823-Cloud Computing ENS

SIN CLASIFICAR
SIN CLASIFICAR

GUA/NORMA DE SEGURIDAD DE LAS TIC
(CCN-STIC-823)

SEGURIDAD EN ENTORNOS CLOUD

JUNIO 2013
SIN CLASIFICAR
CCN-STIC-823 v1.1 Seguridad en entornos cloud
Centro Criptolgico Nacional i
SIN CLASIFICAR

Edita:

Editor y Centro Criptolgico Nacional, 2013
NIPO: 002-13-030-5

Fecha de Edicin: junio de 2013

S2 Grupo ha participado en la elaboracin y modificacin del presente documento y sus anexos.

LIMITACIN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los trminos en l recogidos, rechazando expresamente
cualquier tipo de garanta implcita que se pueda encontrar relacionada. En ningn caso, el Centro Criptolgico
Nacional puede ser considerado responsable del dao directo, indirecto, fortuito o extraordinario derivado de la
utilizacin de la informacin y software que se indican incluso cuando se advierta de tal posibilidad.

AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorizacin escrita del Centro Criptolgico Nacional, bajo las sanciones
establecidas en las leyes, la reproduccin parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografa y el tratamiento informtico, y la distribucin de ejemplares del mismo mediante alquiler
o prstamo pblicos.

SIN CLASIFICAR
Centro Criptolgico Nacional ii
SIN CLASIFICAR
PRLOGO
El uso masivo de las tecnologas de la informacin y las telecomunicaciones (TIC), en todos los mbitos de
la sociedad, ha creado un nuevo espacio, el ciberespacio, donde se producirn conflictos y agresiones, y
donde existen ciberamenazas que atentarn contra la seguridad nacional, el estado de derecho, la
prosperidad econmica, el estado de bienestar y el normal funcionamiento de la sociedad y de las
administraciones pblicas.

La Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, encomienda al Centro
Nacional de Inteligencia el ejercicio de las funciones relativas a la seguridad de las tecnologas de la
informacin en su artculo 4.e), y de proteccin de la informacin clasificada en su artculo 4.f), a la vez
que confiere a su Secretario de Estado Director la responsabilidad de dirigir el Centro Criptolgico
Nacional en su artculo 9.2.f).

Partiendo del conocimiento y la experiencia del CNI sobre amenazas y vulnerabilidades en materia de
riesgos emergentes, el Centro realiza, a travs de su Centro Criptolgico Nacional, regulado por el Real
Decreto 421/2004, de 12 de marzo, diversas actividades directamente relacionadas con la seguridad de las
TIC, orientadas a la formacin de personal experto, a la aplicacin de polticas y procedimientos de
seguridad, y al empleo de tecnologas de seguridad adecuadas.

Una de las funciones ms destacables del Centro Criptolgico Nacional es la de elaborar y difundir normas,
instrucciones, guas y recomendaciones para garantizar la seguridad de los sistemas de las tecnologas de la
informacin y las comunicaciones de la Administracin, materializada en la existencia de la serie de
documentos CCN-STIC.

Disponer de un marco de referencia que establezca las condiciones necesarias de confianza en el uso de los
medios electrnicos es, adems, uno de los principios que establece la ley 11/2007, de 22 de junio, de
acceso electrnico de los ciudadanos a los servicios pblicos, en su artculo 42.2 sobre el Esquema
Nacional de Seguridad (ENS).

Precisamente el Real Decreto 3/2010 de 8 de Enero de desarrollo del Esquema Nacional de Seguridad fija
los principios bsicos y requisitos mnimos as como las medidas de proteccin a implantar en los sistemas
de la Administracin, y promueve la elaboracin y difusin de guas de seguridad de las tecnologas de la
informacin y las comunicaciones por parte de CCN para facilitar un mejor cumplimiento de dichos
requisitos mnimos.

En definitiva, la serie de documentos CCN-STIC se elabora para dar cumplimiento a los cometidos del
Centro Criptolgico Nacional y a lo reflejado en el Esquema Nacional de Seguridad, conscientes de la
importancia que tiene el establecimiento de un marco de referencia en esta materia que sirva de apoyo para
que el personal de la Administracin lleve a cabo su difcil, y en ocasiones, ingrata tarea de proporcionar
seguridad a los sistemas de las TIC bajo su responsabilidad.

J unio de 2013

Flix Sanz Roldn
Secretario de Estado
Director del Centro Criptolgico Nacional
SIN CLASIFICAR
Centro Criptolgico Nacional iii
SIN CLASIFICAR
NDICE
1. INTRODUCCIN ........................................................................................................................ 5
2. OBJ ETO ........................................................................................................................................ 6
3. ALCANCE .................................................................................................................................... 6
4. CONCEPTOS PREVIOS ............................................................................................................. 6
4.1. CARACTERSTICAS DE LOS MODELOS CLOUD ....................................................... 6
4.2. MODELOS DE DESPLIEGUE ........................................................................................... 7
4.3. MODELOS DE SERVICIO ................................................................................................. 8
4.4. ASPECTOS RELATIVOS A LA SEGURIDAD DE LA INFORMACIN ...................... 9
5. GESTIN DE RIESGOS ........................................................................................................... 10
6. CONTRATACIN Y ACUERDOS DE NIVEL DE SERVICIO ............................................. 12
6.1. DESCRIPCIN DEL SERVICIO ..................................................................................... 13
6.1.1. TIPO DE SERVICIO ...................................................................................................... 13
6.1.2. TIPO DE INFRAESTRUCTURA .................................................................................. 13
6.1.3. CAPACIDAD DEL SERVICIO ..................................................................................... 14
6.1.4. CONFIDENCIALIDAD DEL SERVICIO ..................................................................... 15
6.1.5. ACUERDOS DE NIVEL DE SERVICIO ...................................................................... 15
6.1.6. PORTABILIDAD DEL SERVICIO ............................................................................... 16
6.1.7. MODO DE ACCESO AL SERVICIO ........................................................................... 16
6.1.8. RESPONSABILIDADES Y OBLIGACIONES ............................................................. 16
6.1.9. SEGUIMIENTO DEL SERVICIO ................................................................................. 17
6.1.10. FINALIZACIN DEL SERVICIO ................................................................................ 18
6.2. REQUERIMIENTOS LEGALES ...................................................................................... 18
6.2.1. REQUISITOS PARA EL CUMPLIMIENTO DEL ENS ............................................... 18
6.2.1.1. ANLISIS DE RIESGOS ........................................................................................... 20
6.2.1.2. GESTIN DE PERSONAL ........................................................................................ 20
6.2.1.3. AUTORIZACIN Y CONTROL DE ACCESO ........................................................ 20
6.2.1.4. PROTECCIN DE LAS INSTALACIONES ............................................................. 20
6.2.1.5. SEGURIDAD POR DEFECTO .................................................................................. 21
6.2.1.6. INTEGRIDAD Y ACTUALIZACIN DEL SISTEMA ............................................ 21
6.2.1.7. GESTIN DE CAMBIOS ........................................................................................... 21
6.2.1.8. PROTECCIN DE LA INFORMACIN ALMACENADA Y EN TRNSITO ...... 22
6.2.1.9. PREVENCIN ANTE OTROS SISTEMAS DE INFORMACIN
INTERCONECTADOS ............................................................................................................... 23
6.2.1.10. REGISTRO DE ACTIVIDAD ................................................................................. 23
6.2.1.11. GESTIN DE INCIDENCIAS ................................................................................ 23
6.2.1.12. PROCEDIMIENTO DE BORRADO DE INFORMACIN ................................... 23
6.2.1.13. RESPALDO Y RECUPERACIN DE DATOS ..................................................... 24
6.2.1.14. CONTINUIDAD DE LA ACTIVIDAD .................................................................. 24
6.2.2. REQUISITOS PARA LA PROTECCIN DE LOS DATOS PERSONALES.............. 24
7. SEGUIMIENTO DEL SERVICIO ............................................................................................. 26
8. MEDIOS ALTERNATIVOS ...................................................................................................... 28
9. CONSIDERACIONES DEL SERVICIO DE CORREO ELCTRONICO ............................... 28

SIN CLASIFICAR
Centro Criptolgico Nacional iv
SIN CLASIFICAR
ANEXOS
ANEXO A. LISTA DE COMPROBACIN .................................................................................. 30
ANEXO B. GLOSARIO DE TRMINOS Y ABREVIATURAS .................................................. 34
ANEXO C. REFERENCIAS ........................................................................................................... 37

SIN CLASIFICAR
Centro Criptolgico Nacional 5
SIN CLASIFICAR
1. INTRODUCCIN
1. En la actualidad el acceso a servicios a travs de Internet se ha incrementado
exponencialmente. Este hecho, as como la heterogeneidad de los dispositivos que dan
acceso a estos servicios, ha supuesto un auge en el uso de las tecnologas web como
estndar. La migracin a entornos web ha sido un catalizador para la externalizacin de los
sistemas de informacin de un amplio nmero de organizaciones.
2. Como consecuencia de esta situacin surge el modelo de cloud computing o computacin
en la nube, como una propuesta tecnolgica capaz de ofrecer servicios a travs de Internet
de forma gil y flexible. El cloud computing consiste en la disposicin de software,
plataformas o infraestructura por parte de un proveedor (CP, Cloud Provider) o por parte
de la propia entidad, accesibles a travs de Internet, con independencia de donde se
encuentren alojados los sistemas de informacin y de forma transparente para el usuario
final.

