La migración a la nube está en su máximo esplendor. No solo se está adoptando en todos los sectores, incluidos los más sensibles, sino que la proporción de datos y aplicaciones en la nube es cada vez mayor. Pero la nube sigue siendo un tema que provoca ansiedad. Para el 51 % de los CISO encuestados en la octava edición del barómetro anual del Club de Expertos de la Seguridad de la Información y Digital en Francia (CESIN, por sus siglas en francés), presentada hace unos días, el principal factor de riesgo inducido por la adopción de la nube tiene que ver con la falta de control sobre la cadena de subcontratación del proveedor de alojamiento.
La confidencialidad de los datos críticos: una cuestión de soberanía nacional
En este contexto, el seguimiento de toda la información sensible es de suma importancia.
Hay 4 niveles para clasificar los datos.
- Sin clasificar: Se aplica únicamente a la información que puede circular libremente fuera de un perímetro y no requiere una protección especial.
- Uso interno: Es el nivel por defecto que agrupa la información que puede circular libremente dentro de un perímetro determinado.
- Difusión restringido: No es un nivel de clasificación, sino una declaración de protección. Su objetivo es concienciar al usuario de la necesidad de ser discreto en su manejo.
- Secreto: Este nivel está reservado a la información cuya divulgación a personas no autorizadas podría perjudicar los intereses estratégicos de la organización, su seguridad o incluso su propia existencia.
Los límites de la difusión restringida
La instrucción interministerial francesa n° 901/SGDSN/ANSSI (II 901), de 28 de enero de 2015, define los objetivos y las medidas mínimas de seguridad relativas a la protección de la información sensible, en particular la que se encuentra en el nivel de distribución restringida (DR).
Para aplicar una DR, es necesario pasar por un proceso de aprobación ad hoc que implica un análisis de los riesgos residuales. Por lo tanto, afirmar que se utiliza material DR no es suficiente para afirmar que un servicio es «conforme a DR».
Además, un proveedor cuya infraestructura cuente con la certificación de DR no puede extenderla a sus clientes. Corresponde a la propia empresa, como autoridad de homologación, definir el proceso de homologación para el contexto en cuestión. La duración de esta homologación la determina la autoridad de homologación (de uno a un máximo de tres años, ya que el valor de confidencialidad de una información puede cambiar a lo largo de su ciclo de vida).
Para ayudar a las administraciones y organizaciones afectadas, la ANSSI ha publicado una guía que explica detalladamente cómo construir Sistemas de Información (SI) capaces de manejar información con sello « nivel de difusión restringido ».
Sin embargo, su implantación es compleja, por los 21 artículos y las 190 medidas.
Lo más importante es que la II 901 no aborda la cuestión de la protección de los datos de DR cuando se alojan en una nube, ya que esto estaba lejos de ser una solución generalizada en 2015.
Las ventajas de la cualificación SecNumCloud
Con el aumento de los ciberataques sofisticados, se ha hecho imprescindible proteger los contenidos alojados en la nube. Iniciado por una fase experimental en 2015 bajo el nombre de SecureCloud, el marco referencial SecNumCloud pretende promover la aparición de ofertas en la nube con un alto nivel de seguridad.
El cumplimiento de los requisitos del marco SecNumCloud tiene como objetivo alcanzar un nivel de seguridad que permita el almacenamiento y el procesamiento de datos para los que un incidente de seguridad tendría consecuencias limitadas para el comanditario.
Para cumplir con este marco referencial, las empresas de cloud computing deben implantar y reforzar una amplia gama de elementos de seguridad, ya sea física, organizativa o contractual. En enero de 2019, Oodrive se convirtió en el primer actor calificado por SecNumCloud para todas sus ofertas de nube privada. Se trata de un reconocimiento a un enfoque de calidad y seguridad que lleva muchos años aplicándose. Hasta la fecha, ningún otro servicio SaaS en la nube, aparte de Oodrive, ha sido aprobado formalmente para realizar esta tarea.
¿Son compatibles la certificación DR y la cualificación SecNumCloud?
Pongamos el caso de un gran grupo del sector energético que necesita proteger los datos DR y disponer de una infraestructura en la nube. Como ya se ha dicho, tendrá que gestionar su propia homologación de DR, que tendrá en cuenta el servicio prestado por un tercero, que deberá ofrecer una serie de garantías.
Para este gran grupo, el proceso es más sencillo y rápido si utiliza un proveedor de servicios certificado SecNumCloud. Esta certificación garantiza que no solo el servicio en modo SaaS está cualificado, sino que también lo están los procesos, el contexto y los contratos, así como sus acuerdos de servicio.
Con SecNumCloud, el cliente recibe un servicio cualificado que ha sido verificado de principio a fin. Todos los aspectos se abordan durante la auditoría. Este enfoque permite aligerar el análisis de riesgo de la DR.
Reforzar la seguridad de su SI
La cualificación SecNumCloud garantiza el tratamiento seguro de los datos de DR en la nube. Pero las empresas deben reforzar sus políticas de seguridad para tener en cuenta las cambiantes amenazas digitales.
Para garantizar una mayor armonización de las normas de gestión de riesgos
En Europa, se está elaborando el proyecto de reglamento europeo DORA (Digital Operational Resilience Act).
En cuanto a la gestión de los riesgos informáticos, el texto exigirá a las entidades que formalicen la cartografía de los activos informáticos y los riesgos asociados, así como una gobernanza adaptada a la gestión de los ciberriesgos.
