Microsoft Office 365 y Azure certificados frente al Esquema Nacional de Seguridad (ENS)


Los servicios Cloud de Microsoft Office 365 y Microsoft Azure se auditan y certifican frente al Esquema Nacional de Seguridad, Nivel Alto, obteniendo la conformidad de la Administración al respecto, y convirtiéndose en el primer gran proveedor global en disponer de tal reconocimiento.

Es para nosotros un motivo de satisfacción compartir que tras un intenso y prolongado trabajo de Auditoría y certificación, con terceros acreditados como es el caso de BDO, los servicios Microsoft Office 365 y Microsoft Azure han sido auditados y encontrados conforme con las exigencias del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica, según se indica en el correspondiente Informe de Auditoría del Esquema Nacional de Seguridad, obteniendo los correspondientes certificados de conformidad con el ENS.

El Trust Center de Microsoft ya recoge este importante hito.

 

En Microsoft Ibérica siempre hemos tenido una vocación de estudiar y comprender las consecuencias tecnológicas derivadas de determinadas políticas que, especialmente en materia de seguridad y privacidad, afectan a nuestra Industria, Pais, Zona etc..  con el objetivo de trabajar en consecuencia para que aquellos usuarios, clientes nuestros, a quienes les aplique tal política, tengan mayores opciones y facilidades de cumplimiento a través de nuestros servicios y propuestas tecnológicas. 

Es un principio básico que casi nunca resulta sencillo de cumplir, pero que nos empeñamos en desarrollar hasta sus últimas consecuencias y para muestra, unos cuantos ejemplos: 

  1. Ya en el 2002 nos propusimos ayudar a los usuarios de Tecnología Microsoft al cumplimiento de sus obligaciones en materia de Protección de datos (LOPD) y publicamos un manual al respecto                   
  2. Idéntica iniciativa desarrollamos en el 2009 actualizándonos al nuevo reglamento, y tecnología por aquel entonces, publicando de nuevo un manual sobre cumplimiento de LOPD con Tecnología Microsoft
  3. Entendimos cuales deberían ser las garantías a incorporar en nuestros contratos de Cloud para dar cobertura a las transferencias internacionales de datos, en base a los criterios de la propia Agencia Española, que resolvió en consecuencia considerando autorizadas las transferencias internacionales al amparo de tales contratos para los servicios de Microsoft Office 365, Microsoft Azure y Dynamics CRM Online.
  4. En el 2011 centramos nuestra atención en el Esquema Nacional de seguridad y desarrollamos, en compañía con la Administración, un manual para facilitar la vida a los responsables de implementar medidas tecnológicas relacionadas con el ENS en entornos on premise. 


Pero el mundo del Cloud había permanecido al margen de estas aproximaciones …. hasta hoy, día en el que anunciamos los trabajos hechos en profundidad alrededor del Esquema Nacional de Seguridad y Microsoft Office 365 y Microsoft Azure.

Por qué es relevante este anuncio?

En mi opinión por varios motivos. 

  1. Hay que constatar que no todos los proveedores de Cloud ofrecen las mismas garantías formales ni técnicas por lo que tenemos que desligarnos de concepciones generalistas cuando hablamos del Cloud. No hay dos nubes iguales (ni en el mismo proveedor) y desde Microsoft tomamos la decisión que fueran precisamente la seguridad, privacidad, transparencia y cumplimiento los factores más diferenciales respecto a otras propuestas. Esa es la razón de que a fecha de hoy seamos pioneros en un asunto como éste y marquemos el camino que probablemente otros terminarán transitando…. o no.

  2. Nos motiva especialmente el poder ofrecer a nuestra Administración unas capacidades en la nube contrastadas que les permitan acercarse al cumplimiento de sus obligaciones regulatorias en esta materia, y es por ello por lo que contarán tanto por nuestra parte, como por la de nuestros socios y Partners, de toda la guía y apoyo para tal misión

  3. El cloud concebido de tal manera, con tales garantías y correctamente configurado, puede ser visto de por si como una medida de seguridad sustancial. No me gusta hablar de Security as a Service (da la sensación de externalizar una preocupación o incluso una obligación regulatoria propia), pero en ocasiones hay que reconocer que determinadas opciones cloud de Office 365 y Microsoft Azure se le parecerían mucho a ese concepto

 Stay tunned como dicen en tierras bárbaras porque no será el último anuncio que hagamos a este respecto en breve al hilo de trabajos sobre el cloud que continúan su marcha.

Comments (4)

  1. Oscar Maqueda dice:

    Hector, todo un hito, esto pone a los servicios de Microsoft muy por encima de los estándares de seguridad exigibles a cualquier servicio Cloud

  2. rafaelega dice:

    Sensacional noticia para todos aquellos que estamos empezando a investigar sobre el cloud computing y su aplicación en entornos públicos. Gracias por compartirlo!

  3. Jorge dice:

    ¿Y el Esquema Nacional de Interoperabilidad?...

  4. Ignacio Sanchez dice:

    Hector, me cuesta creer que después de más de un año de publicar este artículo, BDO todavía no esté certificada por el Centro Criptológico Nacional. ¿Como puede Office 365 estar certificado para el ENS si su certificador todavía no lo está? Insisto, más de un año después de publicar este artículo.... la evidencia está en este link (https://www.ccn-cert.cni.es/ens/entidades-de-certificacion.html) a 6 de Mayo del 2017.
    ¿Me podría ayudar a entenderlo? Quizás sea ignoracia mía y me estoy perdiendo algo.
    Este comentario es mío propio.

Skip to main content