3. Una de las definiciones de Cloud Computing con mayor aceptacin es la propuesta por el
NIST: Cloud Computing es un modelo para permitir el acceso de red, de forma prctica y
bajo demanda, a un conjunto de recursos de computacin configurables (por ejemplo,
redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser suministrados
y desplegados rpidamente con una mnima gestin o interaccin con el proveedor de
servicio. Este modelo de Cloud se compone de cinco caractersticas, tres modelos de
servicios y cuatro modelos de despliegue.
4. El modelo de Cloud Computing ofrece a las organizaciones grandes beneficios como
pueden ser la deslocalizacin, la alta disponibilidad, el acceso a informacin desde
cualquier lugar, la flexibilidad en asignacin de recursos y un ahorro econmico
significativo.
SIN CLASIFICAR
SIN CLASIFICAR
5. Existen diversas modalidades de servicios en el mbito cloud computing, tanto en lo
referente al tipo de despliegue (privada, pblica, comunitaria o hbrida) como en los
modelos de servicio que se ofrecen (Infrastructure-as-a-Service (IaaS), Platform-as-a-
Service (PaaS) o Software-as-a-Service (SaaS)).
2. OBJETO
6. Esta gua centra su contenido en identificar los requisitos que un organismo debe solicitar a
un prestador de servicio para que la contratacin de servicios de cloud computing est
alineada con el ENS y la LOPD, garantizando la seguridad tanto de la informacin como
de los servicios prestados por el organismo. Como referencia principal para identificar las
medidas a tener en cuenta se seguirn los aspectos que requeridos por el ENS, es decir,
gestin de riesgos, la gestin de servicios externos [op.ext], el cumplimiento de las
medidas del ANEXO II de obligado cumplimiento y otros requisitos legales como los
provenientes de la LOPD. A pesar de que las medidas definidas en gestin de servicios
externos son solo obligatorias en los sistemas categorizados de nivel MEDIO o superior, la
organizacin debe evaluar la conveniencia de su implantacin en los sistemas
categorizados de nivel bsico.
3. ALCANCE
7. El Responsable de Seguridad, determinar el alcance de su aplicacin, considerando la
Poltica de Seguridad de la Organizacin y los requisitos de obligado cumplimiento
definidos por el Esquema Nacional de Seguridad.
8. Este documento describe las caractersticas de seguridad que deben ser contempladas en
aquellos entornos de cloud dentro del mbito del Esquema Nacional de Seguridad.
4. CONCEPTOS PREVIOS
4.1. CARACTERSTICAS DE LOS MODELOS CLOUD
9. La caracterstica principal del cloud computing es la accesibilidad de la informacin. Con
este modelo se facilita el acceso, con independencia del lugar o el tipo de dispositivo que
se emplee, puesto que disponiendo de una conexin a Internet y un navegador web se
posibilita el acceso a los servicios alojados en la nube. El cloud permite la disposicin de
informacin y servicios sin la necesidad de instalar software ms all del propio
navegador, lo que facilita en gran medida la utilizacin de estos servicios. El uso de este
paradigma implica habitualmente la necesidad de disponer de conexiones a Internet con
una capacidad significativa.
10. Otra de las caractersticas que hacen del cloud computing un rea en expansin es el ahorro
econmico. Generalmente el modelo de cloud computing permite reducir costes a la
organizacin con respecto al modelo de servicio y alojamiento tradicional. Esto es debido
al ahorro de recursos dedicados internamente a hardware, mantenimiento, personal
dedicado, suministros, espacio e instalaciones. Adems con el servicio en la nube, se
permite a un cliente pagar solo por los recursos que utiliza, ya sea facturando en funcin de
parmetros como los ciclos de procesador consumidos, el ancho de banda o las mquinas
virtuales dedicadas, permitiendo adems aadir o eliminar recursos de forma sencilla y en
tiempo real.
11. Por otro lado, los servicios de cloud computing se caracterizan tambin por la
deslocalizacin de datos, donde la principal ventaja es que el cliente puede llevar los datos
SIN CLASIFICAR
SIN CLASIFICAR
y los procesos al lugar ms conveniente para la organizacin, adems de mantener el
control de acceso estn donde estn los datos. De esta forma se pueden mantener copias del
servidor repartidas en distintos puntos del planeta tanto para mejorar los tiempos de acceso
como para evitar prdidas de datos o servicios por la cada de un centro de proceso. Como
veremos, esta deslocalizacin tiene implicaciones de seguridad que las organizaciones
deben evaluar convenientemente antes de hacer uso de servicios en la nube.
12. Por su parte, el NIST identifica cinco caractersticas asociadas al modelo Cloud:
Caractersticas
Cloud Computing
Autoservicio bajo demanda:
El cliente puede solicitar recursos, sin interaccin personal con el proveedor
Amplio acceso a travs de redes:
Acceso estndar a travs de la red para todo tipo de dispositivos (PCs, tablets, smartphones)
Agrupacin de recursos:
Los recursos de computacin se encuentra agrupados para multiples clientes, con asignacin de recursos
dinmica. El cliente percibe deslocalizacin de recursos pero se puede especificar la localizacin a un
alto nivel
Elasticidad rpida:
La capacidad es escalable rpidamente de acuerdo con la demanda requerida por parte del cliente
Servicio medido:
El uso de recursos puede ser medido, monitorizado y controlado de modo transparente tanto por el cliente
como para el proveedor

13. Cabe destacar adems la posible dependencia de terceros en los servicios de cloud
computing. La tendencia mayoritaria apunta hacia externalizar los servicios de
computacin en la nube a terceros delegando en ellos todas las tareas de mantenimiento,
adquisicin de sistemas, gestin de la capacidad, etc. Si bien esto es considerado
generalmente como una ventaja, debe tenerse en cuenta que esta caracterstica nunca debe
conllevar una prdida del control de la informacin, o una despreocupacin por la
seguridad, debido a que la responsabilidad final siempre recae en el organismo contratante.
A la hora de contratar estos servicios es fundamental estudiar adecuadamente las
condiciones del servicio y las medidas de seguridad aplicadas para confirmar que son
adecuadas para los requisitos exigidos a la organizacin cliente.
4.2. MODELOS DE DESPLIEGUE
14. Ante el abanico de despliegues posibles a la hora de crear un entorno de cloud computing
se han clasificado las infraestructuras en pblicas, privadas, comunitarias o hbridas. A
continuacin se detalla cada uno de ellos.
15. Las nubes pblicas son aquellas que estn preparadas para el uso abierto al pblico en
general. La infraestructura y los recursos estn en manos de terceros y los servicios pueden
ser utilizados y compartidos por usuarios de mltiples organizaciones. Este tipo de nube
presenta una ventaja econmica debido al pago por uso, pero por el contrario tenemos poca
transparencia para la organizacin cliente, debida a la falta de informacin que tendra a
priori del resto de servicios con los que comparte recursos en la nube.
SIN CLASIFICAR
SIN CLASIFICAR
16. Las nubes privadas son aquellas preparadas para el uso exclusivo de una sola
organizacin y que pueden ser gestionadas por la propia entidad, por un tercero o alguna
combinacin de los dos. Una nube privada puede ser interna, si est ubicada en las
instalaciones del cliente o externalizada, si los servidores se encuentran alojados en un
tercero. La ventaja de este tipo de nube con respecto a las nubes pblicas es que aportan
una importante mejora de los niveles de seguridad y de privacidad, ya que nicamente la
organizacin tiene acceso a esa nube y se dispone de un control amplio de los recursos. El
principal inconveniente de esta nube es la dependencia de la infraestructura contratada y en
ocasiones el coste total asociado, ya que la organizacin tiene que mantener la
infraestructura de la nube.
17. Las nubes comunitarias son aquellas nubes que estn preparadas para ser compartidas
entre varias organizaciones que tienen unas polticas similares (seguridad, privacidad,
cumplimientos normativos). Puede ser gestionada por las propias organizaciones
participantes o por un tercero, y tambin pueden ser internas, si estn implementadas en las
instalaciones de uno de los participantes de la comunidad o externalizadas si los servidores
se encuentran alojados en un tercero. La principal ventaja que ofrece este tipo de nube con
respecto a la privada es la reduccin de costes, debido a que stos son compartidos con
otras organizaciones.
18. Finalmente, las nubes hbridas son aquellas en las que la infraestructura es una
composicin de dos o ms tipos de nube (privada, comunitaria o pblica) que mantienen su
propia identidad pero que son unidas por una tecnologa estandarizada que permite la
portabilidad de las aplicaciones y de los datos.
4.3. MODELOS DE SERVICIO
19. El cloud computing ofrece una serie de modelos de servicio claramente diferenciados que
se detallan a continuacin:
20. IaaS (Infrastructure as a Service) es el nivel ms bajo de servicio. Se encarga de entregar
una infraestructura de procesamiento completa al usuario, normalmente mediante una
plataforma de virtualizacin. El proveedor se encarga de la administracin de la
infraestructura y el cliente tiene el control sobre los sistemas operativos, almacenamiento y
aplicaciones desplegadas, as como el control de los componentes de red.
21. PaaS (Platform as a Service) es un nivel intermedio que se encarga de entregar una
plataforma de procesamiento completa a la organizacin cliente. El consumidor no
administra ni controla la infraestructura, pero tiene el control sobre las aplicaciones
instaladas y su configuracin, y puede incluso instalar nuevas aplicaciones.
22. Finalmente, SaaS (Software as a Service) es aquel en el que el cloud provider es el
encargado de ofrecer al consumidor el software como un servicio a travs de Internet. Las
aplicaciones son accesibles desde varios dispositivos cliente a travs de una interfaz de
cliente ligero, como por ejemplo un navegador web; el cliente no administra ni controla la
infraestructura en que se basa el servicio que utiliza. Las suites ofimticas a las que se
puede acceder online son un buen ejemplo de este modelo.

SIN CLASIFICAR
SIN CLASIFICAR
Desarrolladores
M
a
y
o
r

c
o
n
t
r
o
l
N
i
v
e
l

d
e

a
b
s
t
r
a
c
c
i
n
SaaS
PaaS
IaaS
Usuario final
Arquitectura TI

23. En trminos generales, en funcin del tipo de servicio contratado, conforme va
incrementndose el nivel de abstraccin disminuye el control que el cliente tiene sobre la
infraestructura. Del mismo modo cuanto mayor control tiene la organizacin cliente sobre
la infraestructura que proporciona el servicio, mayor nivel de seguridad y control puede
aplicar sobre sta y por tanto sobre la informacin tratada.
4.4. ASPECTOS RELATIVOS A LA SEGURIDAD DE LA INFORMACIN
24. La adopcin del cloud computing como estrategia para soportar los servicios TIC ofrecidos
por distintos organismos introduce un amplio nmero de ventajas para stos, como la
reduccin de costes o la flexibilidad en la incorporacin de nuevos recursos; sin embargo
la adopcin de este nuevo paradigma tecnolgico introduce nuevos riesgos que es
necesario controlar para poder prestar un servicio que garantice los requisitos exigibles por
los marcos legales existentes, como el ENS o la normativa vigente en materia de
proteccin de datos personales, as como por los requisitos de seguridad que en cada caso
las organizaciones establezcan como necesarios.
25. En lnea con lo anteriormente citado en relacin al cumplimiento de requisitos de
seguridad, el modo de afrontar dicho cumplimiento legal o normativo difiere en funcin de
que la infraestructura de cloud computing sea propiedad y est administrada por un tercero
o lo est por el propio organismo. En el supuesto de que sea el organismo el propietario y
administrador de la infraestructura sobre la que se despliegan los servicios cloud
computing, la completa adecuacin efectiva a la normativa vigente recae en dicho
organismo, mientras que en el caso de estar la infraestructura operada por un tercero, ste
deber cumplir los requisitos establecidos en la normativa de seguridad que sean
requeridos a los prestadores de servicios, detallado ms adelante en esta gua. En cualquier
caso, la responsabilidad del cumplimiento del ENS o de cualesquiera otras normas de
obligado cumplimiento, as como del correcto tratamiento de los datos en trminos
generales desde el punto de vista de su seguridad, recaer siempre sobre el organismo
propietario de la informacin, con independencia de la existencia de acuerdos, seguros u
otras medidas compensatorias.

