIOS

En la misma dirección. Uniendo al Gobierno, Riesgo y Cumplimiento (GRC)

nueva ISO 9001 Nuevas necesidades, La revisión de la norma de sistemas ISO/DIS 9001:2014

SERVICIO DE CONSULTORÍA DE CALIDAD PARA CLÍNICAS DENTALES

LA LOGÍSTICA COMO FUENTE DE VENTAJAS COMPETITIVAS

Transcripción:

Esquema de Certificación Abierto Jim Reavis and Daniele Catteddu Agosto 2013 Copyright 2012 Cloud Security Alliance, All rights reserved Page 1 of 8

Contenido Antecedentes... 3 Análisis de Estado... 3 Un esquema de certificación para servicios en la nube de confianza... 4 Estructura del Esquema de Certificación Abierto... 5 Nivel 1: Autoevaluación: CSA STAR... 5 Nivel 2: CERTIFICACION STAR (Auditoría de Tercera Parte)... 5 Nivel 2: Testeo STAR (Auditoría de Terceros)... 6 Nivel 3: La certificación basada en el seguimiento continuo... 6 CERTIFICACION STAR (Nivel 2)... 6 Evaluadores Cualificados (Auditores) para la CERTIFICACION STAR... 7 Cronograma del Esquema de Certificación Abierto (OCF):... 7 Estructura de Gobierno... 7 Copyright 2012 Cloud Security Alliance, All rights reserved Page 2 of 8

Antecedentes Cloud Security Alliance (en adelante CSA) ha identificado carencias en el entorno de las TI (Tecnologías de la Información) que están inhibiendo la contratación de servicios seguros y confiables en la nube por parte del mercado. Los clientes no disponen de una vía sencilla y barata para evaluar y comparar la resiliencia, la capacidad de protección de datos y la portabilidad de sus proveedores (de servicios en la nube). Este problema se acentúa por la dimensión internacional de los servicios en la nube, que genera barreras para la adopción de dichos servicios, traspasando fronteras nacionales. CSA reconoce tanto que una única certificación, regulación u otro régimen de cumplimiento, no puede suplantar a los demás en el gobierno del futuro de las Tecnologías de la Información (TI) como el riesgo de un incremento de costes y complejidad al ya sobrecargado ámbito del cumplimiento. Aun así, la consolidación de la nube como una utilidad global de computación genera la necesidad de armonizar los actuales requerimientos de cumplimiento. Los estándares de gestión del grupo ISO SC27 tienen el potencial de ser globalmente aceptados; Aun así, existen preguntas relevantes, como la evolución futura de los estándares ISO 27017 y 27018 respecto a ISO 27001 y 27002. CSA está trabajando para influir positivamente en esos resultados aportando su propia propiedad intelectual (en nuestro papel de promotores de estándares). El estándar AICPA SAS70 y sus sucesores han ganado fuerza como estándares de auditoría en compañías de servicios y son muy conocidos entre los proveedores de servicios en la nube. Sin embargo, carece de una serie de criterios estandarizados para los tipos de objetivos de control que puedan ser evaluados en un proveedor de servicios en la nube. Los creadores de regulaciones legales, incluyendo el Gobierno Federal de los EEUU, la Comisión Europea y otras entidades también valoran positivamente un esquema de certificación para servicios en la nube. Todos los intentos anteriores para aseguramiento, auditoría y certificación de tecnologías de la información han sido dificultados por los rápidos cambios y la naturaleza dinámica de la computación en la nube. Tanto los consumidores como los proveedores se beneficiarán del conocimiento de que sus ágiles actividades de cumplimiento respaldadas por CSA serán de aplicación general en los regímenes regulatorios globales. Análisis de Estado El Esquema de Certificación Abierto (Open Certification Framework, en adelante OCF) de CSA en una iniciativa de la industria para permitir una certificación global, acreditada y basada en la confianza para proveedores de servicios en la nube. OCF de CSA es un programa flexible, incremental y con diferentes niveles para una certificación de proveedores de servicios en la nube, de acuerdo con los objetivos de control y guías de seguridad de liderazgo de la industria que aporta CSA. El programa se integrará con las reconocidas auditorías de tercera parte y con los requisitos de informe desarrollados dentro de la comunidad para evitar duplicar costes y esfuerzos. OCF de CSA está basado en los objetivos de control y estructuras de control continuo definidas dentro del proyecto de investigación STACK GRC (Gobernance, Risk and Compliance) de CSA. OCF de CSA tendrá varios niveles, con reconocimiento de varios Copyright 2012 Cloud Security Alliance, All rights reserved Page 3 of 8

