Confianza en la nube: ¿De qué se trata?

Por Jeff Jones, Principal Estratega de Cíberseguridad

Hoy presenté una conferencia magistral sobre la confianza en la nube en el evento Cybersecurity Expo 2014 en Londres. He estado pensando cómo enfocar un tema como la “confianza”, cómo se aplica a la computación en la nube. No sé ustedes, pero cuando alguien que no conozco muy bien me dice “confía en mí”, me voy en dirección opuesta. Yo creo que los hechos valen más que mil palabras.

Con esto en mente, afronté el tema hablando de las cuatro áreas clave que Microsoft considera importantes para que los proveedores de servicios de nube demuestren que son confiables. Además, Microsoft ofrece estas áreas en sus servicios de nube 200+ que los clientes usan hoy. Invito a los lectores, así como invité a los delegados, a considerar los esfuerzos que los proveedores de servicios de nube hacen en cuatro categorías principales: cíberseguridad, privacidad de los datos, conformidad y transparencia.

En cuanto a Cíberseguridad, Microsoft trabaja para proteger, detectar y responder a amenazas contra los clientes. Por más de una década, hemos invertido en el desarrollo de productos y servicios más seguros a través del Ciclo de Vida de Desarrollo de Seguridad  (SDL), que es un proceso de desarrollo de software holístico y completo, que creamos para ayudar a escribir un código más seguro, con mejor privacidad y que permite tener productos y servicios más confiables. Hoy, SDL se considera el estándar industrial para escribir software más seguro y está incluido como caso de estudio en la norma ISO 27034-1.

Nuestros servicios en línea se adhieren a un riguroso conjunto de controles de seguridad y privacidad que gobiernan las operaciones y el soporte, gracias al proceso llamado Garantía de Seguridad Operativa (OSA). Nuestras estrictas políticas de cifrado de datos ayudan a proteger a nuestros clientes, socios y datos internos de nuestras redes. Para respaldarlo, en julio ofrecimos ejemplos de la manera en que estamos expandiendo el cifrado en nuestros servicios, para ayudar a proteger los datos de los clientes:

    • Office 365 – Ofrece cifrado de mensajes, un servicio de correo electrónico que le permite enviar correos cifrados a cualquier persona.
    • Microsoft Azure – ExpressRoute, permite a los clientes acceder a los servicios Azure desde sus instalaciones sin tener que viajar por Internet.
    • Outlook.com – La protección se brinda a través de cifrado de Seguridad de la Capa de Transporte (TLS) para correos electrónicos entrantes y salientes. Outlook.com también ha habilitado el soporte de cifrado Secreto-Perfecto-Hacia-Delante (PFS) para enviar y recibir correos.
    • OneDrive ha habilitado el cifrado Secreto-Perfecto-Hacia-Delante (PFS).

Microsoft tiene un equipo global de respuesta a incidentes 24×7 que trabaja para mitigar los efectos de los cíberataques y la actividad maliciosa. El equipo de respuesta a incidentes sigue procedimientos establecidos para el manejo de incidentes, la comunicación y la recuperación, además de usar interfaces descubribles y predecibles, tanto internamente como para los clientes. También trabajamos proactivamente en sociedad con las instituciones de seguridad para combatir el cíberdelito con nuestra Unidad de Delitos Digitales.

Nuestro compromiso con la privacidad de los datos comienza en la etapa de desarrollo y es parte de SDL, y de un conjunto de pautas, llamadas Estándar de Privacidad de Microsoft. Como resultado de ello, nuestros servicios empresariales de nube incluyen funcionalidades de privacidad de clase mundial como Prevención de Pérdida de Datos (DLP), Servicios de Administración de Derechos (RMS), así como diversos controles que ayuda a los clientes a manejar los riesgos para sus datos. Como resultado de ello, actualmente somos el único proveedor de nube cuyos contratos comerciales cumplen con las estrictas normas de las Autoridades de Protección de Datos de la Unión Europea para la transferencia internacional de datos, un hecho reconocido por el “Grupo de Trabajo del Artículo 29”.

Los certificados de terceros ayudan a demostrar el estado de preparación de la conformidad a clientes, auditores y reguladores. Algunas compañías de terceros, como Deloitte y la Institución Británica de Normalización (BSI), hacen evaluaciones y verificaciones regulares de nuestras capacidades y cumplimiento con un amplio conjunto de requerimientos. Nuestro enfoque estructurado en la conformidad se basa en nuestro compromiso para cumplir con un amplio rango de certificaciones, que en muchos casos establecen el paso que otros seguirán.

En marzo de 2013, como parte de nuestro compromiso para incrementar la transparencia, comenzamos a publicar detalles sobre el número de demandas que recibimos cada año en nuestro Law Enforcement Requests Report (Informe de Solicitudes de Aplicación de Justicia), ofreciendo documentación clara de nuestras prácticas establecidas en respuesta a las demandas legales de datos del cliente.

Es importante reconocer que el panorama de las amenazas seguirá evolucionando, para mantenerse a la par con los avances en seguridad y protección de datos, eso es un hecho. Microsoft sigue comprometido a proteger los datos del cliente a través de la innovación y la colaboración, para ayudar a manejar el riesgo que representan los cíberdelincuentes.

Para obtener mayor información sobre nuestros servicios de nube, visite www.microsoft.com/cloud.

Original: http://blogs.microsoft.com/cybertrust/2014/10/09/trust-whats-it-all-about/