Cumplimiento, seguridad y control en la nube ¿Es posible?

Está claro que cloud computing es una de las tendencias corporativas identificadas con mayor desarrollo hasta la fecha, siendo adoptada por muchas organizaciones como solución a sus problemas de procesamiento de datos, pero ¿están claras las implicaciones que conlleva? ¿Se conocen los riesgos que se asumen? ¿Se hace lo suficiente por minimizarlos? A continuación, se destacan los principales aspectos a analizar en el paso a cloud, así como qué puntos a abordar en cada una de ellas, tanto desde el punto de vista del cumplimiento en materia de protección de datos de carácter personal en España, como desde la seguridad: computación

  • Gobierno y Gestión de Riesgos en la Empresa: se debe evaluar la capacidad de la organización para controlar y medir el riesgo empresarial introducido por el hecho de migrar sistemas o servicios a cloud computing, en base a aspectos tales como precedentes legales por incumplimiento de acuerdos, capacidad de los usuarios para evaluar adecuadamente el riesgo de un proveedor cloud, etc.
  • Aspectos legales (Contratos y Descubrimiento Electrónico): se deben analizar los requisitos de protección de la información y de los sistemas de procesamiento de datos, las leyes sobre violaciones de seguridad por divulgación, los requisitos regulatorios y de privacidad, leyes internacionales, etc. Concretamente, desde el punto de vista de la normativa de protección de datos en España, en todos los casos, el cliente que contrata servicios de cloud computing es el responsable del tratamiento de los datos, por lo que la normativa aplicable al cliente y al prestador del servicio es la legislación española sobre protección de datos (Ley Orgánica 15/1999 – LOPD –, de 13 de diciembre y Reglamento de desarrollo –RLOPD– aprobado por R.D. 1720/2007), la cual no puede modificarse contractualmente. En este aspecto, debe existir un contrato de prestación de servicios, en el que se incorporen entre sus cláusulas las garantías a las que obliga la LOPD. Entre dichas cláusulas, es sustancial valorar la posibilidad de subcontratación, debido a la mayor pérdida de control de los datos que esto conlleva. No obstante, esto solamente se podrá hacer siempre que el contrato sea negociado, y no de adhesión. Dado que en la mayoría de los casos lo que se oferta son contratos de adhesión constituidos por cláusulas contractuales cerradas en las que el proveedor cloud fija las condiciones con un contrato tipo igual para todos sus clientes sin que el usuario tenga ninguna opción para negociar sus términos, es importante tener en cuenta que esto no eximirá, a ninguno de los dos, de las responsabilidades que determina la LOPD. Por tanto, en caso de que intervengan terceras empresas (subcontratistas) en la prestación de servicios de cloud computing, el cliente debe dar su conformidad a la participación de terceras empresas, al menos delimitando genéricamente los servicios en los que participarán; y debe conocer las terceras empresas que intervienen. El proveedor de cloud por su parte, tiene que, informar al cliente sobre la tipología de servicios que pueden subcontratarse con terceros, y asumir en el contrato que los subcontratistas le ofrecen garantías jurídicas para el tratamiento de los datos equivalentes a los que él mismo asume.

De igual forma, se debe prestar especial atención a la localización de cada uno de los recursos físicos que emplea el proveedor para implementar el servicio, ya sea de forma directa o subcontratada, puesto que las garantías exigibles para la protección de los datos son distintas según los países en que se encuentren dichos datos, siendo más sencillo el cumplimiento de la legislación española en materia de protección de datos en caso que los datos estén localizados dentro del Espacio Económico Europeo, constituido por los países de la Unión Europea e Islandia, Liechtenstein y Noruega; ya que en estos casos no se considera legalmente que exista una transferencia internacional de datos. Por el contrario, si los datos están localizados en países que no pertenecen al Espacio Económico Europeo habría una trasferencia internacional de datos, debiendo en estos casos proporcionarse garantías jurídicas adecuadas. Estas garantías se consideran adecuadas en los siguientes supuestos:

