Cloud Security Alliance España (CSA-ES) es una iniciativa impulsada por la Asociación Española para el Fomento de la Seguridad de la Información, y ha publicado una guía, Cloud Controls Matrix, que recoge los controles de referencia más importantes en seguridad cloud. Este vademécum proporcionará a los proveedores y clientes la referencia española más completa para la evaluación de riesgos de seguridad en el ámbito del cloud computing.
Esta guía toma como base los principios publicados por Cloud Security Alliance Global en el Cloud Controls Matrix (CCM), y los requisitos de la normativa española más importantes en la materia como son el Reglamento de la Ley Orgánica de Protección de Datos (RLOPD), y el Esquema Nacional de Seguridad (ENS). Y tiene como objetivo impulsar la adopción de servicios en la nube en España, permitiendo tanto el cumplimiento normativo como la seguridad efectiva de los datos.
El documento contiene un total de 98 controles de referencia que cubren tanto aspectos de cumplimiento y gobierno, como de arquitectura y de tipo técnico, lo que permite reducir los riesgos, las amenazas y las vulnerabilidades en la nube. Explican sus autores que cualquier entidad que pretenda gestionar datos de carácter personal en un entorno cloud no sólo debería tener en cuenta los controles del RLOPD coincidentes con el CCM, sino que también debería evaluar el resto de controles de esta matriz. Ahora bien, dado el nivel de detalle, en torno al 40% de los controles de la matriz no pueden ser relacionados de forma directa con artículos del RLOPD.
“El CCM es una buena herramienta para que los responsables de fichero puedan aplicar un adecuado nivel de seguridad en el ‘cloud’, ayudándoles a cumplir el RLOPD, y que se ha de considerar una herramienta complementaria”, destacan Beatriz Blanco y Diego Bueno (KPMG), miembros del grupo de trabajo de Cloud Security Alliance España.
La versión española del Cloud Controls Matrix se puede descargar AQUI