SIN CLASIFICAR
SIN CLASIFICAR
5. GESTIN DE RIESGOS
26. Uno de los principios bsicos sobre los que se sustenta el ENS a la hora de garantizar la
seguridad de la informacin es la gestin de riesgos, lo que queda reflejado en el artculo 4
del propio Real Decreto. Para llevar a cabo esta gestin de la seguridad orientada a la
gestin de riesgos, se establece como uno de los requisitos para la correcta adecuacin la
realizacin de un anlisis que identifique los principales riesgos a los que el organismo se
encuentra expuesto.
27. En este sentido la utilizacin de servicios de cloud computing ya sea en modalidad IaaS,
PaaS o SaaS provistos por un tercero para soportar los sistemas de informacin de un
organismo, introduce una serie de riesgos que debern ser objeto de estudio. Al igual que
cualquier cambio significativo sobre los sistemas de informacin, previo a la contratacin
la organizacin cliente deber revisar el anlisis de riesgos existente siguiendo las pautas
marcadas en apartado [op.pl.1] del ENS. Esta revisin deber identificar las dependencias
de los servicios que vayan a verse afectados por este cambio y las amenazas inherentes a la
delegacin del servicio en un tercero.
28. Por lo que respecta a estas dependencias, el anlisis de riesgos deber incluir a los actores
que tomen parte en la prestacin del servicio cloud computing, los cuales son por norma
general el propio proveedor de servicios cloud (CSP) y el proveedor de comunicaciones
(ISP), as como las dependencias existente entre estos proveedores con los servicios y la
informacin que gestionan los sistemas de informacin de la entidad.
29. A continuacin se detallan las amenazas propias de estos proveedores de servicios de cloud
computing. No obstante, este listado es susceptible de modificaciones en funcin de la
naturaleza del servicio. Estas amenazas han sido extradas del catlogo propuesto por
MAGERIT.
Amenaza/Proveedor CSP ISP
(I.8) Fallo de servicios de comunicaciones
(E.1) Errores de los usuarios
(E.2) Errores del administrador del sistema/ de la
seguridad

(E.9) Errores de [re-]encaminamiento
(E.10) Errores de secuencia
(E.15) Alteracin de la informacin
(E.18) Destruccin de la informacin
(E.19) Fugas de informacin
(E.24) Cada del sistema por agotamiento de recursos
(A.5) Suplantacin de la identidad del usuario
(A.6) Abuso de privilegios de acceso
(A.7) Uso no previsto
(A.9) [Re-] encaminamiento de mensajes
(A.10) Alteracin de la secuencia
(A.11) Acceso no autorizado
(A.13) Repudio (negacin de actuaciones)
(A.15) Modificacin de la informacin

(A.18) Destruccin de la informacin
(A.19) Revelacin de la informacin

(A.24) Denegacin de servicio
(A.26) Ataque destructivo

SIN CLASIFICAR
SIN CLASIFICAR
30. Por otra parte, existen riesgos asociados a la prestacin de servicios cloud computing que
no se encuentran reflejados en el catlogo de MAGERIT; algunos ejemplos de stos
pueden ser los siguientes:
Incumplimiento normativo.
Incumplimiento contractual.
Problemas en migracin de datos (interoperabilidad).
Omisin de notificacin de incidencias.
Aislamiento de infraestructura insuficiente.
Subcontratacin de servicio por parte del proveedor no controlada.
Borrado inseguro.
Mal uso de recursos.
31. La organizacin deber realizar una identificacin de amenazas correcta que permita la
ejecucin de un anlisis de riesgos segn lo especificado en [op.pl.1] o la revisin del ya
existente, en funcin de la categora del sistema o sistemas que se ubiquen en la nube. La
revisin del anlisis permitir identificar el nivel de riesgo que este cambio de paradigma
introduce en un organismo.
32. En cualquier caso, una entidad que considere la contratacin de servicios cloud deber
tener en cuenta que las principales medidas para mitigar los riesgos asociados a este tipo de
servicios son las recogidas en los puntos: [op.acc] Control de acceso, [op.cont]
Continuidad del servicio, [op.ext] Servicios externos y [mp.com] Proteccin de las
comunicaciones, del anexo II del ENS.
33. La adopcin del cloud computing depender de los niveles de riesgo residuales resultantes
tras la aplicacin de salvaguardas, los criterios de aceptacin de riesgos existentes y la
disposicin de la Direccin para tomar las medidas adecuadas para reducir dicho nivel de
riesgo. Los riesgos residuales tras la adopcin de un paradigma cloud, como en cualquier
otro caso, deben ser aprobados por los responsables de la Organizacin antes de poner el
sistema en produccin.
SIN CLASIFICAR
SIN CLASIFICAR
6. CONTRATACIN Y ACUERDOS DE NIVEL DE SERVICIO
34. En cuanto a la prestacin de servicios de cloud computing por parte de un tercero la
primera medida a implantar es la que recoge el apartado [op.ext.1] Contratacin y acuerdos
de nivel de servicio del Anexo II del ENS. Esta medida se encuentra desarrollada a su vez
en la Gua CCN-STIC-804, Gua de implantacin.
35. La medida recoge la necesidad de establecer una serie de requisitos contractuales en la
prestacin del servicio, debiendo contemplar las caractersticas del servicio prestado y las
responsabilidades de ambas partes. A su vez se definirn acuerdos de nivel de servicio para
garantizar la calidad del servicio prestado.
36. Cabe tener en cuenta el Real Decreto Legislativo 3/2011 por el que se aprueba el Texto
Refundido de la Ley de Contratos del Sector Pblico, el cual regula los procedimientos de
contratacin de las Administraciones Pblicas. Los servicios de cloud computing se
encuentran tipificados como contratos de servicio, de acuerdo con el artculo 10 de dicho
Real Decreto. La flexibilidad para realizar cambios sobre las caractersticas del servicio
cloud, as como el pago por uso, requieren la adaptacin de los modelos contractuales por
parte de las Administraciones Pblicas. Estos contratos debern reflejar al menos los
siguientes aspectos:
Descripcin del servicio.
Tipo de servicio.
Tipo de infraestructura.
Capacidad del servicio.
Confidencialidad del servicio.
Acuerdos de nivel de servicio (niveles, tiempos de respuesta, penalizaciones, etc.).
Portabilidad del servicio
Modo de acceso al servicio.
Responsabilidades y obligaciones.
Seguimiento del servicio.
Finalizacin del servicio.
Requerimientos legales.
Requisitos para el cumplimiento del ENS.
Anlisis de riesgos.
Gestin del personal.
Autorizacin y control de acceso.
Proteccin de las instalaciones.
Seguridad por defecto.
Integridad y actualizacin del sistema.
Gestin de cambios.
Proteccin de la informacin almacenada y en trnsito.
SIN CLASIFICAR
SIN CLASIFICAR
Prevencin ante otros sistemas de informacin interconectados.
Registro de actividad.
Gestin de incidencias.
Procedimiento de borrado de informacin.
Respaldo y recuperacin de datos.
Continuidad del servicio.
Requerimientos para la proteccin de datos personales.
6.1. DESCRIPCIN DEL SERVICIO
37. Uno de los requisitos principales que debe reflejarse contractualmente es la descripcin
detallada del servicio que el proveedor va a prestar. Esta descripcin debe incluir los
acuerdos de nivel de servicio y todas las especificaciones del mismo, preferentemente
segn lo especificado en el ENS ([op.pl.2]).
38. Por otra parte el contratante deber reflejar la categora del sistema que albergar en la
nube en los requisitos facilitados al proveedor, de forma que ste conozca esta informacin
y aplique las medidas de seguridad correspondientes en cada caso.
6.1.1. TIPO DE SERVICIO
39. Para determinar el tipo de servicio se tendrn en cuenta las necesidades de la organizacin
y en funcin de estas necesidades se deber optar por un servicio IaaS, PaaS o SaaS de
acuerdo a lo especificado en puntos anteriores. Algunos de los elementos a considerar para
elegir el tipo de servicio son los siguientes:
40. Las soluciones SaaS proporcionan un software como servicio, integrando una gran
cantidad de funciones y herramientas. La implementacin se delega en el proveedor, as
como gran parte de las medidas de seguridad a implantar.
41. Las soluciones PaaS proporcionan entornos para desplegar aplicaciones desarrolladas. La
organizacin cliente dispone de ms control sobre el entorno y por tanto es responsable
final de la seguridad de las aplicaciones.
42. Por ltimo las soluciones IaaS proporcionan una infraestructura, por norma general
virtualizada, en la que el cliente es responsable del software que esa infraestructura
soportar, incluyendo los sistemas operativos y aplicaciones base. En este modelo la
implementacin de la seguridad de la informacin en su mayor parte es responsabilidad de
la organizacin cliente, por lo que a priori puede considerarse el modelo de servicio cloud
que mayor nivel de control proporciona a la organizacin.
6.1.2. TIPO DE INFRAESTRUCTURA
43. En cuanto al tipo de infraestructura, se deber seleccionar la ms adecuada para la
organizacin en funcin del nivel de seguridad requerido.
44. Aunque en muchas ocasiones los criterios inciales de migracin de servicios a la nube son
econmicos, a la hora de determinar el tipo de infraestructura ptima para esta migracin
cada organismo deber tener en cuenta criterios de seguridad que puedan determinar el tipo
de infraestructura a elegir; en funcin de este tipo de infraestructura puede existir un uso de
recursos de modo compartido con otras organizaciones, lo que puede comprometer la
SIN CLASIFICAR
SIN CLASIFICAR
seguridad de la informacin albergada o simplemente no ser acorde a las polticas de
seguridad definidas en la organizacin.
45. La seleccin del modelo de infraestructura vendr condicionado por la categorizacin de la
informacin gestionada por el Sistema, en su parmetro de confidencialidad, siendo los
requisitos mnimos los dispuestos en la siguiente tabla:
Infraestructura N/A Bajo Medio Alto
Nube pblica
Nube comunitaria
externalizada

