Determinados sectores de la sociedad tienen más sencilla la migración de datos a la nube, pero otros aún carecen de la certeza de que los datos sensibles estén depositados en plataformas confiables. No olvidemos que el objetivo de «la nube» es compartir información (de casi todo tipo) con empresas y/u organizaciones, con el consiguiente ahorro de costes en infraestructura específica, para diversos fines. No parece extraño entonces imaginar que a veces se comparta más información de la necesaria de forma involuntaria o inconsciente con entidades que desconocemos.

Además, las amenazas de ciberseguridad han ido escalando posiciones en los últimos años hasta el punto de que son un tema incuestionable en los últimos foros de economía mundial de Davos (Suiza). No es de extrañar, por tanto, que todos los Estados hayan ido incluyendo al ciberespacio como quinto dominio de soberanía nacional (añadido al aire, mar, tierra y espacio), con los retos que ello representa.

Con este panorama actual y ante la progresiva e imparable carrera por la transformación/revolución digital 4.0, tiene sentido regular algunos aspectos relativos a la ciberseguridad de los productos, sistemas y servicios de la nube (ya no sólo en cuanto a la protección de información personal).

La ciberseguridad en la nube, una cuestión de Estados

Que la ciberseguridad es una cuestión de Estado es una realidad plasmada en cada país soberano desarrollado, como así demuestran las diversas regulaciones existentes que vaticinan el entendimiento entre las diferentes administraciones públicas y las organizaciones privadas. Dicho de otro modo, la colaboración público-privada se hace cada día más inevitable y necesaria para el progreso seguro de la sociedad hiperconectada.

En el caso concreto de España, el Departamento de Seguridad Nacional y, más concretamente, el Consejo Nacional de Ciberseguridad, es el órgano responsable de establecer la Estrategia de Ciberseguridad Nacional. El objetivo de la Estrategia de Ciberseguridad Nacional es es garantizar el uso seguro y fiable del ciberespacio, protegiendo los derechos y las libertades de los ciudadanos y promoviendo el progreso socioeconómico.

Asimismo, la Estrategia Nacional de Ciberseguridad se sustenta y se inspira en los siguientes principios rectores de la Seguridad Nacional: unidad de acción, anticipación, eficiencia y resiliencia.

El caso europeo: ENISA al frente

La Estrategia de Ciberseguridad de la Unión Europea (2013) y la Agenda Europea de Seguridad (2015) proporcionan el marco estratégico general para las iniciativas de la UE sobre ciberseguridad.

Como es lógico, todos los países de la UE, además de poseer sus propias estrategias nacionales de ciberseguridad, más o menos maduras, están bajo el paraguas conjunto de dicha Estrategia de Ciberseguridad de la Unión Europea.

Al amparo de esta estrategia de ciberseguridad y bajo la directiva NIS y su trasposición a los países miembros, el Consejo de la Unión Europea creó un acuerdo por el que se establece un esquema común de certificación de los productos, servicios y sistemas conectados a internet, la nube por excelencia y en origen. Este acuerdo se materializará en el desarrollo de un reglamento común de ciberseguridad por el que además se establece que la Agencia Europea de Seguridad de las Redes (ENISA) se convierte en agencia de ciberseguridad permanente de la UE. ENISA tiene actualmente su Headquarter en Heraklion, Grecia.

Gestión de los esquemas de certificación

Los esquemas comunes de certificación serán válidos en todos los Estados miembros de la UE y permitirán que el usuario final pueda confiar en las tecnologías conectadas a internet, así como en sus servicios. Por otro lado, también facilitarán a las empresas y organizaciones que sus actividades y productos estén avalados en el ámbito de internet. Los esquemas de certificación se están elaborando en base a lo existente en el ámbito internacional, europeo y nacional.

Como exponente de la colaboración público-privada mencionada anteriormente, ENISA estableció un grupo de expertos denominado Cloud Select Industry Group (C-SIG) con diferentes grupos de trabajo, incluido el grupo de trabajo de certificaciones (CERT-SIG).

ENISA publica desde su página web los denominados esquemas de certificación en la nube (CCSL) que se actualizada periódicamente, conforme se produzcan cambios relevantes en la misma.

ENISA CCSL, marzo de 2020:

• Certified Cloud Service – TÜV Rheinland
• CSA Attestation – OCF Level 2
• CSA Certification – OCF Level 2
• CSA Self Assessment – OCF Level 1
• EuroCloud Self Assessment
• EuroCloud Star Audit Certification
• ISO/IEC 27001 Certification
• Payment Card Industry Data Security Standard v3
• Leet Security Rating Guide
• Service Organization Control (SOC) 1
• Service Organization Control (SOC) 2
• Service Organization Control (SOC) 3
• Cloud Industry Forum Code of Practice

Dichos esquemas de certificación se analizan de una forma resumida, permitiendo así la elección más apropiada para cubrir los objetivos de ciberseguridad a alcanzar en cada caso. Para ello, ENISA los analiza atendiendo a cinco bloques comunes:

1. Información general
2. Mejores prácticas y/o estándares de seguridad subyacentes al esquema
3. Evaluaciones y certificaciones de cumplimiento
4. Grado de adopción actual y uso
5. Objetivos de seguridad

De la misma manera, ENISA ha creado un meta-framework de medidas de seguridad para proveedores cloud que permite alinear los esquemas actuales de certificación y los requerimientos de seguridad de los clientes. Para facilitar esta labor se ha creado, incluso, una herramienta online que permite, en pocos pasos, establecer frente a los objetivos de seguridad deseados, qué esquemas de certificación son los más apropiados.

La confianza, un objetivo de todos

Como vemos, generar confianza desde la perspectiva de ciberseguridad en la nube no es una labor simple. Involucra diversos actores: no sólo proveedores de tecnología, sino suministradores de servicios, usuarios, administraciones públicas, etc. Por ello, en el caso europeo, la labor de ENISA en este sentido aún tiene un largo recorrido que, desde luego, permitirá establecer las bases firmes de una certera confiabilidad en los servicios en la nube desde la perspectiva de la ciberseguridad.

Parece evidente que finalmente la información, casi de cualquier índole y uso, estará en la nube (y sus diversos tipos/modelos), por lo que generar confianza en dichos servicios es una labor primordial para todos los actores del proceso en sí. La ciberseguridad y el diseñar un modelo de certificación común de referencia en esta materia será a buen seguro un habilitador y generador de confianza para todos.