Hace unos meses hablábamos de la tecnología en la sombra. Un concepto que hace referencia a esos recursos tecnológicos que son utilizados en las empresas a espaldas del departamento tecnológico. Normalmente este tipo de servicios corresponden a servicios en la nube.

Según un estudio publicado en GigaOM, la nube privada está perdiendo terreno a favor de la nube pública, es decir, Amazon, Google y Microsoft, que siguen añadiendo nuevas funcionalidades y funciones que pueden ser muy útiles a nivel empresarial.

El analista de Gartner Thomas Bittman comentaba en su blog que el 95% de los departamentos tecnológicas tenían fallos y vacíos en sus nubes privadas. En 140 empresas que Bittman analizó, la razón más común relacionada con el desencanto de la nube privada y a favor de la nube pública era la reducción de costes. En los análisis de Bittman se dejaban de lado la agilidad en el ajuste de capacidades según el escenario requerido. La siguiente queja más citada por los encuestados fue que su nube privada «no era suficiente».

El pasado agosto GigaOM publicó su propio análisis entre las opciones de la nube privada y la nube privada. En esta ocasión también la nube pública superaba a la nube privada.

Es cierto que desarrollar e implementar una completa nube privada, segura y adaptada a las necesidades de la empresa en cada momento, es una tarea complicada que necesita de un gran trabajo y planificación. Por eso cada vez tienen más éxito las ofertas de nube híbrida que combina las ventajas de la dos aportando más flexibilidad a los trabajadores.

ENISA  avanza en la adopción de Cloud en Europa

A la hora de elegir un servicio en la nube, independientemente de qué empresa se trate y qué tarea lleve a cabo, la seguridad es un detalle primordial. El ataque a iCloud puso de relieve que en algunos servicios existe una aparente falta de seguridad que puede ser violada en cualquier momento.

Por otro lado, este tipo de servicio se están multiplicando con gran rapidez. Ya no hay solo proveedores de tecnología Cloud, también existen reevendores. Para controlar todos estos nuevos jugadores en el mercado de la tecnología y los documentos de sus clientes, ENISA, la agencia europea de seguridad de redes e información, ha lanzado el “Metamarco de Programas de Certificación para Nube” (CCSM, por sus siglas en inglés).

El CCSM es un metamarco que adapta los escrupulosos requisitos de seguridad que se utilizan en el sector público a los objetivos de seguridad de los programas de certificación para nube existentes. El objetivo del CCSM es proporcionar una mayor transparencia por lo que respecta a los programas de certificación y ayudar a los usuarios a la hora de contratar servicios de computación en nube.

La primera versión del CCSM, limitada a los requisitos de seguridad de la red y la información, está basada en 29 documentos con requisitos de SRI procedentes de 11 países (Reino Unido, Italia, Países Bajos, España, Suecia, Alemania, Finlandia, Austria, Eslovaquia, Grecia y Dinamarca), y cubre 27 objetivos de seguridad, adaptándolos a cinco programas de certificación para nube.

ENISA lleva trabajando desde el año pasado con el grupo selecto del sector de la nube sobre programas de certificación y con la Comisión Europea, con quien ha elaborado dos herramientas para ayudar a los usuarios con la seguridad de la nube. Este trabajo forma parte de la Estrategia de Nube de la UE.

La primera herramienta, la CCSL, es una lista de los programas de certificación de seguridad de la información existentes cuyo lanzamiento tuvo lugar el año pasado y que está disponible en línea. La segunda herramienta, CCSM, es una extensión de la CCSL.

CCSM ya está siendo utilizado y la Comisión Europea ha anunciado la convocatoria de una licitación para la contratación de servicios en nube a gran escala (2500 MV de nube y 2.500 TB de
almacenamiento en nube), utilizando los 27 objetivos de seguridad del CCSM.

El director ejecutivo de ENISA, Udo Helmbrecht, comentó: La seguridad en la nube es una cuestión importante para los usuarios tanto del sector público como del privado de la UE. Obviamente, la certificación no soluciona todos los problemas de seguridad, pero sí que puede simplificar algunas de las fases de la contratación. Esta herramienta ayuda a los usuarios a utilizar los programas de certificación existentes, además de ofrecer a los proveedores de servicios en nube un formato para explicar las medidas de seguridad que adoptan para proteger sus servicios.

Esta versión del CCSM se ha implementado en forma de una herramienta en línea, la cual recupera diferentes programas de certificación en una única lista de objetivos de seguridad. Esta herramienta permite a los usuarios escoger los objetivos de seguridad más relevantes para ellos, y podrán:

1. Generar una adaptación matriz para diferentes programas de certificación para nube

2. Generar listas de verificación o cuestionarios de contratación en formato impreso o como hojas de cálculo.

Los próximos pasos del CCSM serán la inclusión de los requisitos de SRI de otros países y la ampliación del alcance del CCSM, a fin de que también incorpore requisitos de SRI específicos a la protección de datos personales.

Imagen apertura: Shutterstock