Nube comunitaria interna
Nube privada externalizada
Nube privada interna
46. A la vista de esta tabla, es necesario hacer hincapi en que para sistemas cuyo parmetro
de confidencialidad sea ALTO los nicos entornos cloud aceptables son los internos (nube
privada o comunitaria, a determinar por cada organizacin).
6.1.3. CAPACIDAD DEL SERVICIO
47. El acuerdo contractual reflejar los recursos que conformarn el servicio. Estos recursos
contemplarn aspectos como capacidad de procesamiento, almacenamiento o
comunicaciones, siempre que se encuentren recogidos dentro del mbito de la prestacin
del servicio. Estos recursos sern requeridos por el cliente en funcin del estudio previo de
sus necesidades y debern ser descritos en la descripcin del servicio prestado, de acuerdo
con el punto [op.pl.4] Dimensionamiento / gestin de capacidades del Anexo II del ENS.
48. En el caso de un servicio SaaS la medida de la capacidad del servicio vendr determinada
por el propio proveedor, pudiendo estar basada en nmero de registros, instancias del
software, nmero de usuarios concurrentes o cualquier otra medida generalmente referida a
las funcionalidades del software contratadas. Sea cual sea el baremo para determinar la
capacidad del servicio contratado, sta deber figurar expresamente en el acuerdo, as
como las medidas de penalizacin a adoptar en el caso de aquellos parmetros de
capacidad no se cumplan.
49. En el caso de PaaS y de IaaS es ms frecuente medir la capacidad del servicio en trminos
de ciclos de CPU, ancho de banda o capacidad de almacenamiento en disco, llegando en el
caso de IaaS incluso a poder requerir las caractersticas del hardware contratado: tamao
de disco, memoria RAM, tipo de procesador, CPU, transferencia de datos
50. En cualquier caso y con independencia de la forma de medir la capacidad del servicio, es
necesario especificar las condiciones bajo las que se podr modificar la capacidad
contratada, ya sea para aumentarla o reducirla, incluso en tiempo real segn la demanda de
cada momento. La organizacin debe definir y reflejar convenientemente unos valores
mximos y mnimos entre los cuales la asignacin de recursos se haga de forma automtica
o semiautomtica, sin necesidad de modificaciones sustanciales en los acuerdos de servicio
con el proveedor.
51. Por ltimo, el cloud provider debe proporcionar herramientas u otros recursos que
permitan a la organizacin contratante medir la capacidad del servicio y su rendimiento, de
forma que se tengan datos fiables para garantizar que ante subidas o bajadas de carga la
plataforma ha seguido trabajando con valores acordes a los servicios contratados.
SIN CLASIFICAR
SIN CLASIFICAR
6.1.4. CONFIDENCIALIDAD DEL SERVICIO
52. El proveedor debe comprometerse en el contrato a mantener la confidencialidad en el
tratamiento de la informacin proporcionada por la organizacin cliente. Esto implica,
adems del cumplimiento legal en materia de proteccin de datos, que el cloud provider
debe comprometerse por escrito a no divulgar o acceder indebidamente a la informacin
sin la autorizacin expresa de su propietario (la organizacin cliente), ms all de las
necesidades que se requieran para ofrecer los servicios prestados, as como a implantar
unos controles de acceso adecuados segn [op.acc.2].
6.1.5. ACUERDOS DE NIVEL DE SERVICIO
53. Aparte de lo indicado en el apartado anterior relativo a capacidad en la prestacin de
servicios cloud, como en cualquier otro servicio que implique a terceros, deben
establecerse acuerdos de nivel de servicio (Service Level Agreement - SLA) detallados, tal y
como recoge el punto [op.ext.1] del Anexo II del ENS. Estos SLAs deben ser aceptables
para la organizacin cliente y el servicio que prestar mediante el entorno cloud y debern
reflejar aspectos referentes a capacidad, disponibilidad, continuidad o gestin de
incidencias, as como peticiones de cambio, entre otros, con al menos los siguientes
criterios:
54. Capacidad: se definirn desviaciones de carga que el proveedor deber asumir. Del mismo
modo se definirn tiempos de notificacin cuando se detecte insuficiencia de recursos.
55. Disponibilidad: se establecern porcentajes de disponibilidad del servicio en funcin de la
criticidad del mismo, identificndose si hubiera periodos crticos en los que se requieren
mayores niveles de disponibilidad.
56. Continuidad: se definirn tiempos de recuperacin para los sistemas de informacin en
lnea con los criterios de valoracin de disponibilidad de los sistemas definidos en la Gua
CCN-STIC-803 Valoracin en el ENS. En el caso de que la disponibilidad del sistema est
categorizada de nivel ALTO, el tiempo de recuperacin ser menor que cuatro horas, para
nivel MEDIO, menor a un da y para nivel BSICO menor que cinco das.
57. Peticiones de cambio e incidencias: se definirn los tiempos de respuesta y resolucin, as
como el horario de atencin a peticiones de cambio realizadas por la organizacin cliente o
incidencias reportadas automtica o manualmente.
58. De cada SLA, se requerir la definicin de los siguientes aspectos:
Parmetro: identificador del SLA.
Frmula: descripcin del clculo para la obtencin del SLA.
Umbrales: valores correctos en la prestacin del servicio.
Penalizacin: frmula para aplicar las penalizaciones por incumplimiento de SLA.
59. Por otra parte se definir la periodicidad de los informes de cumplimiento de los SLA, as
como las penalizaciones por incumplimiento de los mismos.

SIN CLASIFICAR
SIN CLASIFICAR
6.1.6. PORTABILIDAD DEL SERVICIO
60. Para poder garantizar la interoperabilidad y la portabilidad de servicios y datos, se debern
establecer requisitos que limiten la dependencia respecto a un proveedor y posibiliten la
devolucin o portabilidad tanto de informacin como servicios en caso de cambio o
finalizacin del servicio. En este sentido se debern cumplir los requisitos exigidos por el
Esquema Nacional de Interoperabilidad (ENI), contemplando aspectos como protocolos de
comunicacin e intercambio, modelos de datos, firma y certificados digitales, entre otros.
6.1.7. MODO DE ACCESO AL SERVICIO
61. El acceso al servicio cloud se realizar siempre a travs de entornos seguros, haciendo uso
de protocolos que garanticen la confidencialidad de las comunicaciones e implantando
sistemas de autenticacin robustos, siguiendo lo establecido respectivamente en los puntos
[mp.com2], Proteccin de la confidencialidad, y [op.acc.7], Acceso remoto, del Anexo II
del ENS. Se debern definir los protocolos empleados as como el nivel de seguridad
requerido en los mismos, adecundose a las exigencias del sistema al que da acceso; en el
punto correspondiente a Proteccin de la informacin almacenada y en trnsito de la
presente gua se determinan los requisitos del sistema de cifrado para el intercambio de
informacin con el entorno cloud.
62. Para proteger la confidencialidad en sistemas de nivel MEDIO o ALTO, en ningn caso se
acceder al servicio mediante protocolos de comunicacin que no incorporen cifrado de
datos para la informacin en trnsito.
63. Ms all de la confidencialidad, de acuerdo con lo establecido con el punto [mp.com.3],
Proteccin de la autenticidad y de la integridad, del Anexo II del ENS, se debern
contemplar aspectos relativos a la autenticidad en las comunicaciones, mediante la
implementacin de sistemas de autenticacin y el uso de certificados digitales que
garanticen la identidad de las partes en los mecanismos de comunicacin implicados en el
acceso a los sistemas cloud.
6.1.8. RESPONSABILIDADES Y OBLIGACIONES
64. Otro de los aspectos que deber reflejarse formalmente en la descripcin del servicio es la
especificacin de las funciones de cada parte, as como las responsabilidades y
obligaciones de las mismas.
65. En el presente apartado se establecen las responsabilidades mnimas que debern estar
cubiertas en cada caso.
66. Por parte del proveedor se deben considerar las siguientes responsabilidades mnimas:
Cumplir con las medidas de seguridad requeridas.
Realizacin de mantenimiento y actualizacin de sistemas.
Notificar todos los incidentes que pueden comprometer la seguridad del servicio o de
la informacin de la organizacin cliente.
Realizar la entrega de informes de monitorizacin de servicios.
Realizar auditoras que demuestren el adecuado cumplimiento normativo.
Garantizar el correcto funcionamiento de los servicios contratados cumpliendo con los
niveles de servicio fijados en los SLAs.
SIN CLASIFICAR
SIN CLASIFICAR
Mantener el principio de confidencialidad durante y tras la finalizacin de la relacin
contractual.
67. Por parte del cliente se considerarn las siguientes responsabilidades mnimas:
Designar representantes del cliente con autoridad y capacitacin para la toma de
decisiones ante cambios.
Notificar las incidencias y las peticiones de servicio al proveedor haciendo uso de los
canales establecidos para tal fin.
Revisar el cumplimiento de los niveles de servicio contratados.
Solicitar las auditoras realizadas por el proveedor.
68. Por otra parte, se debern definir e identificar las responsabilidades tanto por parte del
cliente como por parte del proveedor, asociadas a los procedimientos de coordinacin para
mantenimiento de sistemas, gestin de incidencias y actuacin ante desastres, tal y como
recoge el punto [op.ext.2], Gestin diaria, del Anexo II del ENS.
69. De un modo ms grfico, se presenta a continuacin la asignacin de responsabilidades
entre el cliente y el proveedor en el mbito de la prestacin de servicios cloud, siguiendo
una estructura de matriz RACI (Responsible, Accountable, Consulted, Informed).
Tarea Cliente Proveedor
Cumplimiento de medidas de seguridad
A R
Notificacin de incidentes
A R
Informes de monitorizacin de servicios
A R
Auditoras de cumplimiento
A R
Cumplimiento de SLAs
A R
Confidencialidad de la informacin tratada
A R
Designacin de personal con autoridad
A R
Definicin de canales de comunicacin
A R

Nota: los roles de la matriz RACI se encuentran detallados dentro del Anexo A.1 Matriz RACI
de la Gua CCN-STIC-801, Responsabilidades y funciones.
6.1.9. SEGUIMIENTO DEL SERVICIO
70. La descripcin del servicio deber definir mecanismos para facilitar el adecuado
seguimiento y monitorizacin del servicio. Para esto el cloud provider deber poner a
disposicin del organismo cliente las herramientas que permitan verificar la correcta
prestacin del servicio de acuerdo a lo estipulado contractualmente, as como definir
procedimientos para la coordinacin y comunicacin entre cliente y proveedor ante
desviaciones, incidentes, peticiones o cambios en el servicio. Los aspectos requeridos para
el seguimiento del servicio quedan detallados posteriormente en el apartado de
Seguimiento del servicio, de este mismo documento.

SIN CLASIFICAR
SIN CLASIFICAR
6.1.10. FINALIZACIN DEL SERVICIO
71. La finalizacin del servicio deber estar recogida en la descripcin del propio servicio,
identificando la necesidad de que el proveedor elimine la informacin de acuerdo con las
medidas establecidas en el punto [mp.si.5], Borrado y destruccin, del Anexo II del ENS o
devuelva la misma a la finalizacin de la relacin contractual y debiendo constar esto en
una clusula junto al tiempo que tardar el proveedor en realizar la destruccin o migracin
de los datos, definiendo as el periodo de tiempo para la ejecucin de la migracin o
destruccin de la informacin tras la rescisin del contrato.
6.2. REQUERIMIENTOS LEGALES
72. La mayora de los servicios prestados por entidades a travs de la nube parten de la
contratacin a un tercero de servicios en la nube, dado que estos servicios no suelen
desarrollarse internamente en las organizaciones. La externalizacin del servicio significa
que la informacin estar albergada en la infraestructura del tercero, lo que conlleva que el
servicio estar expuesto a determinados riesgos con potenciales implicaciones legales,
como son los siguientes:
Incumplimiento de SLA.
Incumplimiento de acuerdo de confidencialidad.
Incumplimiento de la legislacin aplicable.
73. Por lo que respecta a la legislacin que afecta a la contratacin de servicios cloud, es de
obligado cumplimiento al menos la legislacin referente a Proteccin de Datos de Carcter
Personal (LOPD y su Reglamento de desarrollo, RDLOPD), legislacin referente a
Servicios de la Sociedad de la Informacin (LSSI) y legislacin de cumplimiento
obligatorio por Administraciones Pblicas en mbito TIC (ENS y ENI). A continuacin se
indican los requisitos obligatorios para las partes en cada caso.
6.2.1. REQUISITOS PARA EL CUMPLIMIENTO DEL ENS
74. En lo referente al cumplimiento del ENS por parte de los prestadores de servicios cloud,
todos los proveedores debern cumplir lo estipulado en el apartado [op.ext] Servicios
externos, de acuerdo lo establecido en el Anexo II del ENS y lo definido en esta gua.
75. Por otra parte los servicios prestados por un proveedor de cloud computing debern contar
con una serie de medidas para garantizar la seguridad de la informacin y el cumplimiento
legal. Por este motivo, y tal y como se ha especificado con anterioridad, previamente a la
contratacin el solicitante deber notificar al proveedor la categora del sistema que va a
albergar la nube, indicando tanto el nivel final del sistema como la categorizacin que se
ha realizado de los parmetros DICAT.
76. Por lo que respecta al proveedor de servicios cloud, en primer lugar deber incluir en la
descripcin tcnica del servicio, el nivel de seguridad referente al ENS al que son capaces
de dar cumplimiento en la prestacin de servicios cloud. Adems deber garantizar el
cumplimiento de las medidas del Anexo II que sean requeridas para los sistemas objeto de
prestacin del servicio. Estas medidas son de ndole organizativa, operacional o de
proteccin dentro de la clasificacin establecida en el Anexo II del ENS: marco
organizativo, marco operacional y medidas de proteccin.

