ENISA explica cómo implementar informes de incidentes de seguridad en cloud
La agencia de ciberseguridad de la UE, la ENISA, considera importante elaborar informes sobre incidentes en la nube, por lo que ha publicado un documento con consejos sobre cómo implementar dichos reportes.
“La elaboración de informes sobre incidentes de seguridad en cloud es crucial para entender mejor la seguridad y la resiliencia de las estructuras críticas de la información en Europa. La informática de nube se está convirtiendo en la columna vertebral de nuestra sociedad digital, por lo que es importante que los proveedores de servicios de nube mejoren sus niveles de transparencia y confianza con la adopción de programas eficientes de elaboración de informes sobre incidentes”, aconseja el director ejecutivo de ENISA, Udo Helmbrecht.
El organismo europeo de Ciberseguridad asegura que las causas y el impacto de los incidentes de seguridad en la nube son difíciles de comprender por la falta de programas consistentes de elaboración de informes, y anima al sector y a los gobiernos a debatir su implementación. Y es que, en la mayoría de los Estados miembro de la UE no existe ninguna autoridad nacional que evalúe la transcendencia de los servicios de nube; servicios, que suelen estar basados en otros servicios de nube, lo que incrementa la complejidad y complica la elaboración de informes sobre incidentes ocurridos en ese ámbito.
El informe de la ENISA (que puede descargarse aquí) trata cuatro escenarios de cloud computing diferentes e investiga cómo podrían establecerse programas de elaboración de informes sobre incidentes en cloud que implicaran a proveedores de servicios de nube, a sus clientes, a los operadores de infraestructuras críticas y a las autoridades gubernamentales. Los escenarios contemplados son los siguientes:
1. El servicio de nube utilizado por un operador de estructuras críticas de información;
2. El servicio de nube utilizado por clientes en varios sectores críticos;
3. El servicio de nube para el sector gubernamental y la administración pública (una nube gubernamental);
4. El servicio nube utilizado por pymes y ciudadanos.
En cuanto a las recomendaciones de la ENISA, sugiere introducir una legislación para que los operadores en sectores críticos informaran acerca de los incidentes de seguridad, ya que los programas voluntarios apenas existen. Asimismo, insiste en que las autoridades gubernamentales deberían incluir la obligatoriedad de elaborar informes sobre incidentes en sus bases de licitación, mientras que los operadores en sectores críticos deberían incluir dichos informes en sus contratos.
