Cloud Control Matrix

junio 12, 2013

share

Archived

El auge de los servicios en la nube hace que muchas empresas promocionen dichos productos de diferentes maneras, haciendo foco especialmente en la funcionalidad y en ciertas medidas de seguridad que cada vendor pueda tener implementada. Sin embargo, un escenario cada vez más común es que el potencial consumidor de servicios en la nube, bombardeado por la publicidad de estos servicios, no tenga en claro qué criterios de seguridad son los recomendados al momento de contratarlo.

En este contexto, la Cloud Security Alliance desarrolló un proyecto denominado Cloud Control Matrix (CCM), que tiene dos objetivos primarios que pasamos a explicar.  Por un lado, se trata brindar a los proveedores de servicios de Cloud Computing una guía con los principales requerimientos de seguridad; por otro lado, se busca brindar a los consumidores de servicios de Cloud los lineamientos necesarios para que puedan evaluar en su conjunto los riesgos de seguridad de los proveedores.

Aquellos interesados en el CCM pueden descargar el documento desde el siguiente enlace: https://cloudsecurityalliance.org/research/ccm.

El Cloud Control Matrix establece un marco de trabajo basado en controles, los cuales están alineados con los 13 dominios principales propuestos por la Cloud Security Alliance. Estos dominios son:

  1. Marco de trabajo de la Arquitectura de Cloud Computing
  2. Gobierno y gestión de riesgos en empresas
  3. Aspectos legales y eDiscovery
  4. Cumplimiento normativo y de auditorías
  5. Gestión del Ciclo de vida de la Información
  6. Portabilidad e interoperabilidad
  7. Seguridad tradicional, continuidad del negocio y recuperación de desastres
  8. Operaciones del centro de datos
  9. Respuesta a incidentes, notificación y remediación
  10. Seguridad de las Aplicaciones
  11. Cifrado y gestión de claves
  12. Gestión de Accesos e identidades
  13. Virtualización

Todos los controles incluidos en CCM están detallados y bien explicados en el documento de manera tal de facilitar su comprensión. En la Figura 1 puede verse la Cloud Control Matrix, una planilla de cálculo donde cada una de las filas está asociada a un control de seguridad. Tal como se mencionaba, cada control posee una descripción detallada que permite contextualizar y comprender cada control.

Relación con otros estándares

Un punto importante que merece la pena remarcarse es que todos los principios y controles de seguridad contemplados en el Cloud Control Matrix, están basados y alineados con otros conocidos estándares de la industria, siendo los más destacados ISO/IEC 27001/27003, ISACA COBIT, PCI-DSS y NIST SP800-146. De hecho, en la planilla podrán encontrar como los controles planteados pueden mapearse con uno o varios de los controles de seguridad de estos estándares.

De esta forma nos aseguramos que el control de estos requerimientos de seguridad no son decisiones arbitrarias, sino que por el contrario son consistentes con estándares de las industrias que posiblemente cumplamos en otros ámbitos en las organizaciones.