SIN CLASIFICAR
SIN CLASIFICAR

Medidas organizativas
Medidas de alto nivel enfocadas a la estructura de la
organizacin, que deben ser promovidas por Direccin. Como el
establecimiento de una poltica y una normativa de seguridad, la
asignacin de roles y funciones, una correcta segregacin de
tareas, entre otros.
Medidas operacionales
Medidas destinadas a garantizar y planificar la correcta operativa de
los sistemas de informacin, as como de la infraestructura que los
soporta. Como puede ser medidas para la seguridad de los entornos
en explotacin, medidas para la gestin de servicios prestados por
terceros o aspectos referentes a continuidad de negocio
Tipo de medidas
Medidas de proteccin
Medidas destinadas a preservar la seguridad de activos concretos de
distinta naturaleza. Como puede ser las referentes a seguridad fsica
de instalaciones e infraestructura, gestin de RRHH o proteccin de
las comunicaciones.

77. El cumplimiento de estas medidas deber ser reflejado en el contrato o pliego de
condiciones suscrito entre ambas entidades.
78. A su vez la organizacin cliente, como responsable de los posibles riesgos que afecten
tanto a la informacin como a los servicios prestados, deber disponer de un determinado
nivel control sobre tales servicios. En este sentido y para garantizar el cumplimiento de las
medidas de seguridad obligatorias en cada caso, la organizacin deber evaluar la
conveniencia de disponer del derecho de auditora, con la profundidad correspondiente,
sobre el proveedor de servicios o de solicitar a ste la siguiente documentacin siempre
que lo considere necesario:
Una declaracin de aplicabilidad de las medidas a aplicar.
Una auditora que verifique mediante evidencias el cumplimiento de las medidas de
seguridad del Anexo II del ENS requeridas de acuerdo con el nivel del sistema. Esta
auditora deber ser realizada por un tercero independiente, cuyos auditores puedan
acreditar experiencia y formacin en auditora de sistemas de informacin.
79. En ocasiones los proveedores de servicios cloud disponen de Sistemas de Gestin de
Seguridad de la Informacin certificados de acuerdo con referentes internacionales, como
la norma ISO 27001, cuyo alcance incluye los servicios de cloud computing; aunque la
organizacin cliente debe evaluar en cada caso la conveniencia de que sus proveedores
dispongan de estas acreditaciones, es necesario recordar que disponer de stas NO
garantiza en ningn momento el cumplimiento del ENS por parte del proveedor.
80. Por otra parte adems de las medidas de seguridad exigidas, como detalla el apartado 3 del
artculo 15 del ENS, se deber exigir al cloud provider que cuente con unos niveles
idneos de gestin y madurez en los servicios prestados. Para ello se solicitar al cloud
provider que acredite que los procesos que sustentan la provisin del servicio se
encuentran definidos e implantados y que a su vez el propio servicio cuenta con unos
niveles de calidad adecuados. En este sentido si los servicios de cloud se encuentran
incluidos en el alcance de un Sistema de Gestin de Servicios TI certificado bajo la norma
ISO 20000, ser considerado justificacin suficiente de unos niveles de gestin y madurez
apropiados en la prestacin del servicio.
81. En cualquier caso, deber requerirse siempre al proveedor que cumpla los requisitos
mnimos establecidos por el ENS y las medidas de seguridad recogidas a continuacin en
la presente gua, las cuales se detallan en los siguientes puntos.
SIN CLASIFICAR
SIN CLASIFICAR
6.2.1.1. ANLISIS DE RIESGOS
82. En lnea con los requisitos mnimos establecidos por el ENS, el cloud provider deber
disponer de un anlisis de riesgos realizado siguiendo una metodologa reconocida
internacionalmente cuyo alcance incluya los servicios objeto de la prestacin y deber
realizar revisiones peridicas del anlisis para considerar cualesquiera situaciones que
puedan modificar en el tiempo sus parmetros de riesgo. Este anlisis deber cumplir con
lo establecido en el punto [op.pl.1] Anlisis de riesgos del Anexo II del ENS. Del mismo
modo deber disponer un plan de tratamiento de riesgos que recoja las medidas a implantar
para mitigar los riesgos no asumibles por la organizacin.
83. El cloud provider deber aportar evidencia de la existencia de dicho anlisis de riesgos
actualizado, as como de una correcta gestin de los riesgos resultantes.
6.2.1.2. GESTIN DE PERSONAL
84. Adems de las funciones y obligaciones que se debern establecer entre cliente y
proveedor, este ltimo deber designar un Responsable de Seguridad de la organizacin
que haga las funciones de interlocutor directo con el Responsable de Seguridad del
organismo cliente.
85. Del mismo modo se deber garantizar que todo el personal participante en la provisin del
servicio mantenga la confidencialidad de la informacin tratada tanto de forma directa
durante la prestacin del servicio como a la finalizacin de ste.
6.2.1.3. AUTORIZACIN Y CONTROL DE ACCESO
86. El acceso a la informacin en plataforma cloud debe limitarse en todo momento al personal
debidamente autorizado y se realizar siempre bajo la premisa de la necesidad de conocer
(need to know). Para ello la plataforma cloud puesta a disposicin del cliente deber contar
con controles de acceso lgico que contemplen:
Identificadores nicos de usuario.
Mecanismos de autenticacin de acuerdo con el nivel de seguridad del sistema tal y
como se especifica en el punto [op.acc.5] Mecanismo de autenticacin del Anexo II
del ENS.
Limitacin de acceso a recursos por parte de usuarios de acuerdo con las funciones
asignadas al usuario.
6.2.1.4. PROTECCIN DE LAS INSTALACIONES
87. El Centro de Proceso de Datos (CPD) que albergue los sistemas de informacin del cloud
provider deber contar con medidas de seguridad que garanticen la integridad de los
sistemas de informacin. Del mismo modo dispondrn de medidas para controlar el acceso
fsico al mismo y un registro de todos los accesos.
88. Se deber solicitar al proveedor informacin referente a las medidas de seguridad
implantadas en el Centro de Proceso de Datos para confirmar que son acordes a los
requisitos de seguridad de la organizacin cliente.

SIN CLASIFICAR
SIN CLASIFICAR
6.2.1.5. SEGURIDAD POR DEFECTO
89. Deber realizarse un bastionado de los sistemas de informacin de manera que se
implemente una configuracin segura por defecto; para esto debern seguirse las guas
CCN-STIC correspondientes en los casos en los que sean de aplicacin o, fuera del mbito
de la Administracin Pblica, estndares reconocidos sectorial, nacional o
internacionalmente, cubriendo al menos los siguientes aspectos:
Se limitarn todas las funcionalidades tcnicas de los sistemas que no sean requeridas.
Se limitar el acceso a la administracin y al registro de actividad nicamente al
personal autorizado.
Se inhabilitarn cuentas de usuario innecesarias.
Se establecern bloqueos de sesin por tiempo de inactividad.
Se establecer un lmite de nmero de intentos de acceso fallidos.
90. Como evidencia de cumplimiento de estos controles, la organizacin solicitar al
proveedor de servicios la documentacin que defina el proceso de bastionado de la
infraestructura o plataforma en la que se hospedar la informacin corporativa.
6.2.1.6. INTEGRIDAD Y ACTUALIZACIN DEL SISTEMA
91. El cloud provider deber garantizar que se identifican y gestionan las vulnerabilidades de
la infraestructura que da soporte a los servicios de cloud, llevando a cabo las
actualizaciones pertinentes. Para ello deber disponer de un procedimiento de gestin de
parches y vulnerabilidades definido, implantado y auditado sobre los sistemas que darn
servicio a la organizacin.
92. Este procedimiento o las evidencias de cumplimiento asociadas que en cada caso se
consideren por ambas partes, deber ser facilitado a la organizacin para que sta verifique
que es acorde a sus requisitos de seguridad y no introduce riesgos no asumibles en el
tratamiento de la informacin ubicada en el entorno cloud.
6.2.1.7. GESTIN DE CAMBIOS
93. De acuerdo con el ENS los sistemas afectados debern disponer de un procedimiento de
gestin de cambios ([op.exp.5]). En este sentido los cambios realizados por el proveedor
debern ser tenidos en cuenta en la gestin de cambios de la organizacin cliente, por lo
que debern establecerse requisitos y controles para el proveedor que garanticen que los
cambios del proveedor cloud no impacten en los servicios de la organizacin cliente.
94. Esta medida es exigible para todos los sistemas que sean categorizados con un nivel
MEDIO o superior, aunque la organizacin debe evaluar la conveniencia de implementar
la medida en los sistemas de nivel BSICO. El cloud provider deber informar a la
organizacin cliente de, al menos, los siguientes aspectos:
Notificacin de los cambios que puedan afectar al servicio.
Procedimiento de solicitud de cambios.
Proceso de autorizacin de cambios.
Asignacin de responsabilidades referentes a cambios.
Tareas de mantenimiento y actualizacin de recursos.
SIN CLASIFICAR
SIN CLASIFICAR
6.2.1.8. PROTECCIN DE LA INFORMACIN ALMACENADA Y EN TRNSITO
95. Para garantizar la confidencialidad y la integridad de la informacin albergada en la nube,
se debern implantar medidas de cifrado tanto por parte del proveedor de cloud computing
como por parte del cliente. El cifrado deber realizarse en los sistemas de informacin
donde se ubica la informacin, en el trnsito de esta informacin y en los soportes
empleados para el respaldo de la misma. Por tanto son requeridas las medidas definidas en
el ENS en los apartados Cifrado de la informacin ([mp.info.3]), Criptografa en las
comunicaciones ([mp.com.2]) y Criptografa en los soportes de informacin ([mp.si.2]). El
cifrado de la informacin ([mp.info.3]) solo es obligatoria para los sistemas cuya
confidencialidad haya sido clasificada de nivel ALTO, mientras que las restantes medidas
son nicamente exigibles a sistemas categorizados de nivel MEDIO o superior.
96. Debern implementarse los algoritmos y niveles de seguridad definidos en la Gua CCN-
STIC-807 Criptologa de empleo en el ENS.
97. Respecto al cifrado de la informacin en los sistemas de informacin se incluir el cifrado
de ficheros, directorios, discos virtuales y datos en base de datos. Esta medida deber
implantarse en los servicios prestados en modalidad nube. El cifrado solo es obligatorio
para los sistemas clasificados de nivel ALTO y debern tener un nivel de seguridad de al
menos 128 bits.
98. En cuanto al cifrado de las comunicaciones, se deber garantizar en todo momento la
confidencialidad de las mismas. Esta medida se debe implementar en todos los tipos de
servicio empleando protocolos estndar como IPSEC, SSL o TLS, y siendo este cifrado
obligatorio tanto para los sistemas de nivel MEDIO como los de nivel ALTO. Los sistemas
categorizados de nivel MEDIO debern tener un nivel de seguridad de al menos 112 bits y
los de nivel ALTO de al menos 128 bits. En este ltimo caso la organizacin debe evaluar
la conveniencia de utilizar dispositivos hardware para el cifrado de datos en trnsito.
99. En cuanto al cifrado de soportes empleados para los respaldos, debern aplicarse siempre
que el proveedor efecte respaldos de la informacin albergada en los servidores, siendo
esta medida exigible tanto para los sistemas de nivel MEDIO como los de nivel ALTO.
Los sistemas categorizados de nivel MEDIO debern tener un nivel de seguridad de al
menos 112 bits y los de nivel ALTO de al menos 128 bits.
100. A continuacin se muestra una tabla con las correspondencias entre los niveles de
seguridad de los sistemas y las longitudes de clave de diferentes algoritmos requeridos en
funcin del nivel de seguridad.
NIVEL Bajo Medio Alto
Cifrado simtrico TDEA
y AES
N/A 112 bits 128 bits
Cifrado basado en
curvas elpticas
N/A 224 255 bits 256 - 283 bits
Cifrado RSA, clave
pblica
N/A 2048 bits 2048 bits

