Este documento proporciona una introducción a la Cloud Security Alliance (CSA) y su esquema de certificación CSA-STAR. Explica que CSA es una organización sin fines de lucro que promueve las mejores prácticas de seguridad en la nube y que CSA-STAR es un registro público de proveedores de nube auto-evaluados. También describe los tres niveles del Esquema de Certificación Abierto de CSA, incluida la autoevaluación, la certificación y la certificación continua, así como la Matriz de Control de Nube

2. Luciano Moreira da Cruz
Leonardo Rosso
Cloud Security Alliance Argentina

4. Contenido
¿Qué es la CSA?
¿Qué es CSA-STAR?
El esquema de Certificación Abierto (OCF)
La Matriz de Control de Nube (CCM)
Modelo de Capacidad de Gestión
Proceso de Certificación CSA-STAR
¿Por qué certificar?
Los 10 Tips para implementar CSA-STAR
Novedades de CSA-STAR

5. ¿Qué es la CSA?
• Global, sin fines de lucro, Fundada en 2008
• 73,000+ miembros individuales, 70+ capítulos a nivel mundial
• Más de 40 proyectos de investigación en 30+ grupos de trabajo
• Alianzas estratégicas con los gobiernos, instituciones de investigación, asociaciones profesionales y la industria
• Construyendo las mejores prácticas de seguridad para la próxima generación de TI
• Investigación y Programas Educativos
• Certificación de Proveedores Cloud: CSA STAR
• Certificación de profesionales: CCSK
• La fuente global para la confianza en cloud
www.cloudsecurityalliance.org
“Promover las mejores prácticas a fin de ofrecer confianza dentro del ámbito del Cómputo
en la Nube, educando a la comunidad sobre sus usos y colaborando en asegurar todas las
otras formas de computo.”

6. ¿Qué es CSA-STAR?
• CSA STAR (Security, Trust and Assurance Registry)
• Lanzado en 2011, el CSA STAR es el primer paso para mejorar la
transparencia y la seguridad en la nube.
• Registro Público de proveedor de cloud auto evaluados
• Basado en las mejores prácticas de CSA (CCM o CAIQ)
• Promoviendo transparencia con acciones voluntarias por industria.
• Seguridad como un diferenciador en el mercado
www.cloudsecurityalliance.org/star
Demande STAR a sus proveedores cloud!

7. ¿Qué es CSA-STAR?
• La certificación CSA STAR es única en su especie en cuanto que se desarrolló como una mejora a los objetivos de la norma
SIO/IEC 27001 para atacar el foco de los aspectos específicos de seguridad de entornos de cómputo en nube.
• Para responder a la creciente preocupación de las organizaciones y negocios, CSA, una organización sin fines de lucro que
tiene como misión el promover las mejores prácticas de seguridad en cómputo en la nube, creó la la Matriz de Controles
en la Nube (Cloud Controls Matrix –CCM– ). Esta matriz de controles que fuera desarrollada en conjunto con un grupo de
trabajo específico a la industria, especifica los controles comunes que son relevantes a la seguridad para el computo en la
nube.
• La certificación CSA Star, tiene como objetivo validar el nivel de adopción de los controles de la matriz. El reporte de de
salida indica cuan bien el sistema bajo revisión ha sido embebido en la organización asignando diferentes niveles de
cumplimiento.
• Se basa en una estructura multicapa definida por el Open Certification Framework

8. ¿Qué es CSA-STAR?
Nivel actual de adopción
Actualmente 161 Proveedores / Servicios de Cloud Word Wide han decidido formar parte
de la CSA STAR Eso incluye:
• Autoevaluación STAR (123)
• Certificación STAR (31)
• Certificado STAR (3)
• Evaluación C-STAR (4)

9. ¿Qué es CSA-STAR?
ÓRGANOS DE CERTIFICACIÓN ACREDITADOS

10. El esquema de Certificación Abierto (OCF)
• El Esquema de Certificación Abierto (Open Certification Framework, en adelante OCF) de CSA en una
iniciativa de la industria para permitir una certificación global, acreditada y basada en la confianza para
proveedores de servicios en la nube.
• OCF de CSA es un programa flexible, incremental y con diferentes niveles para una certificación de
proveedores de servicios en la nube, de acuerdo con los objetivos de control y guías de seguridad de
liderazgo de la industria que aporta CSA.
• El programa se integrará con las reconocidas auditorías de tercera parte y con los requisitos de informe
desarrollados dentro de la comunidad para evitar duplicar costes y esfuerzos.
• OCF de CSA está basado en los objetivos de control y estructuras de control continuo definidas dentro del
proyecto de investigación STACK GRC (Gobernance, Risk and Compliance) de CSA.

11. El esquema de Certificación Abierto (OCF)
El OCF se estructura en 3 NIVELES de CONFIANZA, cada uno de los cuales proporciona un incremento gradual
en los niveles de visibilidad y transparencia en las operaciones del Proveedor de Servicios en la Nube y un nivel
mayor de seguridad en el cliente de servicios en la Nube.

