miércoles, 9 de diciembre de 2009

Microsoft dando ejemplo en la nube mediante ISO 27001

Leo vía Joseba Enjuto una noticia sobre la implantación por parte de Microsoft de un sistema de gestión de la seguridad de la información sobre sus servicios en la nube.

Es una buena noticia por varios motivos. El primero es la consolidación de la norma ISO 27001 como una referencia en materia de seguridad de la información. Los estándares internacionales son buenas intenciones que normalizan un conjunto de criterios en base al conocimiento de los expertos que colaboran en su desarrollo. Sin embargo, su éxito debe darlo el mercado. Hasta que no se transforma en una herramienta de valor o de diferenciación y no goza del reconocimiento por parte de los demás, no son una referencia o estandar "de facto". En materia de seguridad es cierto que no existen códigos de buenas prácticas que sean tan generales o tan aplicables, pero que las grandes empresas apuesten por ellos siempre son un catalizador para el mercado. Esta vez España no queda atrás, dado que las principales empresas que lograron con éxito sus certificaciones ISO 27001 han sido los servicios TI de las grandes empresas de administración y gestión de sistemas de información bajo servicios de outsourcing. Por poner varios ejemplos, tenemos entre las grandes las siguientes referencias:

El resto de empresas que lo han logrado se pueden consultar en la Web ISO27001 Certificates aunque esta no es una Web oficial.

El segundo es ver cómo Microsoft desde hace ya algunos años (quizás desde la catarsis que supuso Milenium) ha decidido siempre apostar por la coherencia y contar las cosas desde el ejemplo. He asistido a presentaciones técnicas donde siempre muestran cómo lo hacen ellos primero y luego resuelven el problema en un cliente concreto. Creo que es una muy buena apuesta, dado que al ser los primeros en sufrir los problemas, son también los primeros en detectarlos y corregirlos. También es interesante ver cómo se abre a los nuevos tiempos y comparte una ingente información de gran calidad tanto a nivel técnico como a nivel estratégico. Y en esto de la nube no quieren quedarse tampoco atrás. En este nuevo escenario, como ya hemos comentado en este blog, la confianza es un elemento que aporta clientes, mostrar y sobre todo demostrar diligencia y seriedad son siempre un buen argumento comercial.
La noticia original, para aquellos que quieran investigar o buscar argumentos anti-Microsoft puede leerse en Microsoft seeks ISO security certification for its cloud services y para los más exigentes, incluso pueden revisar los post de este blog o leer este excelente whitepaper sobre cómo han logrado implantar la ISO 27001 donde también se dan muchos más detalles, incluso del alcance del SGSI.



Con dos cojones (con perdon), han publicado los alcances de todos los centros certificados en relación a los servicios de la nube. Esto si es tenerlos bien puestos.

Estas son las políticas de transparencias que requiere la nube. Que sean los demás, un tercero quien establezca qué confianza mereces. Es mejor una revisión independiente. Lo "open..." puede o no ser transparente. Yo sinceramente, entre tener acceso al código o tener acceso a los planos, prefiero esto segundo. Me proporciona más información y me da más confianza. Estos documentos pueden ser revisados y entendidos sin grandes esfuerzos. Lo otro por ahora, que me demuestren que es una ventaja real porque cuando "mil ojos miran, ninguno examina". Hace tiempo leyendo el libro "The Tipping Point" comentaban una situación paradójica en relación al poder del contexto. Cuando ante una situación de emergencia hay varias personas presentes, ninguna socorre porque consideran que irá "el otro". Sin embargo, en la misma situación si estás solo, sales al rescate. ¿Por qué? Porque siempre queremos que los valientes sean otros... y con el acceso al código y la seguridad creo que pasa lo mismo. Es seguro porque se puede mirar, auditar y revisar, pero que lo haga otro. Yo sinceramente prefiero en estos casos, ver que existen certificaciones del tipo ISO 15408 donde se que alguien, que seguramente además sabe mucho, ya ha hecho ese trabajo.
 
;