Preguntas sobre seguridad
Es un lugar común que oigo a menudo lo de “estos americanos son muy prácticos”. Y es verdad, no se puede negar. Por eso probablemente son tan conscientes de la necesidad de “empaquetar” la información y centrarse todo lo que puedan poniendo en marcha procesos que les ahorren tiempo a largo plazo.
En el entorno de cloud computing, uno de los problemas más habituales es el de la seguridad. Es una preocupación natural de gente que se imagina sus datos durmiendo en un disco duro situado en algún lugar irlandés u holandés desconocido (y por las caras que ponen parece que se imaginan más algo en Temple Bar o el Barrio Rojo que en otro sitio). En ese punto de la conversación, empiezan las preguntas y respuestas: qué hace Microsoft con los datos, que se puede hacer y qué no, si se cumple la LOPD o no se cumple, si es responsabilidad de uno o de otro. Déjenme que les diga que es impresionante el nivel de desconocimiento que hay sobre estas cosas tan importantes por ahí fuera.
Al grano, el caso es que la gente de la Cloud Security Alliance lo ha puesto todo junto. Alguien ha escrito una RFI genérica pero extremadamente detallada para los proveedores de cloud computing, y nos ha permitido a los proveedores contestarla con respuestas públicas. El cuerpo de texto que queda es una buena fuente de información y un excelente ejercicio de transparencia por parte de la industria.
Los documentos para Windows Azure y Office365 están aquí
Les copio el índice para que vean los temas que trata:
Page |
||
Introduction |
4 |
|
How Windows Azure is Delivered: The Services Stack |
5 |
|
ISO Certifications that Align with Windows Azure Controls |
6 - 8 |
|
Microsoft Response by Cloud Control Matrix ID: |
9 - 50 |
|
Compliance |
CO-01 through CO-06 |
9 - 11 |
Data Governance |
DG-01 through DG-08 |
12 - 15 |
Facility |
FS-01 through FS-08 |
16 - 18 |
Human Resources |
HR-01 through HR-03 |
19 |
Information Security |
IS-01 through IS-34 |
20 - 34 |
Legal |
LG-01 through LG-02 |
34 - 35 |
Operations |
OP-01 through OP-04 |
35 - 36 |
Risk Management |
RI-01 through RI-05 |
37 - 38 |
Release Management |
RM-01 through RM-05 |
39 - 40 |
Resiliency |
RS-01 through RS-08 |
41 - 43 |
Security Architecture |
SA-01 through SA-15 |
44 – 50 |