SIN CLASIFICAR
SIN CLASIFICAR
6.2.1.9. PREVENCIN ANTE OTROS SISTEMAS DE INFORMACIN
INTERCONECTADOS
101. Los servicios prestados por un cloud provider externo a la organizacin hacen
habitualmente uso de redes pblicas, por lo que en este sentido el proveedor deber dar
garantas de que la infraestructura est debidamente protegida frente a accesos indebidos o
potenciales ataques externos. Como evidencia de que se ha definido un permetro seguro se
solicitar al proveedor el documento que defina la arquitectura de seguridad o un esquema
que resuma los dispositivos (cortafuegos, IPS, IDS, WAF, etc.) para proteger la
infraestructura donde se hospedarn los datos de la organizacin cliente.
6.2.1.10. REGISTRO DE ACTIVIDAD
102. Uno de los aspectos que persigue el ENS es disponer de trazabilidad de las acciones
realizadas sobre los sistemas de informacin. De esta manera y tambin en lnea con lo
definido por el RDLOPD en su artculo 103 Registro de accesos, los sistemas
proporcionados por el cloud provider debern disponer de registros de acceso que permitan
monitorizar, analizar, investigar y documentar acciones indebidas o no autorizadas, tanto a
nivel operativo como de administracin.
103. Dentro del seguimiento y monitorizacin que el proveedor deber entregar a la
organizacin, se proporcionar un registro de los accesos realizados a las plataformas
puestas a disposicin del cliente.
6.2.1.11. GESTIN DE INCIDENCIAS
104. De acuerdo con el ENS y con el RDLOPD, el proveedor deber disponer de un
procedimiento de gestin de incidencias [op.exp.7]. Esta medida es exigible para todos los
sistemas que sean categorizados con un nivel MEDIO o superior, aunque la organizacin
debe evaluar la conveniencia de implementar la medida en los sistemas de nivel bsico. Se
deber informar a la organizacin cliente de:
Procedimiento de notificacin de incidencias.
Tipologa de incidencias incluidas en el servicio.
Procedimientos especficos ante incidentes de seguridad.
Tiempos de respuesta y resolucin de incidencias/incidentes.
Mantenimiento y gestin del registro de incidencias.
6.2.1.12. PROCEDIMIENTO DE BORRADO DE INFORMACIN
105. De acuerdo con el ENS los sistemas sobre los que se aplique esta regulacin debern
disponer de medidas para el borrado y destruccin de soportes de informacin [mp.si.5]
con independencia de un servicio cloud o prestado de forma convencional. En entornos
cloud la comparticin de recursos puede implicar que la informacin que los sistemas han
albergado llegue a ser comprometida, por lo que debern llevarse a cabo procedimientos de
borrado seguro siempre que se realice una modificacin sustancial o terminacin
contractual. Esta medida es exigible para todos los sistemas cuya confidencialidad haya
sido categorizada con un nivel MEDIO o superior, y el proveedor deber informar a la
organizacin cliente de:
Procedimiento de borrado seguro.
SIN CLASIFICAR
SIN CLASIFICAR
Notificacin y certificacin de borrados acometidos.
6.2.1.13. RESPALDO Y RECUPERACIN DE DATOS
106. En lnea con lo especificado por el ENS y por el RDLOPD, el proveedor deber disponer
de un procedimiento de copias de respaldo que garantice la restauracin de la informacin
como describe [mp.info.9]. Esta medida es exigible para todos los sistemas que sean
categorizados con un nivel BSICO o superior, y el proveedor deber informar a la
organizacin cliente de:
Alcance de los respaldos.
Poltica de copias de seguridad.
Medidas de cifrado de informacin en respaldo.
Procedimiento de solicitud de restauraciones de respaldo.
Realizacin de pruebas de restauracin.
Traslado de copias de seguridad (si aplica).
6.2.1.14. CONTINUIDAD DE LA ACTIVIDAD
107. De acuerdo con el ENS los sistemas afectados debern disponer de medidas para la
continuidad del servicio [mp.cont.2]. Si bien los niveles de disponibilidad, as como los
tiempos de recuperacin en la prestacin de servicios, se encuentran recogidos
contractualmente a travs de los SLAs, se deber solicitar al proveedor evidencia de la
existencia de un plan de continuidad de negocio que garantice la restauracin de los
servicios. Esta medida es exigible para todos los sistemas cuya disponibilidad haya sido
categorizada con un nivel ALTO, y el proveedor deber informar a la organizacin cliente
de:
Existencia de plan de continuidad de negocio.
Evidencia satisfactoria de la ejecucin peridica de pruebas de continuidad.
Anlisis de impacto del servicio cloud computing.
108. Cabe destacar que en la seccin referente a servicios externos, descrito en el punto [op.ext]
del Anexo II del ENS, se detallan los requisitos que deben cumplir en este mbito.
6.2.2. REQUISITOS PARA LA PROTECCIN DE LOS DATOS PERSONALES
109. En lo referente a proteccin de datos personales, siempre que en la prestacin de servicio
se contemple la posibilidad de que el servicio de cloud computing pueda albergar datos
personales debern cumplirse, de forma adicional a los requisitos expuestos por el ENS,
los requisitos establecidos tanto por la LOPD como por el RDLOPD. Estos requisitos estn
definidos en el artculo 12 de la LOPD y en el artculo 82 del RDLOPD, debiendo ser
suscritos contractualmente.
110. Esta situacin regula todo tratamiento realizado en mbito nacional. En este contexto el
proveedor asume el rol de encargado del tratamiento, siendo en todo momento la
organizacin cliente la Responsable del Fichero. El encargado del tratamiento no podr
subcontratar con un tercero la realizacin de servicios que incluyan el tratamiento de los
datos provistos por el cliente, salvo aquellos supuestos en los se disponga de autorizacin
SIN CLASIFICAR
SIN CLASIFICAR
expresa por parte del Responsable del Fichero, como el estipula el artculo 21 del
RDLOPD.
111. Sin embargo los proveedores de servicios cloud computing ms significativos emplean
centros de procesamiento de datos emplazados en terceros pases. En tal caso dicho
servicio implica la realizacin de transferencias internacionales de datos, entendidas como
transmisin de datos fuera del Espacio Econmico Europeo, por lo que stas debern ser
tratadas de acuerdo a lo establecido en los artculos 33 y 34 de la LOPD. Es por esto que
uno de los aspectos que debern contemplarse contractualmente es el emplazamiento de los
datos, para garantizar el cumplimiento de la legislacin vigente en materia de proteccin de
datos personales.
112. Por otra parte la casustica de las transferencias internacionales distingue dos casos
claramente diferenciados de acuerdo con el Captulo II, Transferencias a estados que
proporcionen un nivel adecuado de proteccin (entre las que se incluyen las entidades
estadounidenses adheridas al marco del Safe Harbor), y el Captulo III, Transferencia a
estados que no proporcionen un nivel adecuado de proteccin o . En el segundo de los
casos se requerir declarar la situacin ante la Agencia Espaola de Proteccin de datos y
solicitar autorizacin expresa del Director de la misma, requiriendo adems que el contrato
incluya el clausulado tipo expuesto en la Directiva 2010/87/UE. En l se deben definir las
condiciones de acceso a los datos, las medidas de seguridad a implementar, las normas de
cierre del contrato y la subcontratacin con terceros. El listado actualizado de pases con
un nivel adecuado de proteccin se encuentra disponible en la pgina web de la Agencia
Espaola de Proteccin de Datos.
113. Estos aspectos y otros quedan tratados por el grupo de trabajo de proteccin de datos del
artculo 29 de la Directiva 95/46/CE, en el Dictamen sobre Cloud Computing 05/2012.
Este dictamen recoge los aspectos a tener en cuenta para garantizar la seguridad en la
contratacin de servicios de Cloud Computing en el mbito de la proteccin de datos.
114. En cualquier caso, la Administracin Pblica cliente del servicio deber tener en cuenta la
Ley 30/1992 con respecto a los derechos de los ciudadanos de poder ejercer el derecho de
acceso a la informacin personal contenida en archivos y registros administrativos. Los
lmites establecidos para el acceso de los ciudadanos quedan definidos en la Ley
anteriormente citada; por tanto, se deber garantizar el acceso a los datos de los
ciudadanos, debiendo tomar adems las medidas de seguridad y confidencialidad
adecuadas.

