Ante la proliferación de ofertas de servicios en la nube de proveedores de todos los ámbitos, Anssi ayuda regularmente a las empresas a ver las cosas con más claridad. Para ayudar a quienes poseen sistemas de información sensibles pero no clasificados en sus elecciones, la agencia publicó sus recomendacionesEstos últimos "constituyen una herramienta de toma de decisiones para las entidades que contemplan el alojamiento en la nube para sus sistemas de información de nivel de distribución restringida, los sistemas de información sensibles de operadores vitales y operadores de servicios esenciales, así como los sistemas de información de importancia vital", explica la agencia. En esta guía resumida -que se inscribe en la doctrina de la nube apoyada por el departamento digital interministerial- la agencia invita en primer lugar a las organizaciones públicas y privadas interesadas a tomar algunas precauciones. Empezando por un análisis de riesgos que tenga en cuenta varios elementos: el nivel máximo de amenaza al que están expuestos los distintos sistemas de información, los riesgos específicos del alojamiento en la nube, la sensibilidad del tratamiento y de los datos en cuestión y los riesgos jurídicos vinculados al alcance extraterritorial de las leyes.

Las recomendaciones de la ANSSI se estructuran en torno a tres pilares: una tipología de las ofertas de nube, un estado de las amenazas y la naturaleza de los sistemas de información. "En función de la naturaleza de los sistemas de información, de los datos y del tratamiento de que se trate, la amenaza puede diferir, requiriendo el uso de un tipo de oferta de nube en lugar de otro", subraya la agencia. En cuanto a la tipología de las ofertas de nube, distingue entre soluciones comerciales (públicas, privadas y comunitarias) y no comerciales (internas y comunitarias). "El uso de la nube está llevando gradualmente a la transformación de la arquitectura de los sistemas de información hacia su hibridación. Las entidades pueden, de hecho, utilizar diferentes ofertas de nube en función de sus necesidades y además de sus infraestructuras internas tradicionales", continúa la ANSSI. En cuanto a las amenazas, se enumeran tres: estratégicas (ataques informáticos persistentes y selectivos, realizados o financiados por un Estado), sistémicas (ataques informáticos en su mayoría oportunistas) y hacktivismo/aislado. "De hecho, es importante, en función del proyecto de migración previsto, evaluar el nivel máximo de amenaza al que está expuesto el sistema de información, así como los datos y el tratamiento de los mismos", advierte la agencia. Por último, la naturaleza del SI es también uno de los elementos clave de sus recomendaciones: difusión restringida, doctrina de la nube en el centro del Estado, OIV/OSE y SI de vital importancia.

Aplicaciones de las recomendaciones

Para los SI sensibles de nivel de difusión restringido, el regulador recomienda ofertas de nube calificadas SecNumCloud no comerciales (internas y comunitarias) y comerciales privadas, que permiten una infraestructura dedicada que evita el riesgo de lateralización de un atacante del entorno de un cliente a otro. En cuanto a la doctrina de los SI en la nube en el centro del Estado, la agencia recuerda que su alojamiento solo está autorizado en ofertas de nube calificadas SecNumCloud (internas, privadas, comunitarias o públicas). En cuanto a la OIV/OSE, recomienda todo tipo de ofertas calificadas SecNumCloud, mientras que para los SI de importancia vital, la situación parece menos obvia.

“Para los SIIV (sistemas de información vital) compatibles con tecnologías en la nube, la ANSSI recomienda ofertas de nube comerciales no comerciales (internas y comunitarias) y privadas calificadas SecNumCloud, que proporcionen una infraestructura dedicada evitando el riesgo de lateralización de un atacante del entorno de un cliente a otro”, indica la guía. Sin embargo, “la ANSSI no se opondrá a otro tipo de oferta de nube comercial, siempre que: sea calificada SecNumCloud; que el administrador de la entidad base su decisión en un análisis razonado de los riesgos de externalizar el alojamiento de su SIIV y que se respeten las obligaciones reglamentarias aplicables a los SIIV”.