Microsoft y el CCN se unen para que las AAPP adopten cloud con total seguridad

  • Cloud

Microsoft y el Centro Criptológico Nacional han colaborado en el desarrollo de una serie de guías técnicas y scripts de automatización de las configuraciones de seguridad. El objetivo es ayudar a las personal de TI de las Administraciones Públicas, que desplieguen servicios cloud del proveedor, a cumplir los criterios del Esquema Nacional de Seguridad.

A las certificaciones que ya tienen los servicios en la nube de Microsoft que garantizan que cumplen al nivel más exigente del Esquema Nacional de Seguridad (ENS), se suman estas guías y automatismos para estos ocho servicios: Microsoft Azure, Microsoft Office 365, Microsoft Teams, Microsoft Cognitive Services, Microsoft Exchange Online, Microsoft SharePoint Online, Microsoft Kubernetes y Microsoft Azure SQL.

Éste ha sido un trabajo que empresa y organismo tildan de “encomiable”, y del que dicen que no hay precedentes en la Unión Europea y que solo es “equivalente a recientes trabajos similares del Gobierno de EEUU, Canadá o Reino Unido”.

La colaboración viene a subsanar un problema. La compartición de responsabilidades entre usuarios y proveedores inherentes al proceso de securización de un entorno en la nube, podría presentar cierta ‘asimetría’ desde el momento que las responsabilidades del proveedor de cloud se encuentran perfectamente establecidas, configuradas, certificadas y garantizadas, mientras que las responsabilidades cedidas a los usuarios pudieran no estar establecidas al mismo nivel de confianza.

Así, estos recursos están pensados para facilitar y guiar con garantías el cumplimiento de las responsabilidades de los administradores de los servicios cloud en este modelo de responsabilidad compartida. “Cada una de las recomendaciones de seguridad que establece la guía CCN-STIC 823 (guía de aplicación del ENS a los entornos cloud), ha sido tratada, documentada, automatizada y revisada en cada uno de los ocho servicios en la nube de Microsoft considerados”, explican las entidades.

Javier Candau, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional, ha explicado que “no solo es importante disponer de tecnologías certificadas, es clave disponer de configuraciones que permitan implementar seguridad siguiendo unos estándares reconocidos como es el ENS y, lo que es más importante, medir el grado de exposición asociado, ya que de esta manera se facilita a las entidades la contratación de los servicios en entornos cloud con unas garantías de seguridad verificadas. Estas guías con sus scripts asociados vienen a dar respuesta a esta necesidad clave”.

Las guías, cuyas dos primeras versiones ya se encuentran disponibles, estarán accesibles en los portales oficiales del CCN y su pública descarga permite su uso no solo por el sector público, sometido al cumplimiento del Esquema Nacional de Seguridad, sino que también pueden ser útiles para el sector privado que, sin estar sometido a las exigencias de cumplimiento del ENS, aprecian las recomendaciones de seguridad del Centro Criptológico Nacional.