Cloud Security Alliance (CSA) concibió el CAIQ para crear documentos del sector que describen los controles de seguridad que deben existir en diferentes servicios en la nube, como infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y productos de software como servicio (SaaS).

¿Cuándo se creó el CAIQ?

La CSA se creó en 2008 como una autoridad que define los estándares, las prácticas recomendadas y la certificación para garantizar entornos de nube seguros en todo el mundo. La CSA, que es la principal autoridad del mundo en cuanto a prácticas recomendadas en relación con la nube, se dedica a proporcionar conocimientos y recursos esenciales diseñados para beneficiar a clientes, proveedores, empresarios y gobiernos en la nube, y a cualquier otro grupo que utilice, proporcione o trabaje con servicios de computación en la nube.

Debido a que la dependencia de la nube ha seguido aumentando durante todo el siglo, la CSA reconoció que esta tecnología en auge podría presentar fallos de seguridad importantes si se implementaba sin ninguna forma de normativa. La CSA se encargó de crear y compartir documentación de estándares del sector y controles de seguridad comúnmente aceptados para servicios con soporte en la nube (IaaS, PaaS y SaaS). El CAIQ proporciona a las organizaciones una transparencia esencial en las tácticas, las tecnologías y las políticas que utilizan los proveedores de nube para proteger los datos confidenciales y gestionar los riesgos.

El CAIQ es básicamente una encuesta. La versión 3.1 (la versión más actualizada disponible) consta de 295 preguntas de tipo sí/no dirigidas a los proveedores en la nube. Estas preguntas están diseñadas para proporcionar a los consumidores de la nube y a los auditores de la nube conocimientos sobre en qué medida cumple el proveedor con las normativas establecidas y las prácticas recomendadas. Otra versión, conocida como CAIQ-Lite, proporciona una evaluación más sencilla y un poco menos exhaustiva, con aproximadamente 70 preguntas, diseñadas para profesionales de la ciberseguridad y modelos de adquisición en la nube.

En pocas palabras, los equipos de gestión de riesgos de proveedores, mediante un cuestionario estandarizado, pueden reducir los costes y aumentar la eficiencia. El CAIQ ayuda a proteger a los usuarios de la nube de quedar expuestos a riesgos de ciberseguridad innecesarios. El CAIQ también proporciona un servicio esencial para los proveedores de nube. Los proveedores pueden utilizar el CAIQ para conformar su seguridad y mostrar eficazmente esas ofertas a los clientes mediante un conjunto estandarizado de términos y conceptos.

Trabajar con proveedores de nube de terceros siempre conlleva cierto riesgo. Al confiar en datos y procesos vitales para grupos fuera del entorno controlado de la organización empresarial, los usuarios de la nube pierden la capacidad de garantizar directamente una implementación de seguridad adecuada. Incluso los proveedores de nube más fiables pueden fallar en determinadas áreas, y las organizaciones deben comprender dónde es probable que ocurran esos fallos y qué debilidades podrían ser inherentes a las soluciones de nube del proveedor.

El CAIQ evalúa la seguridad de los proveedores de nube y tiene como objetivo crear estándares del sector comunes y aceptados para la documentación. Esto permite que las organizaciones comprendan y evalúen a los proveedores de nube y su posición en materia de seguridad antes de celebrar un acuerdo comercial.

Como hemos mencionado anteriormente, el CAIQ completa consta de 295 preguntas que un consumidor o auditor de la nube puede desear formular a un proveedor para recopilar información sobre su cumplimiento con la Matriz de Controles de la Nube (CCM, Cloud Controls Matrix). Es posible que los consumidores deseen personalizar el cuestionario para adaptarlo mejor a sus necesidades y abordar sus inquietudes y casos de uso específicos, revisando o recortando las preguntas cuando sea necesario.

¿Qué es la Matriz de Controles de la Nube (CCM)?

La CCM es un marco de trabajo de control para la ciberseguridad que se utiliza para la computación en la nube. Se compone de 133 objetivos estructurados en torno a 16 dominios. Los 16 dominios son:

• Seguridad de aplicaciones e interfaces 
• Garantía y cumplimiento de auditorías 
• Gestión de continuidad empresarial y resiliencia operativa 
• Control de cambios y gestión de la configuración 
• Gestión del ciclo de vida de la información y la seguridad de los datos 
• Seguridad del centro de datos 
• Encriptación y gestión de claves 
• Gobierno y gestión de riesgos 
• Seguridad de recursos humanos 
• Gestión de identidad y acceso 
• Infraestructura y virtualización 
• Interoperabilidad y portabilidad 
• Seguridad móvil 
• Gestión de incidentes de seguridad, E-Disc y análisis forense de la nube 
• Gestión de la cadena de suministro, transparencia y responsabilidad 
• Gestión de amenazas y vulnerabilidades

¿Cómo se utiliza la CCM?

La CCM se puede utilizar como una herramienta para evaluar sistemáticamente la implementación en la nube, al proporcionar orientación sobre qué actores deben implementar qué controles de seguridad en la cadena de suministro en la nube. El marco de trabajo de controles está alineado con la Security Guidance v4 y actualmente se considera un estándar de facto para el cumplimiento y la garantía de seguridad en la nube. Con la CCM, los proveedores pueden hacer lo siguiente:

• Reforzar los entornos de control de seguridad de la información:
  describe la orientación de los proveedores de servicios y los clientes, lo que los diferencia según el tipo de modelo en la nube y su entorno.
• Reducir la complejidad de la auditoría:
  controla la asignación de las normativas de seguridad estándar del sector, los marcos de trabajo de control y los estándares. El cumplimiento de los controles de la CCM se adhiere a los estándares y las normativas que los acompañan donde se asigna.
• Normalizar las expectativas de seguridad:
  proporciona una taxonomía de nube compartida, seguridad y terminología implementada en una nube.
  

Security, Trust, Assurance y Risk (STAR) es un registro accesible para el público que documenta los controles de privacidad y los programas de computación en la nube de seguridad. Abarca los principios de auditoría, armonización y transparencia de los estándares, tal como se describen en el CAIQ y la CCM.

Las organizaciones muestran a los clientes, tanto actuales como potenciales, su cumplimiento y posición en materia de seguridad, y su cumplimiento de las normativas, los estándares y los marcos de trabajo. En última instancia, esto reduce las complejidades y reduce la necesidad de rellenar varios cuestionarios.