Microsoft y el Centro Criptológico Nacional salvaguardan los Datos en la Nube de la Administración Pública

Las aplicaciones en la nube de Microsoft cumplen con facilidad y rapidez con los exigentes requisitos del Esquema de Seguridad Nacional, considerado High Level por el Centro Criptológico

Microsoft y el Centro Criptológico Nacional, han anunciado el lanzamiento de un paquete de recursos (guias y scripts) para salvaguardar la seguridad de lo datos en la Nube por parte de la Administración Pública. Según fuentes del CCN-CERT, se trata de una iniciativa sin precedentes en la Unión Europea, y solo equivalente a proyectos gubernamentales similares recientes en los Estados Unidos, Canadá o el Reino Unido.

Tal y como han comunicado, el Paquete de Recursos incluye:

  • Publicación de las certificaciones existentes de los servicios en la Nube de Microsoft, ya alineadas con las exigentes certificaciones del ENS (Esquema Nacional de Seguridad).
  • Publicación de guías técnicas y scripts de automatización para configuraciones de seguridad que cumplen con el ENS, para ocho servicios en la nube de la compañía: Microsoft Azure, Microsoft Office 365, Microsoft Teams, Microsoft Cognitive Services, Microsoft Exchange Online, Microsoft SharePoint Online, Microsoft Kubernetes y Microsoft Azure SQL.

La elección de los servicios en la nube de Microsoft muchas veces viene dada por la facilidad e inmediatez con la que sus aplicaciones cumplen con el requisito del Esquema de Seguridad Nacional, considerado High Level por el Cryptologic Center. “Este es el motivo por el que la Nube de Microsoft ha sido muy demandada por las agencias gubernamentales españolas”, afirman fuentes de la compañía.

Recursos para ayudar a garantizar el cumplimiento

El intercambio de responsabilidades entre usuarios y proveedores inherentes al proceso de asegurar un entorno en la nube podría presentar una cierta asimetría desde el momento en que, si bien las responsabilidades del proveedor en la nube están perfectamente establecidas, configuradas, certificadas y garantizadas, las responsabilidades asignadas a los Usuarios pueden no establecerse en el mismo nivel de confianza.

Las guías y los procesos automatizados presentados por Microsoft y el Centro de Criptología, tienen como objetivo facilitar y guiar, con garantías, el cumplimiento de las responsabilidades de los administradores de servicios en la nube en este modelo de responsabilidad compartida.

Cada una de las recomendaciones de seguridad establecidas en la guía CCN-STIC 823 (guía para aplicar el ENS a entornos de nube) se ha abordado, documentado, automatizado y revisado en cada uno de los ocho servicios en la nube de Microsoft considerados.

Héctor Sánchez Montenegro. director del Director de Tecnología de Microsoft en España
Héctor Sánchez Montenegro. director del Director de Tecnología de Microsoft en España

En opinión del director del Director de Tecnología de Microsoft en España, Héctor Sánchez Montenegro:
“Muchas administraciones han exigido con frecuencia acompañar y guiar técnicamente a los usuarios en el cumplimiento de sus obligaciones de seguridad reguladora en un modelo de nube de responsabilidad compartida. El trabajo anunciado hoy es una respuesta rotunda a estas demandas y, hoy, coloca a Microsoft como el único proveedor importante de nube capaz de guiar al Gobierno español y acelerar su transición a la nube en sus propios términos, demandas y necesidades, tal como se establece en el Esquema de seguridad nacional «.

También enfatiza: “Si algo hace que este trabajo sea único en el mundo, es la autoría conjunta de las guías entre CCN y Microsoft, lo que no tiene precedentes y sin duda marcará un camino de alta demanda, pero con confianza entre las agencias gubernamentales y Los proveedores de servicios en la nube».

Javier Candau, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional: “No solo es importante contar con tecnologías certificadas, es clave contar con configuraciones que permitan implementar la seguridad siguiendo estándares reconocidos como el ENS y, lo que es más importante, para medir el grado de exposición asociada, ya que esto facilita a las entidades contratar servicios en entornos de nube con garantías de seguridad verificadas. Estas guías, con sus scripts asociados, brindan una respuesta clave a esta necesidad».

El Centro Criptológico Nacional depende del Centro Nacional de Inteligencia (CNI)

Impulso al Sector Privado

Las guías, cuyas dos primeras versiones ya están disponibles, podrán descargarse en los portales oficiales de CCN y su descarga pública permite su uso también en el sector privado.

“Para el sector privado será muy útil, dado que al no estar sujeto a los requisitos de cumplimiento del Esquema Nacional de Seguridad, valora estar al día de las recomendaciones de seguridad definidas por el Centro Nacional de Criptología y, por lo tanto, las garantías de seguridad en la nube de Microsoft”, finaliza Montenegro.

Sobre el CCN

El Centro Criptológico Nacional (CCN) es un organismo público dependiente del Centro Nacional de Inteligencia (CNI), cuya actividad está regulada por el RD421 / 2004, que determina su misión, funciones y alcance de competencia, como el desarrollo y difusión de normas, instrucciones, guías y recomendaciones para garantizar la seguridad de las TIC en la Administración.

Asimismo, el RD asigna la capacitación del personal del Gobierno especializado en el campo de la seguridad de las TIC, la constitución del Organismo de Certificación del Sistema Nacional de Evaluación y Certificación para la aplicación a productos y sistemas en su campo; así como la coordinación, promoción, desarrollo, adquisición, adquisición y uso de la tecnología de seguridad del Sistema antes mencionada.

0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments

Relacionados

Tendencias

Más leídos

Se habla de..

0
Would love your thoughts, please comment.x
()
x