CSA España adapta Cloud Controls Matrix a la realidad española

Cloud Security Alliance España (CSA-ES) ha incorporado las especificaciones de la normativa española en materia de seguridad a estos controles, con el objetivo de impulsar la adopción de servicios en la nube en nuestro país.

Cloud Security Alliance España (CSA-ES), iniciativa impulsada por ISMS Forum Spain, ha publicado una guía que recoge los controles de referencia más importantes en seguridad cloud, tomando como base los principios publicados por Cloud Security Alliance Global en el Cloud Controls Matrix (CCM) y los requisitos de la normativa española más importantes en la materia (Reglamento de la Ley Orgánica de Protección de Datos -RLOPD- y el Esquema Nacional de Seguridad -ENS-).

Como resultado, proveedores y clientes disponen en la guía de la referencia nacional más completa para la evaluación de riesgos de seguridad en el ámbito cloud. El objetivo principal de la versión española de estos controles es impulsar la adopción de servicios de Cloud en España, permitiendo tanto el cumplimiento normativo como la seguridad efectiva de los datos.

 

El documento contiene un total de 98 controles de referencia que cubren tanto aspectos de cumplimiento y gobierno, como de arquitectura y de tipo técnico, lo que permite reducir los riesgos, las amenazas y las vulnerabilidades en la nube. Para ello, el grupo de trabajo ha establecido la correspondencia entre el RLOPD, el ENS y el Cloud Control Matrix, para garantizar la seguridad de los datos más allá del mero cumplimiento normativo.

 

Cualquier entidad que pretenda gestionar datos de carácter personal en un entorno Cloud no sólo debería tener en cuenta los controles del RLOPD coincidentes con el CCM, sino que también debería evaluar el resto de controles de esta matriz. Ahora bien, dado el nivel de detalle, en torno al 40% de los controles de la matriz no pueden ser relacionados de forma directa con artículos del RLOPD.

 

El CCM, cuya implantación recomienda el capítulo español de CSA, excede significativamente al RLOPD en el abanico de controles. No obstante, existen aspectos fundamentales del RLOPD que no contempla de forma explícita el CCM, por lo que la aplicación exclusiva de los controles del CCM aportaría un elevado grado de seguridad, aunque no garantiza el cumplimiento de la LOPD.

 

“El CCM es una buena herramienta para que los responsables de fichero puedan aplicar un adecuado nivel de seguridad en el ‘cloud’, ayudándoles a cumplir el RLOPD, y que se ha de considerar una herramienta complementaria”, destacan Beatriz Blanco y Diego Bueno (KPMG), miembros del grupo de trabajo de CSA-ES establecido para la ocasión.

 

En relación al ENS, la guía de controles incluye la distinción por niveles de seguridad en función de la criticidad de la información, tal y como se dispone en el Esquema (bajo, medio o alto), así como aquellos relacionados con la propiedad intelectual del software propietario, las restricciones de acceso al código fuente de las aplicaciones o programas, ciertos requisitos contractuales y reglamentarios en relación con el acceso de terceros o las medidas de seguridad concretas sobre el uso de redes inalámbricas.

“Utilizamos cookies propios y de terceros para mejorar nuestros servicios. Si continua navegando o permanece en nuestra web, consideramos que acepta su uso. Puede cambiar la configuración u obtener más información aquí"

Publicaciones

Apoyo Institucional