ENISA subraya la importancia de elaborar informes sobre incidentes en la informática de nube, especialmente en sectores críticos, con la finalidad de entender mejor la seguridad y fomentar la confianza. ENISA presenta un enfoque práctico que conlleva un programa de beneficio mutuo tanto para clientes como para proveedores.

Los incidentes de seguridad en la nube suelen atraer la atención de los medios de comunicación, ya que afectan a un gran número de usuarios; por ejemplo, un gran proveedor de servicios de almacenamiento sufrió recientemente una interrupción del servicio que duró dos días. No obstante, y debido a la falta de programas consistentes de elaboración de informes con relación a los incidentes de seguridad en la nube, es difícil entender las causas y el impacto de dichos incidentes. Para comprender mejor la resiliencia y la seguridad de los servicios de informática de nube, es importante debatir el tema con el sector y con el gobierno con el fin de llegar a un consenso por lo que respecta a los programas pragmáticos de elaboración de informes, los cuales proporcionarían información de utilidad a clientes, gobiernos y autoridades.

El Director ejecutivo de ENISA, el Profesor Udo Helmbrecht, ha declarado que: “La elaboración de informes sobre incidentes es crucial para entender mejor la seguridad y la resiliencia de las estructuras críticas de la información en Europa. La informática de nube se está convirtiendo en la columna vertebral de nuestra sociedad digital, por lo que es importante que los proveedores de servicios de nube mejoren sus niveles de transparencia y confianza con la adopción de programas eficientes de elaboración de informes sobre incidentes.”
El informe trata cuatro escenarios de informática de nube diferentes e investiga cómo podrían establecerse programas de elaboración de informes sobre incidentes que implicaran a proveedores de servicios de nube, a sus clientes, a los operadores de infraestructuras críticas y a las autoridades gubernamentales:
1.    A.El servicio de nube utilizado por un operador de estructuras críticas de información;
2.    B.El servicio de nube utilizado por clientes en varios sectores críticos;
3.    C.El servicio de nube para el sector gubernamental y la administración pública (una nube gubernamental);
4.    D.El servicio nube utilizado por pymes y ciudadanos.
Las encuestas realizadas y las entrevistas llevadas a cabo con expertos nos han permitido identificar ciertas cuestiones clave:
• En la mayoría de los Estados miembro de la UE no existe ninguna autoridad nacional que evalúe la transcendencia de los servicios de nube.
• Los servicios de nube suelen estar basados en otros servicios de nube. Este hecho incrementa la complejidad y complica la elaboración de informes sobre incidentes.
• Los clientes de los servicios de nube no incluyen obligaciones de elaboración de informes de incidentes en sus contratos de servicio de nube.

El informe contiene varias recomendaciones basadas en las opiniones de expertos en informática de nube de la industria y del gobierno:
• Los programas de elaboración voluntaria de informes apenas existen, por lo que podría ser necesario introducir una legislación para que los operadores en sectores críticos informaran acerca de los incidentes de seguridad.
• Las autoridades gubernamentales deberían incluir la obligatoriedad de elaborar informes sobre incidentes en sus bases de licitación.   
• Los operadores en sectores críticos deberían incluir la elaboración de informes sobre incidentes en sus contratos.
• Los programas de elaboración de informes sobre incidentes pueden proporcionar beneficios mutuos tanto a proveedores como a clientes, ya que incrementarían la transparencia y, por lo tanto, generarían una mayor confianza.
• Los proveedores deberían liderar esta iniciativa y establecer programas de elaboración voluntaria de informes que fueran eficientes y eficaces.

Directiva propuesta sobre la seguridad de las redes y la información (NIS, por sus siglas en inglés)

Estrategia de ciberseguridad de la UE