Nube SARA y certificaciones del ENS

Temas relacionados con supuesto práctico y defensa
Cerrado
Avatar de Usuario
palindromo
Usuario registrado
Mensajes: 555
Registrado: 21 Abr 2018, 15:05
Ubicación: Madrid
Agradecido: 7 veces
Agradecimiento recibido: 9 veces

Nube SARA y certificaciones del ENS

Mensaje por palindromo »

Si quiero desplegar mi solución del tercer examen en una nube pública, he de acudir a la relación de empresas certificadas en el ENS y elegir un proveedor en función de la categorización de mi sistema y de las certificaciones que cada uno de ellos haya obtenido para sus servicios. Bien.
Por otra parte, la Guía CCN-STIC-823 es de aplicación en despliegues en nube "on premise". Me fijo en la mención a la auditoría:
77. Si la provisión de los servicios se realiza desde un sistema soportado por una nube privada “on premise”, donde la categoría sea ALTA, se requerirá que el servicio en la nube haya superado, con éxito, una auditoría de prueba de penetración (pentesting) por una tercera parte independiente para evaluar la madurez del servicio en materia de seguridad e identificar posibles vulnerabilidades existentes en el mismo.
En esta auditoría se comprobará la ausencia de vulnerabilidades públicas que permitan comprometer la información manejada o el servicio prestado.
No me queda claro si un despliegue en nube SARA es, en las consideraciones de esta guía, un despliegue "on premise" (no está en un CPD del organismo, pero sí en uno de la AGE), o si debe considerarse una nube pública, como las empresariales.
Por último, el servicio de nube híbrida (nube SARA), que está en la declaración de servicios compartidos, es de uso obligado.

Y me pregunto: De hecho, la misma Guía CCN-STIC-823 dice, en el contexto de la LOPDGDD, es cierto (el CSP es el Cloud Service Provider, la empresa con la que contratamos el servicio):
69. A este respecto debemos tener en cuenta, que al tratar datos de carácter personal, el CSP adquiere la condición de encargado del tratamiento y por tanto estará obligado al cumplimento de lo establecido en el artículo 28 Encargado del Tratamiento del RGPD, que establece la necesidad de que este tratamiento se rija por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros, que vincule al encargado respecto del responsable y establezca el objeto, la duración, la naturaleza y la finalidad del tratamiento, el tipo de datos personales y categorías de interesados, y las obligaciones y derechos del responsable.
Dicho contrato o acto jurídico estipulará, en particular, que el encargado:
[...]
  • La gestión de las violaciones de seguridad, alineado con lo establecido para la gestión de incidentes de seguridad. Regulación de la comunicación y/o notificación de brechas de seguridad, plazos, medios y evidencias.
(a mi juicio falta un verbo al comienzo del punto que he copiado, pero no lo he encontrado por ninguna parte)
De cara al examen, entiendo que no cabe plantearse estas cuestiones, y que el uso de nube SARA, por obligado, es pertinente si el supuesto lo permite, lo sugiere o lo indica expresamente. En cuanto al posible incidente de seguridad, igual es más prudente asumir que la responsabilidad de comunicación va a ser mía.
Desde la barrera.

Cerrado

Volver a “TERCER EXAMEN 2019”