12. El esquema de Certificación Abierto (OCF)
Nivel 1: Autoevaluación: CSA STAR
• Los proveedores de servicios en la nube pueden presentar dos tipos diferentes de
informes para indicar su cumplimiento con las mejores prácticas de CSA.
• El Cuestionario CAIQ (Consensus Assessment Initiative Questionnaire)
• Matriz CSA-CCM
Proporciona a las partes interesadas en la nube - CSC (Cloud Service Client), Cloud
Service Providers (CSP), Cloud Auditors, Cloud Brokers, etc. - con un repositorio público
donde los CSP pueden publicar información sobre sus evaluaciones de seguridad
relativas a CSA Cloud Control Matrix (CCM) y CSA Consensus Assessment Initiative
Questionnaire (CAIQ).
https://cloudsecurityalliance.org/star/self-assessment/

13. El esquema de Certificación Abierto (OCF)
Nivel 2: CERTIFICACION STAR (Auditoría de Tercera Parte)
El concepto del esquema es utilizar los requerimientos de la norma de sistemas de gestión
ISO 27001 integrado con la CCM de CSA y los propios requisitos internos o las
especificaciones de la organización para evaluar la madurez de sus sistemas. Las respuestas
son registradas y posteriormente analizadas por su nivel de madurez. A esta madurez se le
asigna una puntuación. Todas las puntuaciones son evaluadas conjuntamente para puntuar
los diferentes dominios del sistema de gestión y una puntuación global de todo el sistema
de gestión.
Además de lo anterior, también existe la posibilidad para los clientes de tener su propio
criterio de rendimiento interno incluido en el proceso para su examen y puntuación por los
auditores.
https://cloudsecurityalliance.org/star/certification/

14. El esquema de Certificación Abierto (OCF)
Nivel 2: Testeo STAR (Auditoría de Terceros)
El concepto del esquema es utilizar los requerimientos para testeos AICPA SOC2,
ejecutados de acuerdo con la sección AT 101, de los test estándar AICPA, ampliados con la
CSA-CCM. Puede encontrarse información adicional en el posicionamiento de CSA sobre
este tema disponible en:
https://downloads.cloudsecurityalliance.org/initiatives/collaborate/aicpa/CSA_Position_Pape
r_on_AICPA_Service_Organization_Control_Reports.pdf
https://cloudsecurityalliance.org/star/attestation/

15. El esquema de Certificación Abierto (OCF)
Nivel 3: La certificación basada en el seguimiento continuo
Permite la automatización de las prácticas actuales de seguridad de los proveedores de la nube.
CSA STAR Continuous se basa en una auditoría / evaluación continua de las propiedades de seguridad
relevantes.
Se construye en base a las siguientes prácticas / estándares de CSA:
Cloud Controls Matrix (CCM)
Cloud Trust Protocol (CTP)
CloudAudit (A6)
https://cloudsecurityalliance.org/star/continuous/

16. El esquema de Certificación Abierto (OCF)
Relación actual entre niveles

17. La Matriz de Control de Nube (CCM)
Matriz de Controles para evaluar la gestión de la seguridad de los servicios de
Cloud Computing.
Alineamiento con los principales estándares y regulaciones en materia de
seguridad de la información: ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho
Forum and NERC CIP
https://cloudsecurityalliance.org/research/ccm/

18. La Matriz de Control de Nube (CCM)
Está diseñado específicamente para proporcionar los principios de seguridad para
guiar a los proveedores de la nube y para ayudar a los clientes en la nube a evaluar
el riesgo general de seguridad de un proveedor de la nube.
CSA Cloud Controls Matrix (CCM) mapea con otros estándares de seguridad
aceptados por la industria, los reglamentos, y controla los marcos como la ISO
27001/27002, ISACA COBIT, PCI, NIST, Jericho, NERC CIP, ENISA, COPPA,
HIPAA/HITECH, AICPA 2014 Trust Services Criteria, etc.

19. El Modelo de Capacidad de Gestión
• Modelo de Madurez
• Pero también incorpora características de Hoja de Ruta (Roadmap)
• Evaluación Matricial
• (5 niveles x 3 estadíos = 15 grados de “cumplimiento”)
• Permite categorizar el nivel de “cumplimiento” del sistema bajo auditoría
• Pero mas importante, permite identificar cual es el esfuerzo y el criterio necesarios para avanzar.

20. El Modelo de Capacidad de Gestión
Los niveles de puntaje
Puntaje Descripción
1 a 3 Sin perspectiva o marco formal definido
4 a 6 Visión Reactiva
7 a 9 Visión Proactiva
10 a 12 Perspectiva de Mejora Continua
13 a 15 Perspectiva Optimizada o de Innovación