requerimientos de seguridad y niveles de madurez en proveedores y clientes de servicios en la nube. Estos irán desde un nivel de autoevaluación CSA-STAR (Security, Trust and Assurance Registry) hasta especificaciones de alta seguridad de tipo control continuo. OCF de CSA proporciona: Un camino aplicable en cualquier geografía para gestionar requerimientos legales con las mejores prácticas globales basadas en la confianza. Por ejemplo, esperamos que los Gobiernos sean firmes implementadores del OCF de CSA para plantear sus propias necesidades particulares como la capa más alta de las necesidades de Gobierno, Riesgo y Cumplimento (en adelante GRC), y proporcionar una certificación ágil para los usuarios de servicios en la nube del sector público. Una guía explícita para proveedores sobre cómo usar las herramientas GRC Stack para certificaciones múltiples. Por ejemplo, la documentación de definición de alcance articulará las razones por las que un proveedor puede seguir el camino de la certificación ISO 27001 que incorpore la CSA Cloud Control Matrix (en adelante CCM). Un esquema de reconocimiento que podría permitir a CSA soportar ISO, AICPA y potencialmente otros esquemas que incorporen Propiedad Intelectual de CSA dentro de sus certificaciones o marcos de certificación. CSA apoya el uso de un certificado para uso múltiple, cuando sea posible. CSA quiere armonizar y simplificar la provisión de certificaciones, no complicarla. Un esquema de certificación para servicios en la nube de confianza Tanto las entidades gubernamentales, como las entidades privadas y el sector público demandan un procedimiento común para evaluar y certificar el nivel de seguridad y privacidad que proveedores de servicio de IaaS, PaaS, SaaS o (X)aaS están proporcionando. Se supone que un estándar para la privacidad y la seguridad globalmente reconocido debe promover una extensa adopción global de servicios en la nube cubriendo la falta de confianza que actualmente se percibe dentro de los servicios en la nube. Esta falta de confianza se basa principalmente en las dificultades que tienen los usuarios de la nube para gestionar elementos fundamentales de seguridad con sus proveedores de servicios en la nube, como por ejemplo: Comprensión de requerimientos legales y responsabilidades contractuales Definición y asignación de responsabilidades Garantizar la aplicación de controles. Traducción de requerimientos en pruebas/controles/conceptos propios de la nube Determinación de los medios para evaluar el análisis de los servicios en la nube y para un seguimiento continúo de la ejecución del contrato de servicios en la nube. Estos son apoyados por ocho principios de gestión que aseguran que el alcance y los procesos son adecuados y que el Acuerdo de Nivel del Servicio (Service Level Agreement, en adelante SLA) gestiona: El enfoque a cliente Copyright 2012 Cloud Security Alliance, All rights reserved Page 4 of 8

Liderazgo Involucración de las personas Análisis por procesos Enfoque de sistemas para la gestión Mejora continua Toma de decisiones basadas en la evidencia Relaciones con suministradores de mutuo beneficio Estructura del Esquema de Certificación Abierto El OCF se estructura en 3 NIVELES de CONFIANZA, cada uno de los cuales proporciona un incremento gradual en los niveles de visibilidad y transparencia en las operaciones del Proveedor de Servicios en la Nube y un nivel mayor de seguridad en el cliente de servicios en la Nube. Nivel 1: Autoevaluación: CSA STAR Los proveedores de servicios en la nube pueden presentar dos tipos diferentes de informes para indicar su cumplimiento con las mejores prácticas de CSA. El Cuestionario CAIQ (Consensus Assessment Initiative Questionnaire) Matriz CSA-CCM Nivel 2: CERTIFICACION STAR (Auditoría de Tercera Parte) El concepto del esquema es utilizar los requerimientos de la norma de sistemas de gestión ISO 27001 integrado con la CCM de CSA y los propios requisitos internos o las Copyright 2012 Cloud Security Alliance, All rights reserved Page 5 of 8

especificaciones de la organización para evaluar la madurez de sus sistemas. Las respuestas son registradas y posteriormente analizadas por su nivel de madurez. A esta madurez se le asigna una puntuación. Todas las puntuaciones son evaluadas conjuntamente para puntuar los diferentes dominios del sistema de gestión y una puntuación global de todo el sistema de gestión. Además de lo anterior, también existe la posibilidad para los clientes de tener su propio criterio de rendimiento interno incluido en el proceso para su examen y puntuación por los auditores. Nivel 2: Testeo STAR (Auditoría de Terceros) El concepto del esquema es utilizar los requerimientos para testeos AICPA SOC2, ejecutados de acuerdo con la sección AT 101, de los test estándar AICPA, ampliados con la CSA-CCM. Puede encontrarse información adicional en el posicionamiento de CSA sobre este tema, disponible en https://downloads.cloudsecurityalliance.org/initiatives/collaborate/aicpa/csa_position_paper_on_aicpa_ Service_Organization_Control_Reports.pdf Nivel 3: La certificación basada en el seguimiento continuo Se encuentra actualmente en desarrollo y su concepto busca implementar un seguimiento en tiempo cuasi-real del cumplimiento de los requisitos de cliente, basado en la recogida continua de evidencias de auditoría. CERTIFICACION STAR (Nivel 2) La nube tiene unos riesgos de información únicos, en tanto que los usuarios finales están más preocupados por la seguridad de su información y si pueden confiar en los Proveedores de Servicios en la Nube (Cloud Service Providers, CSPs,) Por ello, es necesario un rigor adicional para asegurar que los riesgos están siendo gestionados y el alcance es determinado por un SLA. La Certificación STAR evalúa la eficiencia del sistema de gestión de una organización y asegura que el alcance, los procesos y los objetivos son Adecuados para su Propósito. El uso de niveles de madurez ayudará a la organización a priorizar áreas de mejora y conducirla a la excelencia empresarial, mejor que un modelo de aprobar o suspender. También permite una comparación efectiva con otras organizaciones del mismo sector. Este servicio mejorado de evaluación es un enfoque centrado en los beneficios empresariales estratégicos y operativos, así como en las relaciones eficaces de colaboración. Basado en el enfoque del ciclo PDCA (Plan, Do, Check, Act) y el conjunto de criterios específico incluidos en la CCM, este servicio permite al auditor puntuar numéricamente el desempeño de la compañía, la sostenibilidad a largo plazo y los riesgos, además de asegurar que los SLAs son determinados, permitiendo una gestión madura para cuantificar y medir la mejora año tras año. A través de la aplicación de principios de gestión y controles, tal y como se indica en la CCM, el auditor puede centrarse en proporcionar oportunidades reales para la mejora del desempeño que permitan a la organización concentrarse en desarrollar sistemas de gestión de negocio existentes e incorporar las mejores prácticas empresariales. La CCM está específicamente diseñada para proporcionar los principios fundamentales de seguridad, para orientar a los proveedores de servicios en la nube y para asistir a los clientes potenciales de estos servicios en la evaluación del riesgo global de seguridad de un Copyright 2012 Cloud Security Alliance, All rights reserved Page 6 of 8