SIN CLASIFICAR
SIN CLASIFICAR
7. SEGUIMIENTO DEL SERVICIO
115. En los servicios prestados por terceros a la organizacin, tan importante es el acuerdo
contractual con el proveedor de servicios como el seguimiento a realizar sobre el servicio
prestado. Para poder tener el control de los servicios, y por tanto tambin poder exigirle al
proveedor el cumplimiento de cualesquiera medidas de seguridad aplicables, es necesaria
una monitorizacin de los mismos.
116. Esto se encuentra reflejado en el punto [op.ext.2.] del Anexo II del ENS Gestin diaria y es
obligatoria nicamente para los sistemas categorizados con un nivel de seguridad MEDIO
o ALTO. Este punto especifica tres aspectos principales a seguir:
La medicin del cumplimiento del servicio y el procedimiento para restaurar las
desviaciones estipuladas contractualmente.
El proceso de coordinacin para el mantenimiento de los sistemas implicados.
El proceso de coordinacin ante incidencias o desastres.
117. En cuanto al primer aspecto y dadas las caractersticas de la prestacin de servicios cloud,
en ocasiones con aspectos relevantes fuera del control de la organizacin cliente y tambin
dada su forma de pago, en funcin del uso, es muy importante reflejar de un modo claro
los trminos del cumplimiento. Es necesario identificar en el contrato los derechos de la
organizacin cliente para poder monitorizar el funcionamiento del servicio y de este modo
poder comprobar el cumplimiento de las medidas de seguridad, los controles y las polticas
que garantizan la integridad, confidencialidad y disponibilidad de los datos, y del mismo
modo poder realizar la comprobacin de que el nivel de prestacin es el pactado. La
definicin y el control de los SLAs son vitales para poder garantizar el cumplimiento de lo
estipulado en el contrato.
118. La organizacin debe monitorizar de forma independiente el cumplimiento de los trminos
establecidos en el contrato, bien a travs de controles tcnicos propios o a travs de la
revisin y aprobacin peridica de los informes de servicio proporcionados por el cloud
provider. Es necesario ejecutar esta monitorizacin sobre al menos los siguientes controles
de seguridad y servicio con independencia de la categora del sistema:
Niveles de calidad, disponibilidad y capacidad del servicio ofrecido, incluyendo el
cumplimiento de las obligaciones de servicio acordadas y la respuesta ofrecida por el
proveedor ante desviaciones significativas.
Gestin de incidentes de seguridad, incluyendo toda la informacin necesaria para
determinar orgenes, objetivos, riesgos asociados a cualquier incidente relevante.
Controles de acceso al entorno cloud, incluyendo listado actualizado de usuarios
autorizados para utilizar los servicios disponibles, y los privilegios asociados en cada
caso.
Cumplimiento normativo y legislativo entre el prestador y el cliente de los servicios,
incluyendo los aspectos de cumplimiento obligatorio por el prestador que
correspondan en cada caso, como auditoras LOPD, ISO, financieras
Situacin actualizada de las medidas de proteccin de la informacin establecidas por
el proveedor, incluyendo aspectos de seguridad fsica, proteccin contra software
malicioso, seguridad del personal, copias de seguridad
SIN CLASIFICAR
SIN CLASIFICAR
Mecanismos de comprobacin regular de los controles de seguridad por parte del
proveedor y resultados de dichas comprobaciones.
119. Toda la informacin de los controles anteriores proporcionada peridicamente por el
proveedor de servicios debe incluir de forma obligatoria cualesquiera anomalas o
desviaciones significativas producidas durante el periodo, as como las acciones ejecutadas
en cada caso como respuesta a estas situaciones susceptibles de introducir riesgos en la
organizacin. Adicionalmente, se deber solicitar al proveedor de servicios la informacin
de auditora y no conformidades exigibles en cada caso para poder verificar que las
medidas de seguridad tomadas por ste son las correctas y oportunas para solventar
desviaciones halladas durante el proceso de auditora.
120. En el caso de sistemas de categora ALTA, se deber solicitar al cloud provider la
informacin relativa a herramientas de deteccin o prevencin de intrusiones [op.mon.1],
en especial la referente a arquitectura y capacidades del IDS/IPS y la referente a
procedimientos operativos de seguridad asociados a las alertas de estos mecanismos.
Peridicamente (la organizacin debe evaluar la periodicidad en cada caso, aunque no debe
ser superior a mensual en trminos generales), el proveedor de servicios debe facilitar una
relacin de las alertas generadas por estos elementos de seguridad, as como un anlisis de
las ms significativas y las medidas adoptadas para mitigar un posible impacto, en caso de
que existan.
121. Tambin en el caso de sistemas de categora ALTA, la organizacin debe establecer
indicadores que midan el desempeo de la seguridad del entorno cloud [op.mon.2] en los
aspectos definidos en el ENS. El establecimiento de este sistema de mtricas estar basado,
en buena parte, en la informacin de servicio facilitada por el proveedor, que debe ser
integrada en el sistema de mtricas de seguridad de la organizacin y, siempre que sea
posible, verificada por la organizacin de forma independiente para confirmar que los
datos remitidos por el cloud provider son correctos y completos.
122. En este sentido, el proveedor deber poner a disposicin del cliente mecanismos que
permitan acceder a la informacin previamente descrita para el seguimiento del servicio.
Estos mecanismos podrn consistir en informes peridicos de seguimiento que deber
entregar el proveedor al cliente o en plataformas que permitan la extraccin de esta
informacin directamente por parte del cliente.
123. Otro aspecto a tratar en la gestin diaria del servicio es el referente a la gestin y
coordinacin del mantenimiento de los sistemas. En este sentido se deber establecer
contractualmente de acuerdo con los requisitos mnimos del ENS, la obligacin de
mantener actualizados los sistemas para garantizar el correcto funcionamiento de los
mismos, as como eliminar las posibles vulnerabilidades que puede afectar a los sistemas.
124. Deber definirse un procedimiento de coordinacin en el mantenimiento de sistemas entre
ambas partes para prevenir paradas o errores en la prestacin del servicio; este
procedimiento estar en lnea con el proceso de gestin de cambio e incluir la notificacin
con suficiente antelacin de la realizacin de mantenimientos por parte del proveedor,
identificando los tiempos en los que puede interrumpirse el servicio. La notificacin se
realizar previa y posteriormente al mantenimiento y tras ste se pedir al cliente
conformidad del correcto funcionamiento del servicio.
125. Por otra parte siempre que el mantenimiento o actualizacin implique un cambio mayor o
pueda suponer el funcionamiento incorrecto de los sistemas de la organizacin cliente, el
proveedor habilitar previamente un entorno actualizado para que el cliente puede verificar
SIN CLASIFICAR
SIN CLASIFICAR
el correcto funcionamiento de sus sistemas en preproduccin. Adems el proveedor deber
informar peridicamente de los mantenimientos y actualizaciones realizados en los
sistemas que albergan los sistemas del cliente.
126. En ltima instancia, se debern establecer mecanismos y procedimientos para la
coordinacin ante incidencias o desastres. Estos mecanismos debern estar en lnea con los
requisitos mnimos establecidos en cuanto a incidentes de seguridad y continuidad de la
actividad.
127. Deber definirse un procedimiento de coordinacin ante incidentes y desastres que puedan
afectar a los sistemas del cliente, procedimiento que deber contemplar los flujos de
informacin y las interacciones entre cliente y proveedor durante la gestin tanto de
incidentes como de desastres. A su vez el proveedor deber informar peridicamente de los
incidentes que han afectado a los sistemas que soportan los sistemas del cliente.
8. MEDIOS ALTERNATIVOS
128. En cuanto a la prestacin de servicios de cloud computing por parte de un tercero, de
acuerdo con el apartado [op.ext.9] del ENS, referente a medios alternativos, se deber
disponer de medios para aprovisionar el servicio en caso de cada del mismo. Esta medida
es aplicable para todos los sistemas cuya disponibilidad haya sido categorizada con nivel
ALTO, aunque la organizacin debe evaluar la conveniencia de su aplicacin a los
sistemas categorizados de nivel MEDIO.
129. A pesar de que el compromiso del proveedor en cuanto a cumplimiento de disponibilidad
del servicio viene refrendado en los SLAs definidos en trminos contractuales, para
garantizar la disponibilidad en caso de que la infraestructura TIC del proveedor se viera
comprometida, se deber requerir al proveedor evidencia de la existencia de un plan de
continuidad de negocio cuyo alcance incluya los servicios objeto de la prestacin.
Asimismo se exigir constancia de que los tiempos de recuperacin identificados en el
anlisis de impacto estn alineados con los criterios definidos en los SLAs en cuanto a
tiempo de recuperacin del servicio.
130. En caso de que el proveedor disponga de un Sistema de Gestin de la Continuidad de
Negocio basado en las normas ISO 22301, BS25999 o UNE 71599 cuyo alcance incluya la
prestacin de servicios en modalidad cloud y a su vez se encuentre certificado, la
organizacin debe evaluar si considera esta certificacin una prueba suficiente de que los
planes de continuidad definidos se someten a pruebas peridicas. En caso contrario se
solicitar al proveedor evidencia de la realizacin de estas pruebas peridicas.
9. CONSIDERACIONES DEL SERVICIO DE CORREO ELCTRONICO
131. La disposicin del servicio de correo electrnico en un entorno cloud es una prctica
comn actualmente: muchas organizaciones se plantean externalizar su servicio de correo
electrnico en proveedores. Pueden darse dos situaciones claramente diferenciadas en las
que el servicio de correo electrnico se ve afectado por el ENS, por lo que debern
establecerse las medidas oportunas para dar cumplimiento al mismo.
132. La primera situacin se corresponde a que la prestacin del servicio de correo electrnico
se encuentre entre el catlogo de servicios prestados por la entidad, como puede ser el caso
de las universidades; ante esta situacin, la ubicacin de este servicio en un tercero en
modalidad cloud deber regirse de acuerdo a lo estipulado en este documento y dar
cumplimiento a lo dispuesto en el mismo.
SIN CLASIFICAR
SIN CLASIFICAR
133. La segunda situacin se corresponde al uso del correo electrnico como servicio interno,
que es la mayor parte de situaciones en las Administraciones Pblicas. En este caso deber
requerirse el cumplimiento del ENS en funcin de los niveles de confidencialidad y
trazabilidad que requiera la informacin tratada por la entidad y los servicios prestados que
hagan uso de este servicio interno, eligiendo el tipo de despliegue y de servicio de acuerdo
con lo recogido a continuacin.
134. Respecto al tipo de despliegue y en funcin del nivel de confidencialidad de la informacin
tratada en el sistema:
Para nivel bajo, podr estar ubicada en cualquier tipo de nube.
Para nivel medio, no podr ubicarse en una nube pblica
Para nivel alto, deber ubicarse en nubes internas ya sean comunitarias o privadas.
135. Adems, en funcin del tipo de servicio:
Si es SaaS, se deber exigir al proveedor, que el software las medidas de seguridad
requeridas por el ENS referentes a confidencialidad y trazabilidad aplicables de
acuerdo con los niveles de los sistemas de informacin del contratante
Si es PaaS o IaaS, la entidad ser la encargada de configurar o implantar las medidas
de seguridad requeridas por el ENS aplicables en funcin nivel de confidencialidad y
trazabilidad de los sistemas de informacin propios.
136. Dada la particular casustica del correo electrnico corporativo, en el que por la diversidad
de la informacin tratada (transmitida, almacenada) no es fcil identificar unvocamente
el nivel de confidencialidad de dicha informacin, se deber considerar sta en su conjunto
como la de mayor nivel de confidencialidad que se gestione a travs del correo electrnico
(esto implicar nivel ALTO en la mayor parte de situaciones), por lo que se deben aplicar
las salvaguardas correspondientes a este nivel, en concreto en lo relativo a la ubicacin en
nubes internas a la organizacin.
137. Adicionalmente, se deben tener en cuenta las consideraciones de seguridad expuestas en la
gua CCN-STIC-814, relativa a la seguridad en el correo electrnico.
SIN CLASIFICAR
SIN CLASIFICAR
ANEXO A. LISTA DE COMPROBACIN
COMPROBACIN ESTADO OBSERVACIONES
GESTIN DE RIESGOS
La organizacin ha realizado un anlisis de riesgos de
acuerdo al ENS

El anlisis de riesgos contempla al proveedor en la
prestacin del servicio

Los riesgos asociados al proveedor son asumibles por la
entidad

CONTRATACIN Y ACUERDOS DE NIVEL DE SERVICIO
Descripcin del servicio
La descripcin del servicio contempla los siguientes
extremos:

A. Tipo de servicio

B. Tipo de infraestructura

C. Capacidad del servicio

D. Confidencialidad

E. Acuerdos de nivel de servicio

F. Modo de acceso al servicio

G. Funciones, responsabilidades y obligaciones de ambas
partes

H. Finalizacin del servicio (Eliminacin y devolucin de la
informacin)

Requerimientos legales
Respecto al cumplimiento del ENS, el proveedor garantiza los siguientes requisitos mediante
evidencia:
El proveedor dispone de una auditora de acuerdo al ENS,
que verifique el cumplimiento de las medidas de seguridad
aplicables

En caso negativo, el proveedor se compromete a cumplir y
las medidas que son de aplicacin y proporciona a la
organizacin cliente la posibilidad de auditar sus sistemas

El proveedor dispone de un anlisis de riesgos, realizado
de acuerdo con metodologas reconocida
internacionalmente

SIN CLASIFICAR
SIN CLASIFICAR
El proveedor dispone de un Responsable de Seguridad
con la funcin de interlocutor con el Responsable de
Seguridad del cliente

El proveedor garantiza la confidencialidad por parte de su
personal en los aspectos relacionados con la prestacin
del servicio

Se ha definido un proceso de autorizacin para el control
de acceso a la plataforma

El control de acceso
A. Hace uso de identificadores nicos

B. Cumple los mecanismos de autenticacin descritos en
el punto op. acc. 5 del Anexo II del ENS

C. Limita el acceso a recursos nicamente a las funciones
asignadas a cada usuario

Respecto al CPD
A. Dispone de medidas de seguridad para garantizar la
integridad de los sistemas

