Examples

Los datos residen en sistemas tecnológicos que se encuentran fuera del alcance del firewall de la empresa. Por este motivo, existe una gran reticencia al uso de la tecnología cloud en las empresas privadas y organizaciones públicas, en los sistemas de la entidad que contienen información crítica para la misma.

La seguridad y privacidad de la información que se traslada a la nube es uno de los aspectos más importantes para las compañías. Es evidente que los servicios de cloud computing prestados por el proveedor, implican un determinado nivel de confianza por parte de los contratantes del servicio en dichos proveedores, ya que se delega en un operador externo todas las acciones y la responsabilidad de la información de los datos corporativos y su control y gobierno. Además, dependiendo de la naturaleza de los procesos y datos externalizados, la casuística es aún más compleja al condicionarse la contratación y operación por el marco de la Ley Orgánica de Protección de Datos.

La LOPD y su reglamento de desarrollo33 establecen una serie de medidas de seguridad, técnicas y organizativas, a la hora de tratar datos de carácter personal. Se regulan aspectos de aplicación como la transferencia internacional de datos, subcontratación, atención de derechos ARCO (derecho de acceso, rectificación, cancelación u oposición sobre los datos de carácter personal), etc. Resulta especialmente interesante para el sector las disposiciones relativas al cumplimiento de la Ley en la transferencia internacional de datos.

Además de la LOPD, existe otras dos normas de gran importancia en el entorno del cloud computing: LSSI (Ley 34/2002 de 11 de julio de Servicios de la Sociedad de Información y de Comercio Electrónico) y SOX (Ley Sarbanes Oxley de 2002). La primera, de origen español, tiene por objetivo la regulación del régimen jurídico de los servicios de la Sociedad de la Información y de la contratación por vía electrónica, en lo referente a: obligaciones de los prestadores de servicios en la transmisión de contenidos por las redes de telecomunicaciones, comunicaciones comerciales por vía electrónica, información previa y posterior a la celebración de contratos electrónicos, condiciones relativas a su validez y eficacia, y régimen sancionador aplicable a los prestadores de servicios de la Sociedad de la Información.

Por su parte, la Ley SOX, nace en Estados Unidos con el objetivo de generar un marco de transparencia para las actividades y reportes financieros de las compañías que cotizan en bolsa, lo que le aporta más confianza y mayor certidumbre a los accionistas y al propio Estado. Esta norma, incluye la generación de controles del riesgo que afectan directamente a los Sistemas de Información, y que deben de mantenerse en un escenario de cloud computing.

Así, todo contexto contractual entre el suscriptor y el proveedor debe contextualizarse en un marco de confianza fundamentado en el cumplimiento de estándares y políticas de seguridad por parte de ambas partes.

33 Ley orgánica 15/1999 de Protección de Datos de carácter personal. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

Cloud Computing. Retos y Oportunidades

Gráfico 16. Marco de confianza

Fuente: ONTSI

El proveedor de servicios cloud debe garantizar el cumplimiento de los procesos y técnicas exigidas y certificadas por dichos estándares, mientras que el suscriptor debe aplicar una política adecuada de control y gestión del riesgo tecnológico. Dentro de esta política de control y

gestión del riesgo tecnológico, y previamente a la adopción de modelos de computación en la nube en una organización, es necesario realizar un estudio de la implementación, donde se

tengan en cuenta aspectos de seguridad y continuidad de negocio.

El cumplimiento normativo será uno de los factores clave a la hora de llevar a cabo dicho estudio de implementación.

Como paso inicial, es necesario identificar la normativa aplicable. Para ello, es imprescindible analizar factores como los siguientes:

 Información que se desea llevar a la nube.

 Sector de la compañía.

 Familia de servicio que se desea contratar (SaaS, PaaS, IaaS, BPaaS).

Constituir un marco de

confianza efectivo es crucial para el desarrollo del mercado del cloud computing en Europa.

Cloud Computing. Retos y Oportunidades

 Criticidad del proceso de negocio que soportará la nube.

En función de los requisitos establecidos por las diferentes normativas que sean de aplicación, se elaborarán los requisitos normativos, con los que se validará si un determinado proveedor puede considerarse como una alternativa válida para ofrecer el servicio deseado.

El cliente, como responsable de los datos, tiene la obligación de exigir que el proveedor de servicios establezca todas las medidas de seguridad, técnicas y organizativas, que requiere la LOPD y su reglamento.

Se mantiene así la responsabilidad del cliente sobre la seguridad de los datos. En este sentido, la externalización, lejos de evitar problemas por delegar la seguridad de los datos en un tercero, introduce un riesgo de cumplimiento para el responsable de los datos, quedando a expensas del buen hacer del proveedor.

Adicionalmente a los requisitos normativos y al riesgo de cumplimiento, la propia organización deberá analizar qué requisitos de seguridad considera necesario aplicar.