proveedor de servicios en la nube. Como marco, la CCM proporciona a las organizaciones la estructura, el detalle y la transparencia requeridos en relación con la seguridad de la información de manera personalizada para la industria de servicios en la nube. La CCM refuerza los controles de seguridad de la información existentes, enfatizando en los requisitos de control de seguridad de la información del negocio, reduciendo e identificando amenazas y vulnerabilidades de seguridad consistentes en la nube. Proporciona una seguridad estandarizada y una gestión del riesgo operacional y busca normalizar las expectativas de seguridad, taxonomía y terminología y la implantación de medidas de seguridad en la nube. La CCM está pensada para poder ser integrada en la auditoría por el auditor, referenciando los controles aplicables de la CCM con los controles asociados de ISO 27001 y utilizando la matriz de referencia cruzada proporcionada. Los datos de salida deberán ser el resultado del desempeño global de la organización dentro del alcance de la certificación. Evaluadores Cualificados (Auditores) para la CERTIFICACION STAR Un comité de certificación definirá los requisitos y el proceso de certificación del auditor. El proceso de certificación del auditor será gestionado por British Standards Institution (BSI). Cronograma del Esquema de Certificación Abierto (OCF): El Nivel 1 está actualmente disponible a través de STAR El Esquema de Certificación Abierto está disponible desde el 1er trimestre de 2013 El esquema de Certificación de Auditores está disponible desde el 3er trimestre de 2013 La Certificación STAR para proveedores está disponible desde el 3er trimestre de 2013 El Nivel 3 de Seguimiento Continuo no estará disponible antes de 2015 Estructura de Gobierno El OCF estará bajo el control directo de CSA, que será apoyado por la Junta Directiva del OCF y la Junta Directiva del GRC Stack. El Comité de dirección del OCF y la Junta Directiva GRC Stack proporcionarán asesoramiento estratégico a CSA en el desarrollo e implementación del OCF. La Junta Directiva del GRC Stack proporcionará asesoramiento y sugerirá la dirección técnica para: Mejorar el marco conceptual del GRC Stack Mejorar los componentes existentes del GRC Stack Implementación del marco del GRC Stack (desde el uso de la CCM hasta una solución de seguimiento continuo completa) Los miembros de la Junta Directiva del GRC Stack también actuarán como embajadores del GRC Stack en la comunidad. La Junta Directiva el Esquema de Certificación Abierto (OCF SC) proporcionará asesoramiento y dirección estratégica en: Mejorar el marco conceptual del OCF. Copyright 2012 Cloud Security Alliance, All rights reserved Page 7 of 8

(Definir y mejorar el Nivel 2 del esquema de certificación) (Definir y mejorar el Nivel 3 del esquema de certificación) Definición de los requisitos de transparencia (requisito de divulgación mínima en el alcance de certificación y los resultados de auditoría) Gestión de los requisitos de cumplimiento legal y regulatorio (definición, en cooperación con GRC SC del cumplimiento legal y normativo nacional y con las capas de control específicas del sector). Mejorar STAR Mejorar los componentes existentes del GRC Stack Implantación del OCF Los miembros de la Junta Directiva del Esquema de Certificación Abierta (OCF SC) también actuarán como embajadores del OCF en la comunidad. El Grupo de Trabajo del OCF, compuesto por el Subgrupo de Trabajo Proveedor de Certificación y el Subgrupo de Auditores de Certificación, definirán el Nivel del Esquema de Certificación STAR y el esquema de certificación del auditor (ver Capitulo del Grupo de Trabajo del OCF). Copyright 2012 Cloud Security Alliance, All rights reserved Page 8 of 8

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback