Llegamos a ustedes gracias a:



Noticias

Microsoft desea certificación ISO de seguridad para sus servicios de nube

[23/10/2009] Microsoft Corp. desea que su suite alojada de productos de mensajería y colaboración sea certificada con el estándar de internacional de seguridad de la información ISO 27001, como parte de un esfuerzo para asegurar a los clientes la seguridad de sus servicios de cloud computing. Esto se produce en medio de grandes y continuas dudas acerca de la capacidad de los proveedores de nubes en general para asegurar apropiadamente sus servicios.

Google, que no ha mantenido en secreto sus ambiciones en el campo de la cloud computing, en la actualidad está trabajando para hacer que sus servicios sean certificados con los estándares de la Federal Information Security Management Act (FISMA) del gobierno, por los mismos motivos.
No queda claro cuánto valor van a darle los clientes de cada una de estas compañías a las certificaciones, particularmente porque éstas no fueron diseñadas específicamente para auditar los ambientes de cloud computing. A pesar de ello, la validación externa que ofrecen los estándares probablemente coloque a ambas compañías en mejor posición para vender al mercado gubernamental de Estados Unidos.
Hablando con Computerworld esta semana, Bill Billings, chief security officer de Microsoft Federal, señaló que la compañía en la actualidad se encuentra en el proceso de llevar a la Business Productivity Online Suite a través del proceso de certificación de ISO 271011. El servicio alojado incluye Exchange Online, SharePoint Online, Office Live Meeting y Office Communications Online. El ejecutivo declinó decir cuándo esperar Microsoft lograr la certificación.
La meta es ofrecer a los clientes, particularmente en el gobierno, un más alto nivel de assurance de los servicios de nube de Microsoft, que el que la certificación de la FISMA proporciona, señaló Teresa Carlson, vicepresidente de Microsoft Federal.
FISMA esta desactualizada. Es en gran medida un ejercicio documentario. Nosotros queremos superar esto, obteniendo la certificación ISO 27011, señaló Carlson. Al mismo tiempo, Microsoft está trabajando para certificar sus servicios de nube con los estándares prescritos en FISMA; espera completar la tarea para finales de año, sostuvo Carlson.
El estándar ISO 27001 es administrado por la International Organization for Standardization (ISO) y la International Electrotechnical Commission. Para certificarse con el estándar, Microsoft va a necesitar mostrar que su proceso físico y lógico, y sus controles de administración para proteger su suite de servicios de nube, cumplen con un riguroso conjunto de criterios de auditoría.
Aunque el estándar ISO 27011 es ampliamente reconocido a nivel mundial, no ha sido muy aceptado en Estados Unidos, señaló Chenxi Wang, analista de Forrester Research. La mayoría de las compañías de Estados Unidos no le prestan mucha atención al ISO 27001. No saben muy bien qué hacer con él.
A pesar de ello, en ausencia de cualquier estándar de certificación específico para las nubes, el ISO 27001 sigue siendo uno de los mejores benchmarks de seguridad disponibles. No hay nada específico sobre la cloud computing ahí. Pero ha sido utilizado en el outsourcing tradicional por años, y es el mejor estándar que hay para seguridad de la información, indicó.
El año pasado, Salesforce.com se convirtió en uno de los primeros proveedores de aplicaciones alojadas en certificarse con los estándares ISO 27001. No queda claro cuánto ha ayudado esta certificación a la compañía en la adquisición de nuevos clientes, indicó Wang. Pero ciertamente ha jugado un rol en reforzar el mensaje de Salesforce.com acerca de la seguridad y confiabilidad de sus productos.
Las noticias acerca de los planes de Microsoft para adquirir una certificación ISO 27001 llegan en medio de preocupaciones acerca de la seguridad de la nube. Las preocupaciones han sido alimentadas por incidentes muy notorios tales como la reciente y caótica caída de Sidekick T-Mobile de Microsoft y otro incidente en julio que involucró a Twitter y Google Apps.
Aunque los propios proveedores y muchos analistas han insistido en que los incidentes no tienen nada que ver con las fallas de seguridad en la nube, la percepción acerca de la vulnerabilidad de la nube ante fallas de seguridad ha persistido. Es por estas razones que las certificaciones como la ISO 27001 y FISMA son importantes, especialmente en el gobierno, indicó Billing. Dentro del mercado federal, es un tema cultural, sostuvo Billings. Esto tiene que ver con hacerlos sentir cómodos en su sociedad con Microsoft.
Jaikumar Vijayan, IDG News Service