Los requisitos de seguridad deben estar acordes con:  La política de seguridad de la compañía.

 El nivel de seguridad requerido en función del tipo de información.

 Los requerimientos de la compañía en cuanto a la disponibilidad del servicio.  El proceso de negocio al que vaya a dar soporte el servicio.

 Disponibilidad del sistema y tiempos de recuperación.  Gestión y comunicación de incidentes de seguridad.

 Borrado seguro.

 Exportación de los datos almacenados.

Una vez analizado el nivel de cumplimiento de los requisitos normativos y de seguridad por parte del proveedor, la compañía debe ser consciente de que el carácter externalizado y las particularidades del modelo de computación en la nube supondrán en todo caso una serie de riesgos de seguridad.

Los riesgos de seguridad deberán ser analizados por negocio y asumidos por el máximo responsable del proceso de negocio al que se vaya a dar soporte. Por ello, se deben requerir explícitamente por contrato las medidas de seguridad a implementar.

Algunas de estas medidas son:

Cloud Computing. Retos y Oportunidades

 Copias de respaldo y procedimientos de restauración de datos.  Control de acceso.

 Identificación y autenticación.  Gestión de incidencias.

 Gestión de soportes de almacenamiento.

 Comunicación cifrada de la información.  Registro de accesos a datos de nivel alto.

A continuación, se muestran algunos ejemplos de riesgos de seguridad que podrían ser de aplicación ante una eventual contratación de servicio de cloud computing:  Fuga de información provocada por ataques a la plataforma.

 Incapacidad de migración de los datos ante la finalización del servicio.  Borrado no seguro de la información.

 Incidencias/incidentes no comunicadas.

 Pérdida de disponibilidad de la información y/o del servicio.  Pérdida de información por fallo del proveedor.

Otra norma34 de ámbito nacional de relevancia en materia de seguridad es la ―Ley 8/201135, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas‖ entre las que se encuentran aquellas pertenecientes al sector de las tecnologías de la información y las telecomunicaciones.

Los objetivos principales perseguidos por esta ley son:

 Regular la protección de infraestructuras críticas contra ataques deliberados de todo tipo (tanto de carácter físico como cibernético).

 Definir un sistema organizativo de protección de dichas infraestructuras que aglutine a las Administraciones Públicas y entidades privadas afectadas.

34 Esta Ley nace de la necesidad de transposición a la legislación nacional de la Directiva 2008/114 del Consejo de 8 de diciembre sobre identificación y designación de Infraestructuras Críticas Europeas y la evaluación de la necesidad de mejorar su protección.

35 Ley 8/2011, de 28 de abril, por la que se establecen medidas para la protección de las infraestructuras críticas (BOE de 29 de abril).

Cloud Computing. Retos y Oportunidades

 Establecer las medidas de protección de infraestructuras críticas que proporcionen una base adecuada de colaboración entre las Administraciones Públicas y aquellas entidades u organismos gestores o propietarios de infraestructuras que presten servicios esenciales para la sociedad.

Para asegurar la consecución de los referidos objetivos se crea el Centro Nacional para la Protección de las Infraestructuras Críticas36 como órgano de asistencia al Secretario de Estado de Seguridad. Al mismo tiempo se crea un Catálogo Nacional de Infraestructuras Estratégicas cuyo responsable es el Ministerio del Interior a través de la Secretaría de Estado de Seguridad. Este instrumento contendrá toda la información y valoración de las infraestructuras estratégicas del país, entre las que se hallarán incluidas aquellas clasificadas como Críticas o Críticas Europeas. La competencia para clasificar una infraestructura como estratégica, y en su caso como infraestructura crítica o infraestructura crítica europea, así como para incluirla en el Catálogo Nacional de Infraestructuras Estratégicas, corresponderá al Ministerio del Interior.

Dentro del marco de la citada ley como del ―Reglamento de protección de las infraestructuras críticas37‖ que la desarrolla, es especialmente relevante la labor asignada al Grupo Informal de Protección de Infraestructuras Críticas (GIPIC). Su objetivo principal consiste en orientar y asesorar a los futuros operadores críticos en la elaboración del Plan de Seguridad del Operador (PSO) y de los Planes de Protección Específicos (PPE). Colaboran en el GIPIC, además del Centro Nacional para la Protección de las Infraestructuras Críticas, como organismo responsable y director de los trabajos, otros organismos públicos y privados españoles entre los que tiene un papel destacado Ingeniería de Sistemas para la Defensa de España (ISDEFE).

Dentro del Plan Nacional de Protección de Infraestructuras Críticas las instalaciones, redes, sistemas y equipos físicos y de tecnología de la información sobre las que descansa el funcionamiento de los servicios esenciales son consideradas como infraestructuras estratégicas.