  • El país de destino ofrece un nivel de protección equivalente al del Espacio Económico Europeo y así se haya acordado por la Agencia Española de Protección de Datos o por Decisión de la Comisión Europea. Aquí puedes accede a la lista de países con nivel adecuado de protección. En ese caso será́ suficiente con hacer constar la transferencia en la notificación del fichero realizada a la Agencia Española de Protección de Datos para su inscripción en el Registro General de Protección de Datos.
  • Las proporcionadas por las empresas ubicadas en los Estados Unidos que hayan suscrito los principios de Puerto Seguro o Safe Harbour. Al igual que en el caso anterior será suficiente con hacer constar la transferencia en la notificación del fichero a la Agencia Española de Protección de Datos.
  • En otro caso, la transferencia internacional de datos necesitará autorización del Director de la Agencia Española de Protección de Datos, que podrá́ otorgarse en caso de que el exportador de datos aporte garantías adecuadas.

Por último, se debe tener en cuenta que cuando los datos están localizados en terceros países podría suceder que una Autoridad competente pueda solicitar y obtener información sobre los datos personales de los que el cliente es responsable. En este caso el cliente debería ser informado por el proveedor de esta circunstancia (salvo que lo prohíba la ley del país tercero).

  • Cumplimiento Legal y Auditoría: se debe evaluar el nivel de cumplimiento legal con políticas de seguridad internas y también diversos requisitos de cumplimiento (normativos, legislativos y de otro tipo) a fin de poder demostrar el cumplimiento legal durante una auditoria. En este aspecto, es primordial tener en cuenta la transparencia del servicio. Concretamente, desde el punto de vista de la LOPD y su Reglamento, el cliente deberá tener la opción de comprobar las medidas de seguridad, o bien el proveedor de cloud computing debe acreditarle que dispone de una certificación de seguridad adecuada, o incluso puede acordarse que un tercero independiente audite la seguridad. En este último caso, debe conocerse la entidad auditora y los estándares reconocidos que aplicará.

Asimismo, deben preverse mecanismos que garanticen el borrado seguro de los datos cuando lo solicite el cliente y, en todo caso, al finalizar el contrato. Un mecanismo apropiado es requerir una certificación de la destrucción emitido por el proveedor de cloud computing o por un tercero. De igual modo, el cliente de cloud computing, como responsable del tratamiento de datos, debe permitir el ejercicio de los derechos ARCO a los ciudadanos. Para ello, el proveedor de cloud debe garantizar su cooperación y las herramientas adecuadas para facilitar la atención de dichos derechos.

