Sello de ciberseguridad
El sello de ciberseguridad es un distintivo que pone de manifiesto la conformidad del servicio, sistema o proceso específico al que se aplica (no siendo de aplicación a la entidad que lo presta), respecto a una normativa o referencial de elementos de control que recogen las medidas de seguridad requeridas por el esquema correspondiente, a fin de ofrecer un determinado nivel de protección a la información procesada o almacenada por medio de sistemas informáticos.
Necesidad y utilidad[editar]
A semejanza de otros distintivos de calidad, el sello de ciberseguridad cumple la función de proporcionar a los usuarios de los servicios información sobre el cumplimiento o conformidad con los requisitos de seguridad informática que se establecen en el esquema sobre el cual el sello de ciberseguridad está basado. De esta forma se genera confianza de los usuarios, sin que estos deban recurrir a un proceso de evaluación del cumplimiento de tales requisitos.
Pueden también asimilarse a las marcas de garantía, utilizadas por empresas que quieren diferenciar sus productos con una certificación en base al cumplimiento de los requisitos comunes, respecto a la calidad, origen, condiciones, etc., establecidos y controlados por el organismo titular de la marca.
El constante incremento de delitos informáticos y fugas de información está provocando un enorme crecimiento en todos los aspectos relacionados con la ciberseguridad. La continua afluencia de noticias en este sentido hace que la concienciación y preocupación de las empresas y usuarios de los servicios incluyan, cada vez con más importancia, los requisitos de seguridad como uno de los elementos más relevantes a la hora de contratar y utilizar los servicios que necesitan.
El sello de ciberseguridad viene a proporcionar cobertura a la creciente demanda de este tipo de requisitos. Los proveedores de servicios tienen numerosos clientes. Si cada cliente requiere la realización de algún tipo de auditoría de comprobación, se formarían largas colas a la entrada de, por ejemplo, los centros de procesamiento de datos. La idea de un sello de ciberseguridad, con un esquema de evaluación asociado, permite chequear el cumplimiento de las medidas de seguridad correspondientes, de una única vez, para todos los clientes, sin que estos precisen disponer de conocimientos ni recursos expertos para realizar la evaluación.
Su utilidad resulta más evidente en los servicios de computación en la nube (o Cloud computing), puesto que en estos, los usuarios acceden ‘a los servicios disponibles "en la nube de Internet" sin conocimientos (o, al menos sin ser expertos) en la gestión de los recursos que usan’, lo que es particularmente aplicable a todo lo referente a la seguridad con que dichos servicios son prestados. Así, un sello que evidencie el nivel de las medidas de seguridad con que el proveedor gestiona sus servicios en la nube, propicia su conocimiento a los usuarios del mismo de forma muy sencilla.
Modalidades[editar]
Aunque todos ellos atienden a una misma finalidad de generar confianza en los usuarios de los servicios respecto a la seguridad con que estos son prestados, las diferente modalidades en que estos distintivos pueden ser gestionados les proporcionan diferentes grados de utilidad en este cometido.
Auto-evaluación[editar]
La consecución del distintivo correspondiente se basa en la declaración por parte de la propia empresa que lo utiliza, de que los servicios prestados lo son de acuerdo a unas normas, un código de conducta o una serie de elementos de control, cuyo cumplimiento no es contrastado por ningún tercero independiente, por lo que se trata únicamente de un compromiso del proveedor del servicio con los clientes del mismo. Verificación remota
Estos sellos se encuentran normalmente en sitios web que ofrecen algún tipo de transacciones electrónicas, e indican que el sitio en cuestión cuenta con ciertas medidas de protección, así como que con una periodicidad determinada es sometido de forma automática y remota a pruebas para determinar que las protecciones siguen activas y que el sitio no ha sufrido ataques que lo hagan vulnerable.
Verificación remota[editar]
Estos sellos se encuentran normalmente en sitios web que ofrecen algún tipo de transacciones electrónicas, e indican que el sitio en cuestión cuenta con ciertas medidas de protección, así como que con una periodicidad determinada es sometido de forma automática y remota a pruebas para determinar que las protecciones siguen activas y que el sitio no ha sufrido ataques que lo hagan vulnerable.
Certificación[editar]
Las entidades de certificación evalúan la conformidad y certifican el cumplimiento de una norma de referencia, ya sea del producto, del servicio o del sistema de gestión de una organización. Este proceso requiere la realización de una auditoría para verificar el cumplimiento, con o sin observaciones, de las normas de referencia.
El sello o distintivo correspondiente únicamente proporciona información de que el producto, servicio o sistema de gestión evaluado, cumple los mínimos exigibles para la consecución del certificado, no permitiendo ningún tipo de comparación entre dos sellos aplicados a servicios diferentes.
Calificación[editar]
Los sellos de calificación de ciberseguridad, no sólo muestran el cumplimiento de una serie de normas o controles, sino que ponen de manifiesto el mayor o menor nivel de las medidas de seguridad que son evaluadas, de forma que permiten una comparación entre los diferentes sellos para que los clientes y usuarios puedan contratar en nivel de seguridad adecuado a sus propios requerimientos.
Su utilidad es similar a la calificación de los establecimientos hoteleros, en los que el mínimo necesario es disponer de la H, y la calificación muestra al cliente las estrellas que ostenta.
Entorno internacional[editar]
Son varios los esquemas internacionales que promueven algún tipo de distintivo o sello de ciberseguridad, sobre la base de alguna de las diferentes modalidades mencionadas anteriormente.
Por la particular aplicación a los servicios de computación en la nube, la Agencia Europea para la Seguridad de las Redes y la Información – ENISA,[1] ha establecido un programa para consolidar la información sobre los diferentes esquemas desarrollados acorde con la European Cloud Strategy[2] para que los clientes sepan que un servicio es seguro y fiable y así facilitar la contratación y desarrollo del mercado y la economía, bajo la denominación de Cloud Certification Schemes List – CCSL.[3]
Los esquemas recogidos en el mismo, con sus correspondientes sellos de ciberseguridad, son los siguientes:
- Certified Cloud Service - TÜV Rheinland[4]
- Open Certification – Cloud Security Alliance[5]
- Self Assessment y Star Audit – EuroCloud[6]
- ISO/IEC 27001 Certification[7]
- Payment Card Industry Data Security Standard[8]
- Security Rating – LEET Security[9]
- Service Organization Control – AIACPA[10]
- Cloud Industry Forum Core of Practice[11]
Referencias[editar]
- ↑ https://resilience.enisa.europa.eu/
- ↑ http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0529:FIN:ES:PDF
- ↑ «Copia archivada». Archivado desde el original el 9 de septiembre de 2016. Consultado el 31 de agosto de 2016.
- ↑ «Copia archivada». Archivado desde el original el 14 de octubre de 2016. Consultado el 31 de agosto de 2016.
- ↑ «Copia archivada». Archivado desde el original el 6 de abril de 2016. Consultado el 31 de agosto de 2016.
- ↑ https://staraudit.org/
- ↑ http://www.iso.org/iso/home/standards/certification.htm
- ↑ https://www.pcisecuritystandards.org/
- ↑ http://www.leetsecurity.com/
- ↑ http://www.aicpa.org/InterestAreas/FRC/AssuranceAdvisoryServices/Pages/ServiceOrganization%27sManagement.aspx
- ↑ https://www.cloudindustryforum.org/content/code-practice-cloud-service-providers
| Control de autoridades |
|
|---|
Datos: Q28501605