SS584

SS 584 (también conocido como Multi-Tier Cloud Security ( MTCS )) es un estándar de seguridad de la información , publicado por Singapore Standards . ^[1] El estándar fue revisado por última vez en 2020.

La norma SS 584 especifica un sistema de gestión de la seguridad en la nube en tres niveles. Las organizaciones que cumplen los requisitos pueden obtener la certificación de un organismo de certificación acreditado tras completar con éxito una auditoría .

Razón fundamental

Aunque la mayoría de los proveedores de servicios en la nube están certificados según la norma ISO 27000 , la norma ISO no se centra en los riesgos específicos que surgen del aprovisionamiento a través de la nube. Los clientes más pequeños también tienen dificultades para evaluar si el SGSI de un CSP es suficiente para sus necesidades, ya que la norma ISO 27001 se basa en el riesgo y puede variar significativamente entre implementaciones. Esto puede ser una barrera para la adopción por parte de las pymes , que desearían una forma más sencilla de decidir si un CSP satisface sus necesidades.

Para fomentar la adopción de servicios en la nube, la entonces IDA creó en 2012 una serie de grupos para elaborar un estándar que los CSP pudieran certificar. El estándar tendría múltiples niveles de garantía de seguridad: ^[2]

Nivel 1: Diseñado para sistemas y datos no críticos para el negocio, con controles de seguridad básicos para abordar riesgos y amenazas de seguridad en sistemas de información de impacto potencialmente bajo que utilizan servicios en la nube (por ejemplo: sitios web que alojan información pública)
Nivel 2: Diseñado para abordar la necesidad de la mayoría de las organizaciones que ejecutan datos y sistemas críticos para el negocio a través de un conjunto de controles de seguridad más estrictos para abordar los riesgos y amenazas de seguridad en sistemas de información de impacto potencialmente moderado que utilizan servicios en la nube para proteger la información comercial y personal (por ejemplo: datos comerciales confidenciales, correo electrónico, CRM: sistemas de gestión de relaciones con los clientes)
Nivel 3: Diseñado para organizaciones reguladas con requisitos específicos y requisitos de seguridad más estrictos. Se pueden aplicar regulaciones específicas de la industria además de estos controles para complementar y abordar los riesgos y amenazas de seguridad en sistemas de información de alto impacto que utilizan servicios en la nube (por ejemplo: datos comerciales altamente confidenciales, registros financieros, registros médicos)

Tenga en cuenta que el estándar utiliza indistintamente los términos "niveles" y "niveles".

Historia de la SS 584

La SS584:2013 se emitió en 2013 y el programa fue administrado inicialmente por IDA. ^[3]

En 2015, se revisó la norma (SS 584:2015). En ese momento, la acreditación pasó a manos del Consejo de Acreditación de Singapur, una división de Enterprise Singapore , de acuerdo con otras normas de Singapur.

A finales de 2019, la norma se está revisando nuevamente, con aportes de la industria, y se emitirá una nueva versión en octubre de 2020.

Proceso de dar un título

Los CSP que deseen certificar sus servicios deben clasificarlos en IaaS , PaaS o SaaS . También deciden en qué nivel desean demostrar el cumplimiento (nivel 1, 2 o 3).

Para cumplir con el Nivel 3, el CSP debe estar certificado según ISO/IEC 27001 .

Los proveedores de servicios de comunicaciones deben obtener los servicios de un organismo de certificación acreditado, que auditará el sistema de gestión del proveedor de servicios de comunicaciones para comprobar su conformidad con la norma SS 584. El organismo de certificación emitirá entonces un certificado que lo acredite, normalmente válido durante tres años. Se requieren auditorías de seguimiento anuales.

Está disponible una lista de servicios y CSP certificados. ^[4] Algunos ejemplos de CSP certificados incluyen IBM ^[5] y AWS . ^[6]

Aceptación en el extranjero

Aunque la norma no es una norma internacional , al ser la primera norma nacional que aborda la seguridad en la nube, ha tenido aceptación fuera de Singapur. En particular, las regulaciones coreanas de RSEFT reconocen que la SS 584 cumple con la mayoría de los requisitos para los CSP. ^[7]

Los documentos de Datamation ^[8] y CloudwatchHUB ^[9] describen el uso internacional y el impacto de este estándar.

Véase también

Referencias

^ Tao, Yao-Sing; Lee, Hing-Yan (abril de 2017). "MTCS para la atención sanitaria". Conferencia internacional de 2017 sobre investigación e innovación en computación en la nube (ICCCRI) . Singapur, Singapur: IEEE. págs. 14-17. doi :10.1109/ICCCRI.2017.10. ISBN 978-1-5386-1075-6. Número de identificación del sujeto 28858337.
^ "Hoja informativa" (PDF) . imda.gov.sg . IDA . Consultado el 9 de octubre de 2019 .
^ "Se lanza en Singapur un nuevo estándar de seguridad en la nube de múltiples niveles (MTCS)". Autoridad de Desarrollo de Medios de Infocomm . Consultado el 9 de octubre de 2019 .
^ "Cumplimiento y certificación". Autoridad de Desarrollo de Medios de Infocomunicación . Consultado el 7 de diciembre de 2019 .
^ "Certificado MTCS para IBM Cloud Services" (PDF) . IMDA . Consultado el 7 de diciembre de 2019 .
^ "Certificado MTCS emitido por ISC Singapur a AWS" (PDF) . IMDA . Consultado el 7 de diciembre de 2019 .
^ "Con el MTCS, los clientes de FSI en Corea pueden acelerar la adopción de la nube al no tener que validar más los controles 109, como lo exigen las regulaciones pertinentes (Directriz del Instituto de Seguridad Financiera sobre el uso de servicios de computación en la nube en la industria financiera y el Reglamento sobre la supervisión de transacciones financieras electrónicas (RSEFT)". AWS . Amazon. 16 de mayo de 2019 . Consultado el 9 de octubre de 2019 .
^ Morgan, Lisa (12 de julio de 2019). «Cómo garantizar el cumplimiento normativo en la nube». Datamation . Consultado el 29 de marzo de 2020 .
^ "Seguridad en la nube de múltiples niveles (MTCS) - Singapur". CloudwatchHUB . Consultado el 29 de marzo de 2020 .