Noticia

Certificación continua de seguridad para servicios en la nube

12 de Abril de 2022
Certificación continua de alta seguridad para servicios en la nube

«MEDINA implementa una certificación continua de alta seguridad basada en evidencias digitales para los proveedores de servicios en la nube»

La nueva Ley de Ciberseguridad de la UE propone mejorar la confianza de los clientes en el mercado europeo de las TIC

La acción de investigación e innovación MEDINA, apoyada por el programa europeo H2020, crea un marco de seguridad para lograr una certificación continua basada en auditorías para los CSP teniendo en cuenta el Esquema de Certificación de Ciberseguridad de la UE para servicios en la nube. Aborda desafíos en áreas como la validación y pruebas de seguridad, lenguajes de certificación legibles por máquinas, rendimiento de la seguridad en la nube y gestión de evidencias de auditoría para:

  • Orientar en la aplicación de los controles EUCS, incluidas las medidas a aplicar y las evidencias a recopilar, reduciendo así el tiempo del proceso de certificación.
  • Apoyar en la comprobación automática del cumplimiento de los controles en los principales esquemas de certificación de seguridad en la nube, reduciendo el esfuerzo, el coste y el riesgo de conseguir y mantener una certificación.
  • Reducir esfuerzo en la recopilación y evaluación de evidencias digitales.
  • Asegurar un registro de evidencias auditables para garantizar que no han sido manipuladas durante el período de validez del certificado.

El enfoque y el conjunto de herramientas de MEDINA se evaluarán en dos casos de uso de la nube en el mundo real que cubren los tres modelos de servicios: IaaS, PaaS y SaaS. Por un lado, Bosch desplegará un escenario para la certificación europea de backends multicloud para soluciones IoT y, por otro lado, Fabasoft validará una auditoría continua de soluciones SaaS para el sector público.

MEDINA también concienciará sobre los beneficios del marco de seguridad aportado en el contexto de la Ley de Ciberseguridad de la UE, apoyando actividades relacionadas con la formación, la concienciación y las actividades relevantes de estandarización a nivel europeo (por ejemplo, ENISA EUCS).

Los CSP, proveedores de servicios en la nube, suelen recurrir a las certificaciones de seguridad como medio para mejorar la transparencia y la fiabilidad. Los CSP europeos siguen enfrentándose a múltiples dificultades para certificar sus servicios; la fragmentación del mercado de certificación, y la falta de reconocimiento mutuo.

Esquema de Certificación de Ciberseguridad Europeo para los Servicios en la Nube

La nueva Ley de Ciberseguridad de la UE propone mejorar la confianza de los clientes en el mercado europeo de las TIC a través de un Esquema de Certificación de Ciberseguridad Europeo para los Servicios en la Nube (EUCS). Este esquema de certificación plantea nuevos retos tecnológicos debido a su noción de "niveles de garantía" que deben resolverse para que los proveedores y los clientes obtengan todos los beneficios esperados.

El consorcio MEDINA, liderado por TECNALIA, reúne un conjunto equilibrado de socios académicos e industriales, que desempeñan papeles clave en el ecosistema de certificación de seguridad en la nube: centros de investigación; TECNALIA, Consiglio Nazionalle delle Ricerche, Fraunhofer, proveedores de la nube; Bosch, Fabasoft, proveedores tecnológicos; Hewlett Packard Enterprise, XLAB y auditores; Nixu.

Más información sobre MEDINA

El proyecto MEDINA contribuye a la política Europea de Certificación de Seguridad en la Nube, mejora la confiabilidad de los servicios gracias al cumplimiento de los esquemas de certificación de seguridad, coopera con las partes interesadas y ayuda a Europa a prepararse para los retos de seguridad.

El consorcio de MEDINA ha completado la primera mitad de este proyecto de 36 meses de duración, y avanza rápidamente hacia el logro de sus próximos hitos. Hasta ahora, el trabajo se ha centrado en la definición de la arquitectura general de MEDINA, así como en el desarrollo del marco integrado (tanto de tecnologías como de procesos) que será validado por los casos de uso de Bosch y Fabasoft.

Entre las herramientas de MEDINA desarrolladas destacan el servicio de preparación para la certificación basado en riesgos y el catálogo de requisitos y métricas de seguridad, que son habilitadores esenciales para la monitorización continua y automatizada definida en el EUCS y otros esquemas de certificación.

*Este proyecto ha recibido financiación del programa de investigación e innovación Horizonte 2020 de la Unión Europea en virtud del acuerdo nº 952633