Comparativa con la Iniciativa de Evaluación Consensuada de CSA

Algunas personas nos han preguntado por las similitudes del esquema de calificación con la Iniciativa de Evaluación Consensuada (CAI, en inglés) lanzada por la Cloud Security Alliance, así que hemos decidido escribir esta entrada para explicarlo detalladamente.

Lo primero que hay que decir es que la iniciativa forma parte del denominado GRC stack que incluye otra serie de "piezas" como la archifamosa Matriz de Controles de la Nube (CCM) o el proyecto de Auditoría de la Nube.

Una vez dicho esto, hay que explicar que la iniciativa ha consistido en el desarrollo de un cuestionario (que es utilizado como base para el STAR - Registro de Seguridad, Confianza y Garantía) que no explicaremos ahora porque será objeto de otra entrada posterior.

El cuestionario que deben cumplimentar los proveedores está dividido en 11 áreas que, a su vez se descomponen en 100 grupos de controles y 197 preguntas sobre controles concretos que están trazados con normativas como el CobiT, HIPAA, ISO27001  o FedRamp, entre otras.

Por su parte, los criterios para la calificación están divididos en 14 áreas que se subdividen a su vez en 73 sub-áreas. Como se puede comprobar en la guía de calificación, a pesar de contar con más áreas, los criterios están más agrupados. Esto se debe al hecho de que, en la CAI se hacen preguntas concretas por cada control, mientras que en la guía estos controles concretos se hallan en la clasificación en niveles que se hace para cada una de las sub-áreas. La agrupación es más o menos similar con áreas prácticamente similares: Seguridad del personal, seguridad de las instalaciones, cumplimiento, operaciones o resiliencia.

Otra diferencia de la calificación de seguridad es que los controles están clasificados de forma que permiten evaluar la confidencialidad, integridad y disponibilidad de los servicios (hay 48 grupos de controles comunes, 16 de confidencialidad, 8 de integridad y 15 de disponibilidad - efectivamente la suman es más de 73 porque algunos se repiten en las diferentes dimensiones).

Es decir que, los controles son prácticamente trazables, puesto que los orígenes son estándares generales y bien conocidos en el sector pero con una aproximación diferente:

  • En CAI, el proveedor debe contestar si cumple con los controles identificados y cómo los cumple.
  • En la calificación, no solo hay que contestar qué medidas tiene implementadas, sino que las respuestas están divididas entre los 5 niveles (de la D a la A).

En definitiva, la diferencia fundamental es que, si bien en ambos casos, el proveedor realiza un ejercicio de transparencia que contribuye a la generación de confianza, en el caso de la CAI el usuario debe evaluar si las respuestas del proveedor están acorde con sus necesidades, mientras que en la calificación se han agrupado las respuestas en niveles, de forma que es más fácil interpretar las respuestas del proveedor, gracias a los cinco niveles definidos para las tres dimensiones de la seguridad.