“Vamos a extender la certificación ISO 27001 a todos los demás productos cloud”

Los servidores dedicados de OVH han obtenido la certificación ISO 27001. ¿Cómo valora este hecho?

J. L.: La certificación ISO 27001 es un estándar reconocido mundialmente para servicios de alta seguridad. Cumplir con la norma ISO 27001 no es un desafío en sí mismo, ya que solo significa entregar el servicio implementando un gran conjunto de funciones de seguridad adicionales y poder demostrar su efectividad mediante el uso de un proceso de evaluación estandarizado. Básicamente significa tener una gran cantidad de recursos adicionales para implementar, administrar y monitorear la seguridad del día a día de manera formal. Para el cliente, esta garantía adicional generalmente conlleva importantes costes adicionales.

Lo que es espectacular acerca de la certificación OVH ISO 27001 para los servidores ‘bare metal’ es el volumen del alcance. El alcance de la certificación abarca 400 000 servidores que se ponen directamente a disposición de los clientes de OVH como Servidor Dedicado o utilizados como infraestructura subyacente para alojar otros productos OVH.

La segunda particularidad es el modelo de implementación. Seguimos el enfoque industrializado de OVH para implementar el marco ISO 27001 bajo el concepto Seguridad como código. Toda acción humana debe limitarse solo a las actividades que un software no puede lograr, como en un análisis profundo o en la coordinación. La consecuencia es que la mayoría de las inversiones para la certificación no son costes recurrentes. Esto ocasiona una economía de escala masiva que permite que el precio de los servicios de OVH para los clientes no se vea afectado.

OVH tiene una larga experiencia con la norma ISO 27001, ya que el producto “Private Cloud» está certificado desde hace seis años

OVH tiene una larga experiencia con la norma ISO 27001, ya que el producto “Private Cloud» está certificado desde hace seis años. El hecho de que ahora también se incluya para los servidores dedicados del grupo implica un nuevo paso importante para OVH en términos de seguridad, lo que redundará en un gran beneficio para todos los clientes que utilizan productos cloud.

¿Cómo orquestan su estrategia de seguridad?

J. L.: Confiamos en una organización formal, basada en los requisitos de la norma ISO 27001 e implementada dentro de herramientas internas. Intentamos implementar todo el proceso dentro de los sistemas de emisión de tickets y automatizar todo lo que podamos para el seguimiento y la generación de informes.

Los objetivos de seguridad se definen a nivel de grupo a través de la Política de Seguridad de la Información y se crean instancias a nivel de producto para alinearlos con los requisitos de los clientes con un enfoque sólido basado en el riesgo. Organizamos reuniones periódicas para garantizar que el sistema de gestión de seguridad de la información genere los resultados correctos e informamos a la dirección de OVH para alinear los recursos y proyectos necesarios con los objetivos de seguridad. La organización de la seguridad es impulsada por la alta gerencia e implementada de forma técnica por el equipo de producto con la ayuda del equipo de seguridad que garantiza que la seguridad se mantenga eficiente en el tiempo y gestione la organización de todos los procesos de seguridad.

¿De qué manera cumplen con el GDPR?

J. L.: Una parte importante del cumplimiento de GDPR está relacionada con garantizar la protección de la información de identificación personal (PII) de nuestros clientes y los clientes de nuestros clientes. Dado que no conocemos el tipo de datos que nuestros clientes alojan en nuestro servicio, debemos considerar un nivel máximo de seguridad, independientemente de los datos alojados, ya que podrían ser datos confidenciales como los de PII. En OVH, los equipos de seguridad trabajan en estrecha colaboración con el DPO y su equipo para garantizar que el conjunto de controles de seguridad implementados sea adecuado para garantizar un alto nivel de protección para cualquier PII que pueda hospedarse en el servicio de OVH.

¿Son sus clientes conscientes de la necesidad de proteger sus datos?

J. L.: La mayoría de las veces, nuestros clientes son conscientes de la sensibilidad de los datos que alojan en los servicios de OVH, ya que se enfrentan a requisitos legales o comerciales asociados con su sector empresarial. Garantizamos una sólida seguridad de la capa de la infraestructura que se ajusta a la mayoría de los requisitos. Nuestros clientes son responsables de la seguridad de los sistemas y aplicaciones alojados en la infraestructura de OVH. Tener una clara división entre OVH y los clientes en términos de responsabilidad sobre los controles de seguridad es fundamental para que la seguridad se maneje de la manera correcta y para garantizar que no haya un punto ciego o una superposición en la cobertura de seguridad. El marco que establece el estándar ISO 27001 nos lleva a definir esta división de responsabilidad sin ambigüedad. Además de tener un fuerte compromiso con la seguridad de las capas de la infraestructura, también ofrecemos muchas herramientas y asesoramos a nuestros clientes para que utilicen el servicio de forma segura. A su vez, implementamos una gran cantidad de actividades de seguimiento para detectar ataques a sistemas de la información de clientes alojados en la infraestructura OVH.

¿Van a adoptar alguna otra certificación en breve?

J. L.: Seguimos un plan de certificación para nuestros productos, comenzando con la norma ISO 27001. Después, implementamos la certificación AICPA SOC 1 y 2 y, finalmente, una línea de negocios específica o una certificación geográfica para atender las necesidades específicas de los clientes. Por lo tanto, nuestro objetivo es extender la certificación ISO 27001 a todos los demás productos cloud y alcanzar certificaciones adicionales para satisfacer las necesidades del mercado. Nuestra prioridad es alinear nuestras soluciones con las regulaciones locales para alojar datos sensibles regulados, como los datos sanitarios o aquellos protegidos por el estado. Trabajamos activamente en estos temas.

¿Cómo van a potenciar la ciberseguridad de cara al futuro?

J. L.: OVH invierte masivamente en seguridad. Desplegamos equipos, herramientas y procesos para mejorar la seguridad de nuestros sistemas y productos. Desarrollamos nuestros productos para implementar las funciones más modernas y avanzadas de seguridad y para adaptar el arsenal de nuestros clientes a un entorno de amenazas en constante evolución. Por ejemplo, nuestro sistema anti-DDoS se incluye en todos los productos cloud sin cargos adicionales. También trabajamos para implementar otras características de seguridad opcionales para ayudar a nuestros clientes a proteger sus sistemas a su entorno de amenaza específico o contexto legal. Por ejemplo, implementamos funciones de cifrado opcionales o autenticación multifactor. Ofreceremos progresivamente nuevas opciones, desarrolladas internamente en OVH o integrando soluciones de socios a nuestros productos para ayudar a nuestros clientes a proteger su sistema con un conjunto de controles de seguridad perfectamente adaptados a sus propios riesgos específicos.