Las autoridades chinas quieren regular la seguridad de la computación en la nube
- Negocios
Un grupo de cuatro entidades reguladoras de China han publicado una serie de reglas y procedimientos que las empresas de la nube deberán seguir para la prestación de servicios al partido comunista, las agencias gubernamentales y las infraestructuras críticas. Con ello quieren garantizar la máxima seguridad de la computación en la nube, unas normas que serán supervisadas por una nueva oficina creada a tal efecto.
La Administración del Ciberespacio de China (CAC), la Comisión de Desarrollo y Reforma, el Ministerio de Industria y Tecnología de la Información y el Ministerio de Finanzas de China se han puesto de acuerdo para elaborar un conjunto de normas y procedimientos para regular la seguridad de sus servicios en la nube. Las llamadas “Medidas de evaluación de seguridad de los servicios de computación en la nube” entrarán en vigor el 1 de septiembre y establecen la creación de una nueva oficina dentro del CAC, que se encargará de controlar que se cumplan las nuevas reglas.
Aunque la evaluación de las empresas que prestan servicios al gobierno se realizará a través de organizaciones externas especializadas en esta materia. -según afirmaron los impulsores de esta nueva regulación, “Estas medidas están formuladas para mejorar la seguridad y la capacidad de control de los servicios de computación en la nube adquiridos y utilizados por los órganos gubernamentales y del partido y los operadores de infraestructura de información crítica”.
Dada la sensibilidad de los datos y aplicaciones que estas organizaciones trasladan a la nube, las autoridades chinas han decidido endurecer mucho las medidas de seguridad para las empresas proveedoras de estos servicios. Y no solo se trata de las políticas de seguridad convencionales, sino que los reguladores han establecido controles muy estrictos en numerosos ámbitos.
Por un lado se encargarán de verificar desde las cuestiones técnicas y operativas de las plataformas de estos proveedores. Pero, por otro, investigarán a fondo las credenciales de los profesionales dedicados a trabajar en sus servicios, la solvencia de las empresas implicadas y su capacidad para garantizar la continuidad comercial de sus productos.
Las empresas que quieran acceder a los contratos gubernamentales deberán seguir un procedimiento establecido en este nuevo documento, cumplir una serie de requisitos específicos y bastante restrictivos y solicitar la evaluación de seguridad por separado. A continuación, un grupo de expertos en seguridad de la nube del CAC emitirá una recomendación que decidirá si esta compañía podría ser candidata a recibir la concesión de uno de estos contratos.
Y, si se aprueba, esta autorización tiene una validez de tres años, a menos que se requiera una nueva evaluación por cambios en la situación del proveedor. Como señalaron los creadores de esta nueva normativa, “Utilizando métodos tales como verificaciones puntuales y recibiendo informes, la Oficina lleva a cabo una supervisión continua de las plataformas en la nube que han pasado la evaluación, con énfasis en la supervisión de cuestiones como la efectividad, los cambios importantes, la respuesta de emergencia y la gestión de riesgos de las medidas de control de seguridad relevantes”.
Otro dato a tener en cuenta es que las empresas que transfieran más de 1.000 Gb de datos fuera del país deberán someterse a controles anuales. Aunque de momento los gigantes norteamericanos de la nube no tienen ningún contrato de relevancia con la administración de China, estas nuevas medidas han obligado a compañías como Microsoft, AWS o IBM a buscar asociaciones con empresas nacionales, a fin de prepararse ante la eventual posibilidad de optar a un contrato de servicios con el gobierno chino.