Esta semana hemos podido leer en prensa que Google ha certificado el SGSI de Google Apps, lo que abarca entre otros los siguientes servicios: GMail, Google Talk, Google Calendar, Google Docs/Drive (documentos, hojas de calculo y presentaciones), Google Sites, Control Panel (CPanel), Google Contacts, Google Video y Google Groups.

La verdad es que la lista de servicios incluidos en el alcance impresiona ya que nos aleja de la clásica práctica de muchas empresas (algunas grandes) de tener un alcance pequeñito, utilizar el correspondiente sello en todos los materiales comerciales y decir que la compañía está certificada.

Si bien una certificación así es un proyecto ambicioso y que puede aportar muchas mejoras a la gestión de la seguridad, estoy seguro que el hecho de que Microsoft Office 365 (principal competidor) ya estuviera certificada en ISO 27001 ha sido un factor decisivo para la certificación de Google Apps.

Para quien no se enterase en su momento, la guerra de certificaciones entre Google Apps y Microsoft Office 365 viene de lejos, concretamente de cuando el Departamento de Interior americano contrató el correo electrónico online a Microsoft y Google intentó meter cabeza alegando que como ellos también cumplían todos los requisitos de seguridad querían que saliera a concurso público. Finalmente resultó que Google presuntamente mintió ya que su producto no tenían la certificación FISMA (Federal Information Security Management Act) y fue Microsoft quien se quedó con el pastel no sin antes pasar por una dura guerra de abogados (noticia relacionada).

Dejando de lado los detalles de aquella batalla, ante una certificación de este tamaño no podemos evitar sentir curiosidad por echar un vistazo al inventario de activos de Google, saber como controlan la gestión de la capacidad de “la nube”, ojear los planes de continuidad, o ver un listado de la legislación que han seleccionado como aplicable, ya que seguro que podemos aprender muchas cosas o incluso ver hasta que punto han hecho la vista gorda con esas “cero no conformidades”.

Cuando se empezó a hablar de servicios en la nube pensé que haría falta sacar nuevos estándares, normas y leyes, ya que todo lo referente a tratamiento y almacenamiento online distribuido iba a ser complicadísimo de adecuar, pero después de todo parece ser que no va a ser necesario (aunque sí recomendable).

El caso de Google Apps y Microsoft Office 365 es un claro ejemplo de esa ventaja competitiva que siempre mencionamos cuando hablamos de las bondades de tener un SGSI certificado, pero por suerte para los que nos dedicamos a esto y por desgracia para los que se certifican solo por el sello, en un futuro cercano tener un SGSI certificado (incluso una nube certificada) pasará de ser un factor diferencial a un cumplimiento de mínimos donde los clientes nos dirán “o te certificas, o no juegas con nosotros”.

Fuente: Security Art Works