Preguntas sobre seguridad

Es un lugar común que oigo a menudo lo de “estos americanos son muy prácticos”. Y es verdad, no se puede negar. Por eso probablemente son tan conscientes de la necesidad de “empaquetar” la información y centrarse todo lo que puedan poniendo en marcha procesos que les ahorren tiempo a largo plazo.

En el entorno de cloud computing, uno de los problemas más habituales es el de la seguridad. Es una preocupación natural de gente que se imagina sus datos durmiendo en un disco duro situado en algún lugar irlandés u holandés desconocido (y por las caras que ponen parece que se imaginan más algo en Temple Bar o el Barrio Rojo que en otro sitio). En ese punto de la conversación, empiezan las preguntas y respuestas: qué hace Microsoft con los datos, que se puede hacer y qué no, si se cumple la LOPD o no se cumple, si es responsabilidad de uno o de otro. Déjenme que les diga que es impresionante el nivel de desconocimiento que hay sobre estas cosas tan importantes por ahí fuera.

Al grano, el caso es que la gente de la Cloud Security Alliance lo ha puesto todo junto. Alguien ha escrito una RFI genérica pero extremadamente detallada para los proveedores de cloud computing, y nos ha permitido a los proveedores contestarla con respuestas públicas. El cuerpo de texto que queda es una buena fuente de información y un excelente ejercicio de transparencia por parte de la industria.

Los documentos para Windows Azure y Office365 están aquí

Les copio el índice para que vean los temas que trata:

Page

Introduction

4

How Windows Azure is Delivered: The Services Stack

5

ISO Certifications that Align with Windows Azure Controls

6 - 8

Microsoft Response by Cloud Control Matrix ID:

9 - 50

Compliance

CO-01 through CO-06

9 - 11

Data Governance

DG-01 through DG-08

12 - 15

Facility

FS-01 through FS-08

16 - 18

Human Resources

HR-01 through HR-03

19

Information Security

IS-01 through IS-34

20 - 34

Legal

LG-01 through LG-02

34 - 35

Operations

OP-01 through OP-04

35 - 36

Risk Management

RI-01 through RI-05

37 - 38

Release Management

RM-01 through RM-05

39 - 40

Resiliency

RS-01 through RS-08

41 - 43

Security Architecture

SA-01 through SA-15

44 – 50