La CSA actualizó su Cloud Control Matrix (CCM), diseñada para ayudar a las organizaciones a revisar las credenciales de seguridad de los proveedores de servicios de nube.
CCM proporciona recomendaciones de mejores prácticas para la seguridad de la nube. Cubre una amplia variedad de áreas, desde el centro de datos, el hardware y la seguridad de aplicaciones, hasta la continuidad de negocio y la evaluación de vulnerabilidades. La tercera versión de CCM incluye guías para cinco nuevas categorías: seguridad móvil; administración de la cadena de suministro; transparencia y responsabilidad; interoperabilidad y portabilidad; y encriptación y administración de claves.
La movilidad era un área natural en la cual centrar las nuevas prácticas de seguridad, dado que se está convirtiendo en un caso de uso muy común para la nube, según Sean Cordero, co-presidente del CCM Working Group que ayudó a crear estas nuevas guías. Las mejores prácticas de movilidad cubren no solo cómo se accede a los servicios basados en la nube desde dispositivos móviles, sino también cómo el software como las herramientas de administración de dispositivos móviles se ofrecen en un modelo SaaS.
Una recomendación, por ejemplo, es tener una política de uso móvil bien definida y garantizar que todo el mundo dentro de la organización está familiarizada con ella. Si bien puede parecer bastante obvio, muchos clientes carecen de políticas básicas para controlar a qué servicios pueden acceder sus usuarios desde sus dispositivos móviles, según Cordero. “Esto se ha extendido debido al crecimiento orgánico de BYOD (bring your own device)”, explica este ejecutivo, también presidente de la consultora en seguridad Cloud Watchmen, añadiendo que cuando “un directivo quiere usar un iPad, de repente surgen múltiples cuestiones”. Una política puede dictaminar cómo se protegen los dispositivos, qué información almacena y a qué datos del dispositivo tiene acceso la empresa. “Ser claro en las normas del juego”, puntualiza Cordero.
Otra nueva categoría es la administración de la cadena de suministro, la transparencia y la responsabilidad. La CSA recomienda que los clientes tengan una visión clara de cómo el proveedor maneja exactamente los datos. En algunos casos, el proveedor puede estar trabajando con terceros, lo que puede representar un riesgo de seguridad, de acuerdo con el portavoz de la alianza. Por ejemplo, en los despliegues de escritorios virtuales, los clientes pueden contratar a un proveedor y éste, para el back-end, puede estar utilizando la plataforma de almacenamiento de un tercero. Los clientes deberían saber en qué consiste toda la cadena de suministro de sus datos para asegurarse de que está convenientemente protegida en todo el proceso.
Otro escenario cada vez más común es el del mercado de plataformas como servicio (PaaS), añade Cordero. Con frecuencia, PaaS, que es una plataforma de desarrollo de aplicaciones, se ejecuta en una infraestructura subyacente como un servicio (IaaS). Los clientes deberían ser conscientes de los acuerdos de nivel de servicio o SLA y los controles de seguridad no solo de su proveedor PaaS, sino también del proveedor de IaaS.
Seguir las mejores prácticas en seguridad definidas en el CCM es una forma de que los clientes se protejan a sí mismos. El reciente caso con el proveedor de almacenamiento en la nube Nirvanix, que apenas informó a sus clientes de que movía los datos de su cloud porque cerraba, ha reforzado la importancia de tener una plan de emergencia de datos y continuidad de negocio.
La CSA – que es una organización sin fines de lucro centrada en el la seguridad de la nube – actualiza regularmente el CCM para garantizar que incorpora los últimos estándares de seguridad aceptados por la industria, como ISO 27001/2. Miembros como Cordero trabajan con los usuarios, asesores y proveedores de servicios cloud para identificar las últimas tendencias en la industria y garantizar que quedan reflejadas en el CCM. Los clientes pueden comprobar la lista completa de especificaciones del CCM descargando aquí una versión PDF.
– Brandon Butler, NetworkWorld
