- La publicación de guías técnicas y scripts de automatización para el despliegue de ocho servicios en la nube de Microsoft ayuda al personal de TI a cumplir los criterios del Esquema Nacional de Seguridad.
- Los primeros recursos ya están disponibles para su descarga en los portales oficiales del CCN y su acceso público permite su uso no solo por el sector público, sometido al cumplimiento del ENS, sino que también resultarán de gran utilidad en el sector privado.
Microsoft y el Centro Criptológico Nacional, en el desarrollo de sus funciones relativas a la seguridad de las tecnologías de la información y de protección de la información de todas las Administraciones Españolas, han desarrollado un encomiable trabajo conjunto sin precedentes en la Unión Europea, y solo equivalente a recientes trabajos similares del Gobierno de EEUU, Canadá o Reino Unido.
A las certificaciones ya existentes de los servicios en la nube de Microsoft frente al nivel más exigente del Esquema Nacional de Seguridad (ENS), se suma la publicación de guías técnicas y scripts de automatización de las configuraciones de seguridad cumplidoras con el nivel alto del Esquema Nacional de Seguridad para ocho servicios en la nube de la compañía: Microsoft Azure, Microsoft Office 365, Microsoft Teams, Microsoft Cognitive Services, Microsoft Exchange Online, Microsoft SharePoint Online, Microsoft Kubernetes y Microsoft Azure SQL.
La facilidad e inmediatez para disponer los servicios cloud de Microsoft en la configuración oficialmente considerada por el Centro Criptológico como de Nivel ALTO, según el criterio establecido en el Esquema Nacional de Seguridad, ha sido algo muy demandado en el tiempo por muchas Administraciones Españolas.
Recursos para ayudar a garantizar el cumplimiento
La compartición de responsabilidades entre usuarios y proveedores inherentes al proceso de securización de un entorno en la nube, podría presentar cierta asimetría desde el momento que, mientras las responsabilidades del proveedor de cloud se encuentran perfectamente establecidas, configuradas, certificadas y garantizadas, las responsabilidades cedidas a los usuarios pudieran no estar establecidas al mismo nivel de confianza. Las guías y automatismos presentados por Microsoft y el Centro Criptológico se dirigen a facilitar y guiar con garantías el cumplimiento de las responsabilidades de los administradores de los servicios cloud en este modelo de responsabilidad compartida.
Cada una de las recomendaciones de seguridad que establece la guía CCN-STIC 823 (guía de aplicación del ENS a los entornos cloud), ha sido tratada, documentada, automatizada y revisada en cada uno de los ocho servicios en la nube de Microsoft considerados.
En opinión del director de Tecnología de Microsoft en España, Héctor Sánchez Montenegro: “Acompañar y guiar técnicamente a los usuarios en el cumplimiento de sus obligaciones regulatorias en materia de seguridad, en un modelo cloud de responsabilidad compartida, ha sido una demanda frecuente hacia Microsoft por parte de muchas Administraciones. El trabajo que hoy se anuncia responde con rotundidad a esas demandas y sitúa hoy a Microsoft como el único gran proveedor de cloud capaz de guiar a la Administración Española y acelerar su tránsito a la nube en sus propios términos, exigencias y necesidades, recogidas en el Esquema Nacional de Seguridad.”
Igualmente subraya que: “Si algo hace único este trabajo en el mundo es la autoría conjunta de las guías entre el propio CCN y Microsoft, lo que no tiene precedentes y marcará sin duda un camino de alta exigencia, pero de confianza, entre las Administraciones Públicas y los proveedores de servicios cloud.”
Por su parte Javier Candau, jefe del Departamento de Ciberseguridad del Centro Criptológico Nacional: “No solo es importante disponer de tecnologías certificadas, es clave disponer de configuraciones que permitan implementar seguridad siguiendo unos estándares reconocidos como es el ENS y, lo que es más importante, medir el grado de exposición asociado, ya que de esta manera se facilita a las entidades la contratación de los servicios en entornos cloud con unas garantías de seguridad verificadas. Estas guías con sus scripts asociados vienen a dar respuesta a esta necesidad clave”.
Impulso también para la seguridad del sector privado
Las guías, cuyas dos primeras versiones ya se encuentran disponibles, estarán disponibles en los portales oficiales del CCN y su pública descarga permite su uso no solo por el sector público, sometido al cumplimiento del Esquema Nacional de Seguridad, sino que también resultarán de gran utilidad en el sector privado que, sin estar sometido a las exigencias de cumplimiento del ENS, sí aprecian y valoran las recomendaciones de seguridad que define al Centro Criptológico Nacional, y por ende las garantías en seguridad del cloud de Microsoft.
Acerca del CCN
El Centro Criptológico Nacional (CCN) es un organismo público dependiente del Centro Nacional de Inteligencia (CNI), cuya actividad está regulada a través del R.D.421/2004, en el que se determina su misión, funciones y ámbito de competencia, como son elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de las TIC en la Administración. De igual modo, el RD le asigna la formación del personal de la Administración especialista en el campo de la seguridad de las TIC, constitución del Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de aplicación a productos y sistemas de su ámbito; así como la coordinación, promoción, desarrollo, obtención, adquisición y utilización de la tecnología de seguridad de Sistema antes mencionados.
Acerca de Microsoft
Microsoft (Nasdaq “MSFT” @microsoft) impulsa la transformación digital para la era de la nube inteligente y el Intelligent Edge. Su misión es ayudar a cada persona y a cada organización en el planeta a hacer más en su día a día.