B. Dispone de control de acceso fsico

C. Dispone de un registro de acceso al CPD

Respecto al bastionado de equipos, l a poltica impl antada contempl a
A. La limitacin las funcionalidades a las mnimas exigidas

B. La limitacin del acceso para administracin y al
registro de actividad

C. La inhabilitacin de cuentas de usuario innecesarias

D. El establecimiento de bloqueos de sesin por tiempo de
inactividad

E. La limitacin de acceso tras un nmero de acceso
fallidos

Existe una poltica de mantenimiento y actualizacin de
los sistemas

Existe un proceso de gesti n de cambios definido

Respecto al cifrado
A. Se cifra adecuadamente la informacin almacenada en
los sistemas

B. Se cifran adecuadamente las comunicaciones

SIN CLASIFICAR
SIN CLASIFICAR
C. Se cifran los soportes vinculados a la prestacin del
servicio (back up)

D. El cifrado empleado es el requerido de acuerdo a los
criterios establecidos en la Gua 807 del CCN

Existen mecanismos y dispositivos que garanticen la
seguridad de la red del proveedor (Cortafuegos, IDS,
WAF)

Existe un registro de acceso de la operacin y
administracin de sistemas

Existe un proceso de gesti n de incidencias

Existe un procedimiento de borrado seguro de
informacin, que garantice la destruccin o la devolucin
de los datos tras la finalizacin de la prestacin del
servicio

Existen mecanismos de copias de respaldo de los
sistemas de informacin

Existen planes de continuidad de negocio que
garanticen la continuidad del servicio

Se realizan pruebas peridicas de dichos planes

Los tiempos de recuperacin definidos en el anlisis de
impacto estn en lnea con la categora del sistema

Respecto al cumplimiento del RDLOPD, el proveedor garantiza los siguientes requisitos
mediante evidencia:
El proveedor se encuentra en territorio nacional o en un
pas que proporcione nivel adecuado de proteccin de
acuerdo con AEPD

El contrato de prestacin de servicios regula todos los
aspectos requeridos de acuerdo con el artculo 12 de la
LOPD

En caso de que el proveedor se ubique en un pas no reconocido como seguro por la AEPD
A. Se ha solicitado autorizacin expresa al Directo de la
AEPD

B. El contrato se adecua a los establecido en la Directiva
2010/87/UE

GESTIN DIARIA
Cumplimiento contractual
El seguimiento que proporciona el proveedor al cliente contempla:
SIN CLASIFICAR
SIN CLASIFICAR
A. La medicin de los niveles de servicios prestados

B. La gestin de incidentes

C. El control de acceso al entorno cloud

D. El cumplimiento normativo (como puede ser auditora
del RDLOPD)

E. Medidas de seguridad implantadas

F. Mecanismos de comprobacin de controles de
seguridad por el proveedor

Coordinacin de manteni miento de los sistemas
Existe un proceso que define el flujo para la coordinacin
en el mantenimiento y actualizacin de sistemas

Coordinacin ante incidencias o desastres
Existe un proceso que defina el flujo para la coordinacin
en la gestin de incidencias o desastre entre proveedor y
cliente

MEDIOS ALTERNATIVOS
El proveedor garantiza la disponibilidad del servicio a
travs de SLA

El proveedor dispone de planes de continuidad de negocio
que garanticen la disponibilidad del servicio ante desastre

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO B. GLOSARIO DE TRMINOS Y ABREVIATURAS
Para ms informacin sobre trminos y abreviaturas empleados en el Esquema Nacional
de Seguridad es necesario consultar la gua de seguridad CCN-STIC-800 ESQUEMA
NACIONAL DE SEGURIDAD. GLOSARIO DE TRMINOS Y ABREVIATURAS.
AEPD (Agencia Espaola de Proteccin de Datos)
Ente pblico independiente cuya finalidad principal es la de velar por el cumplimiento de
la legislacin sobre proteccin de datos de carcter y controlar su aplicacin.
ARCO, derechos
Conjunto de derechos (Acceso, Rectificacin, Cancelacin y Oposicin), a travs de los
cuales una persona puede ejercer el control sobre sus datos personales.
BS25999
Estndar britnico para la seguridad de la informacin que especifica los requisitos
necesarios para implantar un Sistema de Gestin de la Continuidad de Negocio (SGCN)
segn el ciclo de Deming, tambin conocido como ciclo PDCA(Plan , Do, Check, Act).
CCN (Centro Criptolgico Nacional)
Organismo responsable de coordinar la accin de los diferentes organismos de la
Administracin que utilicen medios o procedimientos de cifrado, y de garantizar la
seguridad de las Tecnologas de la Informacin en ese mbito.
Cloud
Abreviatura utilizada para hacer referencia al cloud computing o tecnologa en la nube.
CPD (Centro de procesamiento de datos)
Lugar o ubicacin donde se concentran los recursos necesarios para el procesamiento de
la informacin de una organizacin. Tambin conocido como centro de datos o data
center.
ENS (Esquema Nacional de Seguridad)
Legislacin cuyo objetivo es establecer la poltica de seguridad en la utilizacin de
medios electrnicos, constituida por principios bsicos y requisitos mnimos que permitan
una proteccin adecuada de la informacin y los servicios gestionados por las
Administraciones pblicas.
ENI (Esquema Nacional de Interoperabilidad)
Legislacin cuyo objetivo es establecer los criterios y recomendaciones, junto con los
principios especficos necesarios, que permitan y favorezcan el desarrollo de la
interoperabilidad en las Administraciones pblicas desde una perspectiva global y no
fragmentaria.
IaaS (Infrastructure-as-a-Service)
Infraestructura como servicio.

SIN CLASIFICAR
SIN CLASIFICAR
ISO 20000
Estndar internacional para la gestin de servicios TI que especifica los requisitos
necesarios para implantar un Sistema de Gestin de Servicios de TI (SGSTI) segn el
ciclo de Deming, tambin conocido como ciclo PDCA (Plan, Do, Check, Act).
ISO 22301
Estndar internacional para la seguridad de la informacin que especifica los requisitos
necesarios para implantar un Sistema de Gestin de la Continuidad de Negocio (SGCN)
segn el ciclo de Deming, tambin conocido como ciclo PDCA (Plan, Do, Check, Act).
ISO 27001
Estndar para la seguridad de la informacin que especifica los requisitos necesarias para
implantar un Sistema de Gestin de la Seguridad de la Informacin (SGSI) segn el ciclo
de Deming, tambin conocido como ciclo PDCA (Plan, Do, Check, Act).
LOPD (Ley Orgnica de Proteccin de Datos de Carcter Personal)
Ley Orgnica espaola que tiene por objeto garantizar y proteger, en lo que concierne al
tratamiento de los datos personales, las libertades pblicas y los derechos fundamentales
de las personas fsicas, y especialmente de su honor, intimidad y privacidad. Ley
Orgnica 15/1999, de 13 de diciembre.
Migracin
Cuando hablamos de migracin hacemos referencia a la transformacin tecnolgica
realizada en una organizacin cuando sta cambia alguno de sus sistemas por otro
alternativo.
NIST (National Institute of Standards and Techonology)
Agencia Federal dentro del Departamento de Comercio de los Estados Unidos, cuya
misin es promover la innovacin y la competitividad en el mbito cientfico, normativo
y tecnolgico.
PaaS (Platform-as-a-Service)
Plataforma como servicio.
SaaS (Software-as-a-Service)
Software como servicio.
Safe Harbor (Puerto Seguro)
Marco de actuacin establecido por Estados Unidos y la Unin Europea para salvar las
diferencias entre ambos en tratamiento de la privacidad y la proteccin de datos. Este
marco regula el tratamiento de datos personales de ciudadanos europeos por parte de
empresas estadounidenses.
SLA (Service Level Agreement)
Acuerdo de nivel de servicio. Es un contrato escrito entre un proveedor de servicio y su
cliente con el fin de fijar el nivel acordado para la calidad del servicio contratado.

SIN CLASIFICAR
SIN CLASIFICAR
UNE 71599
Estndar nacional para la seguridad de la informacin que especifica los requisitos
necesarias para implantar un Sistema de Gestin de la Seguridad de la Informacin
(SGSI) segn el ciclo de Deming, tambin conocido como ciclo PDCA(Plan ,
Do,Check,Act).

SIN CLASIFICAR
SIN CLASIFICAR
ANEXO C. REFERENCIAS
Directiva 95/46/CE
Directiva del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la
proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a
la libre circulacin de estos datos
Dictamen 05/2012 sobre cloud computing
Dictamen realizado por el grupo de trabajo del artculo 29 de la Directiva 95/46/CE que
recoge los aspectos ms relevantes en materia de proteccin de datos que deben tratarse
en la prestacin de servicios Cloud Computing
DC 2010/87/UE
Decisin de la comisin de 5 de febrero de 2010 relativa a las clusulas contractuales tipo
para la transferencia de datos personales a los encargados del tratamiento establecidos en
terceros pases, de conformidad con la Directiva 95/46/CE del Parlamento Europeo y del
Consejo
Ley 11/2007
Ley 11/2007, de 22 junio, de acceso electrnico de los ciudadanos a los Servicios
Pblicos. BOE de 23 de junio de 2007
Ley 15/1999
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal.
BOE de 14 de diciembre de 1999.
RD 1720/2007
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de
desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de
carcter personal. BOE de 19 de enero de 2008.
RD 3/2010
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Seguridad en el mbito de la Administracin Electrnica. BOE de 29 de enero de 2010.
RD 4/2010
Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de
Interoperabilidad en el mbito de la Administracin Electrnica. BOE 29 de enero de
2010.
CCN-STIC-804
Gua 804 del Esquema Nacional de Seguridad. Medidas de implantacin del ENS.
CCN-STIC-807
Gua 807 del Esquema Nacional de Seguridad. Criptologa de empleo en el ENS.
CCN-STIC-814
Gua 814 del Esquema Nacional de Seguridad. Seguridad en el correo electrnico

SIN CLASIFICAR
SIN CLASIFICAR
UNE-ISO/IEC 27002
Cdigo de buenas prcticas para la gestin de la seguridad de la informacin. Diciembre
de 2009.
MAGERIT V2
Metodologa de Anlisis y Gestin de Riesgos de las Administraciones pblicas. J unio de
2006
NIST-SP-800-146 Cloud Computing Synopsis and Recomendations
Publicacin especial del NIST. Sinopsis y recomendaciones sobre Cloud Computing.
Mayo de 2012
Gua para la Seguridad en reas crticas de atencin al Cloud Computing.
Gua de seguridad en reas crticas de atencin al Cloud Computing. CSA (Cloud
Security Alliance). Noviembre de 2009
Security and Resilience in Governmental Clouds.
ENISA, enero de 2011
Procure secure: ENISAs new guide for monitoring cloud computing contracts.
ENISA, abril de 2012
Procure secure: A guide to monitoring the security service levels in cloud contracts.
ENISA, abril de 2012.
Informe de riesgos y amenazas en cloudcomputing.
Informe de riesgos y amenazas que afecta al cloudcomputingINTECO. Marzo de 2011
CCN-STIC-801
Gua 801 del Esquema Nacional de Seguridad. Responsabilidades y funciones.

823-Cloud Computing ENS

Hochgeladen von

Dokumentinformationen

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

823-Cloud Computing ENS

Hochgeladen von

Copyright:

Verfügbare Formate

SIN CLASIFICAR

Das könnte Ihnen auch gefallen