Comentario al WP2014 Software y Servicios. Nube.

DG Connect lanzó hace algunas semanas una Consulta Pública basada en web relativa a la definición de las prioridades de investigación futuras en Computación en la Nube, Software y Servicios, de cara al Programa de Trabajo TIC del H2020. Desde leet security, como creadores de un sistema de etiquetado de seguridad basado en la calificación, hemos enviado nuestro comentario que adjuntamos a continuación:

Además de los mecanismos técnicos que contribuyan a reducir el bloqueo y a mejorar la interoperabilidad, los servicios en la nube necesitan de una manera eficiente de negociar las condiciones de seguridad de los servicios entre los usuarios y los proveedores. Las formas tradicionales de auditar y certificar han demostrado ser necesarias pero no suficientes para construir relaciones de confianza (son caras, complicadas o no compatibles entre diferentes usuarios). Una opción podría ser un sistema de etiquetado de seguridad que ayude a los usuarios a entender las medidas de seguridad implantadas por los proveedores, y a los proveedores a mostrar qué medidas de seguridad están implantando. Ese sistema debería ser:
  • Claro
  • Simple (fácil de entender por personas no-técnicas)
  • Específico de cada servicio
  • Reutilizable
  • Objetivo / verificable
En resumen, debería servir como lenguaje común para usuarios y proveedores en la definición de las condiciones de seguridad a modo de sistema métrico, en lugar de tratar de definir cuántas "unidades de seguridad" son necesarias, dejando esto al acuerdo entre las partes (esto es perfectamente compatible con la definición de unos requerimientos mínimos [certificables] para la provisión de servicios en la nube). De hecho, este tipo de sistemas han sido propuestos por la reciente Estrategia de Ciberseguridad de la UE. Otras consideraciones para este tipo de sistemas podrían ser:
  • Considerar necesidades diferentes para las diferentes dimensiones de la seguridad  (confidencialidad - integridad - disponibilidad)
  • No limitarse solamente a sistemas preventivos; debería incluir las condiciones de resiliencia de los servicios.
  • Condiciones generales relacionadas con el proveedor de servicios (estrategia a largo plazo, calidad del personal, solvencia financiera, seguros...)
En opinión de LEET, la UE debería impulsar la definición y adopción de este tipo de sistemas de seguridad que ayuden a construir relaciones de confianza entre usuarios y proveedor y que podrían también ayudar a los Gobiernos a simplificar su rol en relación a la computación en la nube. El rol de este sistema de etiquetado de la seguridad en los entornos de computación en la nube servirían para resolver la asimetría de información sobre la seguridad que existe entre usuarios (que no tienen ninguna o muy poca información) y los proveedores (que tienen toda la información).

Puedes seguirnos en twitter.com/leet_security.com