La certificación EuroCloud Star Audit-ECSA de servicios de computación en la nube

Por María del Valle Palma Villalón, Miembro del ISO/IEC JTC 1/SC 38 Cloud Computing and Distributed Platforms y del Subcomité (SC)1 “Gestión de Documentos y aplicaciones” del Comité 50 de Documentación (AENOR)/Fesabid.

El pasado 11 de junio EuroCloud Spain organizó un taller de trabajo ECSA, impartido por Tobias Höllwarth director de EuroCloud Star Audit-ECSA de Europa y dirigido a los profesionales de servicios Cloud, en el que se explicó qué es Eurocloud Europa y la certificación cloud ECSA – EuroCloud Star Audit. EuroCloud Europe (ECE) es una organización independiente, sin ánimo de lucro, que tiene como objetivo facilitar la aceptación de servicios en la nube en el mercado internacional, así como apoyar la prestación orientada al consumidor de los servicios según lo demanden sus necesidades, para ello mantiene un diálogo constante con los socios de la red de EuroCloud y diversas organizaciones gubernamentales. ECE está constituida por una red de organizaciones nacionales. El programa no está financiado por ningún patrocinador de la industria, ni recibe apoyo financiero de otras organizaciones o entes gubernamentales, lo cual exige una estricta separación de responsabilidades entre actividades comerciales tales como, ECSA-formación, ECSA-consultoría y ECSA-auditoría, y las tareas no-comerciales de desarrollo. En concreto, EuroCloud Europa es responsable de las actividades no comerciales: mantener y desarrollar el catálogo ECSA y los procedimientos pertinentes para realizar auditorías y desarrollar el sistema eco.

¿Qué es un esquema de certificación cloud? Antes de comprar un servicio en la nube, los clientes desean saber si el servicio es seguro y confiable. Los servicios de computación en la nube son complejos y se construyen a partir de muchos componentes tecnológicos diferentes (cables, centros de datos grandes, software, etc.), así que es difícil para los clientes individuales comprobar por sí mismos todos los detalles técnicos. Por otro lado, los proveedores cloud tienen muchos clientes; si todos estos clientes desearan revisar sus requisitos de seguridad por separado se multiplicaría extraordinariamente el trabajo. La idea es que si un servicio de computación en la nube es conforme a un esquema de certificación, esta certificación sirva para atestiguar que cumple con un conjunto básico de requisitos de seguridad. De esta forma todos ganan, tanto los clientes como los proveedores, estos últimos sólo realizan una única vez la auditoría que sirve para todos los clientes. Por lo tanto, la certificación puede simplificar la contratación de servicios en la nube por los clientes, aunque es necesario advertir que no reemplaza el que los clientes deban realizar controles cuando contraten sus servicios. En el listado que ofrece ENISA de los diferentes esquemas de certificación incluyen la certificación ECSA, Cloud Computing Certification – CCSL and CCSM.

La complejidad de los requisitos de servicios de computación en la nube que se evalúan:

• Disponibilidad – el proveedor cumple con los compromisos de desempeño, asegura la disponibilidad de los datos y opera con medidas que previenen la pérdida de datos.
• Contractual – el proveedor ofrece acuerdos contractuales que cumplen con las prácticas comunes de negocios y los términos contractuales no restringen los derechos de propiedad de los datos de los clientes almacenados en los servicios cloud.
• Soporte al cliente – el proveedor asegura la accesibilidad y responsabilidad del soporte al cliente y practica una política de información proactiva hacia los clientes.
• Estabilidad financiera – el proveedor asegura una viabilidad financiera de término medio.
• Flexibilidad – el cliente puede independientemente ajustar las capacidades obtenidas y los ajustes se llevan a cabo automáticamente dentro de un período de tiempo corto y con costes transparentes.
• Interoperabilidad – los clientes pueden salvar y exportar los datos en formatos normalizados, el servicio cloud ofrece interfaces abiertas para la integración con otros servicios cloud o aplicaciones, y los clientes pueden acceder al servicio independientemente de su ubicación vía varios servicios.
• Cumplimento legal – el proveedor cumple con las leyes y regulaciones que se requieren para los servicios cloud.
• Privacidad – el proveedor cumple con la legislación aplicable de protección de los datos, se abstiene de analizar los contenidos relacionados del cliente almacenados en el servicio cloud; elimina completamente y sin posibilidad de recuperación todos los datos del cliente después de la terminación de su contrato; y no vende, alquila o proporciona los datos de los clientes a terceras partes.
• Madurez del proceso – la madurez de los procesos de negocio del proveedor se alinea con las mejores prácticas en el sector de servicio TIC.
• Seguridad – el proveedor establece medidas para asegurar que los datos se almacenan de una forma segura y se transmiten y protegen contra acceso no autorizado por terceras partes y otros usuarios de servicios cloud.

El esquema de certificación EuroCloud Star Audi (ECSA) pretende establecer la confianza en los servicios en la nube tanto al cliente como al usuario. Se recomienda la auditoría europea, EuroCloud Star Audit, a cualquier empresa que opere en infraestructura (IaaS), plataforma (PaaS) o Software (SaaS) de servicio en la nube. Este esquema de certificación facilita la comparación de las diferentes ofertas de servicios en la nube proporcionando una calificación de su calidad.

Se dirige especialmente a las pymes (el 99,8 % de las empresas europeas), debido a que los beneficios de los servicios en la nube son innumerables, entre ellos el ahorro de los costes (se paga por lo que se usa), la mejora de la calidad y seguridad de sus servicios al cliente, el aumento de la productividad, etc. Como las pymes tienen menos experiencia en la externalización, la negociación del SLA y las cláusulas contractuales o la protección de datos sensibles, el que los proveedores de servicios en la nube estén certificados les asegura que cumplen con al menos los requisitos básicos y les evita realizar auditorías individuales que son muy costosas.

ECSA tiene una estructura modular ofreciendo tres niveles de madurez. Los niveles de certificación de ECSA que se indican mediante estrellas:

• 5 estrellas – Trusted Cloud Service – difícilmente alcanzable. Biz Cont Planning & Practice, Advanced DC Redundancy (2 DCs), High Availability >99.9%, Penetration Testing, Flexible Svc Provisioning & Pricing Model.
• 4 estrellas – Trusted Cloud Service Advanced – Security Management ISO 27001, Data Management ISO 27001, Svc Backup, Svc Quality Management, Access control & Encryption Mechanism.
• 3 estrellas – Trusted Cloud Service – el más común. Data Security & Privacy, Legal Compliance, Customer support, service & training, Service Provisioning Assurance & auditing.
• 2 estrellas – práctica en sólo algunos aspectos. Customer Data Protection, Service Backup Basic Option, Quantitative Auditing & Verification, Service Analysis Report on Order Fulfillment
• 1 estrella – Instalaciones y contrato. Facility Basic Security Operation, Contract, Terminacion & Data Accessibility/Return.

Ofrecen en su sede web servicios y herramientas online para auditores, consultores, formadores o profesionales interesados, el registro es libre y no se exige ningún requisito, para facilitar realizar los trabajos de auditorías, tareas para la auto-evaluación, control de conformidad, comparación de vendedores, control mediante listas de verificación, etc. En la parte que denominan Academy incluyen un test online y un área de formación. Algunos de estos servicios son gratuitos y otros son de pago.