21. El Modelo de Capacidad de Gestión
Puntajes
1 a 3 4 a 6 7 a 9 10 a 12 13 a 15
Sin Perspectiva
Formal
Reactivo Proactivo Mejorado Optimizado
Definido
1. No ha evidencia de
sistema para gestionar el
área de control
4. Existe evidencia de un
sistema que cubre los
aspectos claves del área de
control
7. Existe evidencia de un
sistema robusto que cubre
las operaciones de rutina
en el área de control
10. Existe Evidencia de que
el sistema es capaz de
manejar eventos y
contingencias además de la
operación de rutina
13. Los responsables
pueden demostrar que
verifican de manera activa
las mejores practicas de la
industria para aplicarlas al
área de control
Administrado
2. Existe evidencia de un
sistema documenta o una
forma aceptada de trabajo
5. Existe un dueño
identificado para el área de
control que comprende el
alcance de su
responsabilidad
8. Existe evidencia de que
el área de control se
monitorea de manera
activa, con acciones de
respuesta
11. Se considera la
información de diferentes
fuentes a los efectos de
decidir la mejor manera de
gestionar el riesgo.
14. Los responsables del
área de control comparten
de manera activa las
mejores practicas para
soportar la mejora en otras
áreas
Efectivo
3. Existe evidencia de que
la forma de trabajo se sigue
de manera consistente
6. Existe evidencia de que
el sistema se comprende y
ejecuta de manera habitual
9. Existe evidencia que el
personal critico se
encuentra entrenada para
operar de manera efectiva
el área de control
12. Existe evidencia de que
las información de
diferentes orígenes es
monitoreada y medida y se
toma en cuenta para la
mejora en el área de
control
15. Los cambios en el área
de control se evalúan
contra los objetivos
estratégicos de la
organización.

22. El Proceso de Certificación CSA-STAR
• Alcance variable
• Se auditan los controles definidos por la entidad auditada
• Evaluación sobre los 16 dominios de la CCM
• Acumulativo
• Para llegar a un nivel, todos los anteriores deben cumplirse (concepto de madurez)
• Estado de Cumplimiento Granular
• PASS/FAIL vs Puntaje (en una escala de 15 puntos)
• La letra chica
• El puntaje mas bajo para cada uno de los dominios se representa en el puntaje final
• El promedio de todos los puntajes provee el puntaje del nivel de madurez

23. Ejemplo de “Niveles de Premios”

24. El Proceso de Certificación CSA-STAR
REQUERIMIENTOS
• Es necesario que la entidad auditada se encuentre certificada en ISO27001
• Para que la auditoría de CSA-STAR resulte en una certificación, el certificado ISO27001 debe estar vigente
• El alcance de la certificación de CSA-STAR puede diferir del alcance de ISO27001
• Pero es imprescindible que sea un subconjunto del mismo del alcance del anterior
• Los requerimientos de auditoría de CSA-STAR son los mismos que para ISO27001
• Esto es, que si para la auditoría de ISO27001 se necesitan 5 días, se necesitarán 5 días MÁS para auditar CSA-STAR
• Para llegar a un nivel, todos los anteriores deben cumplirse (concepto de madurez)
• Los certificados pueden tener ciclos diferentes
• De nuevo, ¿Es necesario decir que el certificado debe encontrarse vigente?

25. ¿Por qué y para qué certificar?
… Tengo que explicarlo?

26. Los 10 Tips para implementar CSA-STAR
El compromiso de la alta dirección
es vital para que el sistema sea
introducido con éxito. Asegúrese de
que los altos directivos sean
activamente responsables,
participen, aprueben los recursos y
estén de acuerdo con los procesos
clave.
Asegúrese de que toda su empresa
está comprometida y entienda la
importancia de la seguridad en la
nube y comprométala con una
estrategia de comunicaciones
sólida.
Establecer un equipo de
implementación competente y bien
informado para obtener los mejores
resultados, compartiendo roles y
responsabilidades.
Descargue la matriz de control de la
nube (CCM) de la CSA.
Revise los sistemas y procesos que
tiene en su lugar en este momento.
A continuación, compararlos con
los requisitos de la CCM. Obtenga
comentarios de los clientes sobre
sus procesos y servicios actuales.
Asegúrese de que su alcance esté
alineado con los procesos críticos
del cliente e implementar todos los
controles relevantes dentro de la
matriz.
Benchmark su capacidad actual
contra el modelo de madurez y ver
dónde hay oportunidades para
mejorar.
Definir claramente un plan bien
comunicado de actividades y
plazos. Estar seguro que todos los
entienden y su papel para lograrlos.
Capacitar a su personal para llevar a
cabo auditorías internas, lo que
puede proporcionar información
valiosa y oportunidades de mejora.
Revise regularmente sus controles
para asegurarse de que siguen
siendo apropiados, eficaces y
ofrecen mejoras continuas.

27. Novedades CSA - STAR

28. Conclusión
“human ingenuity could not construct a cipher which human ingenuity could not solve.”

29. lucianomoreira9@hotmail.com
@luciano_m_cruz
lucianomoreiradacruz
https://ar.linkedin.com/in/lucianomoreiradacruz
leonardo.federico.rosso@gmail.com
leonardo.rosso
https://www.linkedin.com/in/lrosso/es

30. Gracias
@CSA_AR
facebook.com/csaargentina
https://chapters.cloudsecurityalliance.org/argentina/
https://www.linkedin.com/grp/home?gid=3350613
contact@ar.chapters.cloudsecurityalliance.org