cloud computing, General, Opinión

Como confiar en el cloud computing

nubetiritaEn mi último post  y a raiz de los comentarios que relacionaban el crash de Magnolia con los servicios cloud, reclamaba información por parte de los proveedores de cloud computing de los procedimientos y recursos técnicos y humanos para generar confianza en los clientes de los servicios cloud.  Coincidiendo con el tema el pasado 6 de Febrero, Zoho lanzó un comunicado donde explican más o menos lo que reclamaba en el post,es decir, las políticas de seguridad e infraestructura con las que cuentan, diviendolas en 4 grupos : Seguridad Física, de Red, de Personas e Infraestructura.

Con esto me podía quedar contento, ¿no? ¿no quería información? Pues ea. Pero ¿como sabemos que están aplicando los procedimientos y disponiendo los medios necesarios para dar coberturas a dichos procedimientos?. En cualquier sitio de internet se pueden obtener unas «best practices» acerca de la seguridad en cualquiera de los niveles que  Zoho cubre y solo tienen que plantarla ahí y fuera, ¿no? Que conste  que no estoy diciendo que no lo hagan y estoy seguro que llevan a cabo todas esas prácticas  y más porque está en juego su negocio, solo digo que, y desdiciéndome de aquello que reclamaba en el anterior post,  no es suficiente con tener información de como llevan a cabo su seguridad de nuestros datos.

Resulta que leyendo el documento completo, tímidamente hablan de que algunas de las areas se auditan.  Claro, una auditoria . Lo peor de todo es que soy auditado cada año y no he sido capaz de exigir lo mismo para un servicio cloud, como si por el hecho de ser un servicio nuevo no es equivalente a  un servicio externalizado de los muchos que hay. Por darle una explicación supongo que será porque en mi epoca en consultoria no tenía buen concepto sobre las auditorias para el cumplimiento de la ISO 9001 y las que me realizan ahora no son estupendas pero es cierto que te pasan revista a practicamente todo y certifican si cumples con la norma o estandares.

Lo cierto es que Zoho dice que determinadas areas son auditadas pero no dice como , quien y sobre qué estandares son auditadas. Con las mismas me he dado un vuelta por otros grandes proveedores de cloud computing Google, Amazón y Salesforce  y  aunque es verdaderamente jodido encontrar este tipo de  información (La de Salesforce la tenía controlada y la han escondido algo más) finalmente he conseguido encontrarla.  Prácticamente todos dicen lo mismo pero Salesforce y Google  además son auditadas y están certificadas bajo el estandar SAS 70 Tipo II y Salesforce está certificado para el standard SysTrust y desde Mayo del 2008 de la ISO 27001. Amazón parece ser que está en ello pero no dispone de momento de la certificación SAS 70 al menos eso es lo que he encontrado.  Entonces repasando:

SAS 70 es un estandard internacional que provee una guía para que un auditor independiente emita una opinión de la descripción de controles de la organización a través del Reporte de Servicio del Auditor; este reporte puede ser de dos tipos: 

  • El reporte de tipo I detalla la descripción de controles de la organización en un punto específico de tiempo (por ej. 30 de junio de 2003).
  • El reporte de tipo II no sólo incluye de descripción de controles de la organización, sino que también incluye un testing detallado de los controles de la organización durante un período mínimo de seis meses (por ej. 1 de enero de 2003 a 30 de junio de 2003).

Una auditoria bajo los principios de SysTrust permite obtener un informe sobre la fiabilidad del sistema en base a la Disponibilidad, Seguridad, Integridad y Confidencialidad de la información. A diferencia de SAS 70 no da información sobre los controles y procedimientos internos del proveedor de servicios y no es un standard internacional.

Quizás por el hecho de que Systrust no es más que una serie de coherentes principios pero no es un standard internacional , empresas como Salesforce además se certifican en el standard ISO 27001 para la seguridad de la información y que está ligado a la ISO 27002 que recoge una guía de buenas practicas que describe los objetivos de control y controles recomendables en cuanto a seguridad de la información.

Menudo ladrillo eh?? Bueno pues no quiero aburrir más pero a mi me hacía falta aclararme con este tema y completar mi post anterior porque me sigue gustando la idea de que se informe sobre como y qué hacen para llevar a cabo la seguridad y disponibilidad de la información.

Entradas relacionadas: