Esta semana hemos podido leer en prensa que Google ha certificado el SGSI de Google Apps, lo que abarca entre otros los siguientes servicios: GMail, Google Talk, Google Calendar, Google Docs/Drive (documentos, hojas de calculo y presentaciones), Google Sites, Control Panel (CPanel), Google Contacts, Google Video y Google Groups.
La verdad es que la lista de servicios incluidos en el alcance impresiona ya que nos aleja de la clásica práctica de muchas empresas (algunas grandes) de coger un alcance pequeñito, utilizar el correspondiente sello en todos los materiales comerciales y decir que la compañía está certificada.
Si bien una certificación así es un proyecto ambicioso y que puede aportar muchas mejoras a la gestión de la seguridad, estoy seguro que el hecho de que Microsoft Office 365 (principal competidor) ya estuviera certificada en ISO 27001 ha sido un factor decisivo para la certificación de Google Apps.
Para quien no se enterase en su momento, la guerra de certificaciones entre Google Apps y Microsoft Office 365 viene de lejos, concretamente de cuando el Departamento de Interior americano contrató el correo electrónico online a Microsoft y Google intentó meter cabeza alegando que como ellos también cumplían todos los requisitos de seguridad querían que saliera a concurso público. Finalmente resultó que Google presuntamente mintió ya que su producto no tenían la certificación FISMA (Federal Information Security Management Act) y fue Microsoft quien se quedó con el pastel no sin antes pasar por una dura guerra de abogados (noticia relacionada).
Dejando de lado los detalles de aquella batalla, ante una certificación de este tamaño no podemos evitar sentir curiosidad por echar un vistazo al inventario de activos de Google, saber como controlan la gestión de la capacidad de “la nube”, ojear los planes de continuidad, o ver un listado de la legislación que han seleccionado como aplicable, ya que seguro que podemos aprender muchas cosas o incluso ver hasta que punto han hecho la vista gorda con esas “cero no conformidades”.
Cuando se empezó a hablar de servicios en la nube pensé que haría falta sacar nuevos estándares, normas y leyes, ya que todo lo referente a tratamiento y almacenamiento online distribuido iba a ser complicadísimo de adecuar, pero después de todo parece ser que no va a ser necesario (aunque sí recomendable).
El caso de Google Apps y Microsoft Office 365 es un claro ejemplo de esa ventaja competitiva que siempre mencionamos cuando hablamos de las bondades de tener un SGSI certificado, pero por suerte para los que nos dedicamos a esto y por desgracia para los que se certifican solo por el sello, en un futuro cercano tener un SGSI certificado (incluso una nube certificada) pasará de ser un factor diferencial a un cumplimiento de mínimos donde los clientes nos dirán “o te certificas, o no juegas con nosotros”.
Permíteme Adrián que incluya links a los dos posts sobre certificación que publicamos en este mismo blog hace unos pocos meses, por si alguien quiere refrescar la memoria o se los perdió en su día:
https://www.securityartwork.es/2011/12/01/certificacion-de-la-seguridad-i/
https://www.securityartwork.es/2011/12/05/certificacion-de-la-seguridad-y-ii/
Este tema ha traido cola en el grupo Linkedin “ISO 27001-SGSI Spanish Group” que podéis seguir en http://www.linkedin.com/groupItem?view=&gid=911287&type=member&item=119318097&qid=cecb213f-5810-4d18-9b31-6fc2fa422368&trk=group_most_recent_rich-0-b-cmr&goback=%2Egmr_911287
La cuestión es que en la nota de Google sobre su certificación no se nombran las ubicaciones físicas que se encuentran dentro.
Me chirría que el alcance de la certificación sea tan amplio y genérico. ¿Qué datacenters de Google son los que están dentro del alcance? ¿Todos?
http://bit.ly/JOAlWs
¿No son las ubicaciones físicas uno de los elementos a determinar en el alcance de la norma ISO 27001? ¿Por qué no aparecen en la información que proporciona Google?
La certificación de Microsoft para los servicios en la Nube de BSI nombra cada ubicación física donde se ha logrado el certificado.
http://www.bsigroup.com/en/Assessment-and-certification-services/Client-directory/CertificateClient-Directory-Search-Results/?pg=1&licencenumber=IS+533913&searchkey=standardXeqXISO/IEC%2027001XandXcompanyXeqXMicrosoft
Una aportación excelente, Javier. Como comentabas en Twitter, sería *muy interesante* que Google indicase cual es el alcance de su certificado, así como sería de desear que existiese un registro centralizado de certificados y alcances.