  • Gestión de la Seguridad de la Información y de los Datos: se deben analizar los aspectos que rodean la identificación y control de los datos en cloud, así como qué controles de compensación se pueden utilizar para tratar la pérdida de control físico al mover datos a cloud, quién es el responsable de la confidencialidad, integridad y disponibilidad. Además, en base a la normativa de protección de datos en España, el proveedor del servicio cloud debe comprometerse a garantizar la confidencialidad utilizando los datos sólo para los servicios contratados y a dar instrucciones al personal que depende de él para que mantenga la confidencialidad.
  • Portabilidad e Interoperabilidad: se debe analizar la capacidad de mover datos/servicios de un proveedor a otro o traerlos de vuelta por completo a la organización, así como cuestiones relacionadas con la interoperabilidad entre proveedores. Este es un aspecto importante que debe tenerse en cuenta a la hora de utilizar servicios de cloud, sobre todo públicos, pues cuanto más cerrado a la portabilidad sea el proveedor mayor será́ la dificultad, o incluso imposibilidad, de poder realizar esa transferencia a un coste razonable que haga que, de hecho, el cliente esté cautivo del proveedor.
  • Seguridad Física, Continuidad de Negocio y Recuperación de Desastres: cloud computing afecta a los procesos operativos y procedimientos que se utilizan actualmente para implementar estos tres aspectos, por ello, la continuidad del negocio, la recuperación ante desastres y los entornos de seguridad física del proveedor de servicios de Cloud deben ser evaluados a fondo, y de acuerdo a los estándares de la industria. Del mismo modo, debe prestarse especial atención al establecimiento de una función de seguridad física y al control físico de los recursos humanos con el fin de minimizar el riesgo de que el personal del propio proveedor de Cloud comprometa las operaciones y el servicio prestado.
  • Respuesta, Notificación y resolución de incidentes: se debe identificar, tanto a nivel de proveedor como de usuario, los elementos necesarios para lograr una gestión eficiente y eficaz de los incidentes de seguridad que involucren a los recursos en cloud. Además, desde el punto de vista de la normativa de protección de datos en España, el cliente debe ser informado diligentemente por el proveedor de cloud sobre las incidencias de seguridad que afecten a los datos de los que el propio cliente es responsable, así como de las medidas adoptadas para resolverlas o de las medidas que el cliente ha de tomar para evitar los daños que puedan producirse (p. ej. informar a sus propios clientes sobre cómo proteger su información personal).
  • Seguridad de las Aplicaciones: se debe securizar el software de aplicación que se ejecuta en cloud o está siendo desarrollado en cloud. Esto incluye aspectos tales como si es apropiado migrar o diseñar una aplicación para que se ejecute en cloud y, si es este el caso, qué tipo de plataforma es más apropiada (SaaS, PaaS o IaaS).
  • Cifrado y gestión de claves: se debe identificar qué información es verdaderamente necesario cifrar, así como el uso correcto del cifrado y de una gestión de claves escalable.
  • Gestión de Identidades y de Acceso: se deben identificar los requisitos de gestión de accesos, identidad y concesión de autorización de cada aplicación cloud. Para ello, se debe analizar la gestión de identidades y el aprovechamiento de los servicios de directorio para proporcionar control de acceso, teniendo en cuenta los problemas encontrados cuando se extiende la identidad de una organización en cloud y evaluando el grado de preparación de la organización para llevar a cabo Identity, Entitlement, and Access Managememnt (IdEA) basado en cloud.
  • Virtualización: se deben analizar los riesgos asociados a multi-tenancy, el aislamiento y la co-residencia de Máquinas Virtuales, vulnerabilidades del hypervisor, etc.

Abordar soluciones concretas y de calidad requiere analizar cada caso de manera individual, estudiando el modelo de negocio y la información asociada al servicio cloud. No obstante, a continuación se muestra un método rápido para determinar la viabilidad de un movimiento de un activo a alguno de los modelos de Cloud que puede ayudar a hacer una evaluación de riesgos preliminar y a tomar decisiones de seguridad adecuadas.

  1. Identificar los Activos que se quieren desplegar en Cloud: determinar con precisión qué datos y funcionalidades se está considerando mover.
  2. Valorar los activos: determinar la importancia de las operaciones y/o datos para la organización (valorar los activos en sus necesidades de confidencialidad, integridad y disponibilidad, y como el riesgo varia si el activo se lleva total o parcialmente a cloud).
  3. Valorar el activo en los distintos modelos de despliegue Cloud: identificar los modelos de despliegue que mejor se ajustan. Antes de buscar posibles proveedores de servicio, se debería conocer si los riesgos de los distintos modelos son aceptables: nube pública, privada, comunitaria o híbrida; y escenarios de alojamiento: interno, externo o combinado.
  4. Valorar los potenciales modelos de servicio (IaaS, SaaS y PaaS) y proveedores Cloud: este paso se enfoca en el grado de control que se dispondrá en cada nivel de servicio Cloud, para implantar medidas de control del riesgo.
  5. Describir los flujos de datos: si se está evaluando un despliegue específico, han de describirse los flujos de datos entre la organización, el servicio Cloud, los clientes y otros actores que intervengan. Aunque gran parte de esta descripción ya se debería haber hecho en fases anteriores, es completamente esencial entender si los datos se mueven a Cloud y como se hace este movimiento antes de tomar una decisión final.