La apoteosis de Heracles (X). Contratar en la Nube

Relieve de un sarcófago: el León de Nemea, la Hidra de Lerna, el Jabalí de Erimanto, la Cierva de Cerinea, las Aves del Estínfalo, el Cinturón de Hipólita, los Establos de Augías, el Toro de Creta y las Yeguas de Diomedes.
Marie-Lan Nguyen – Marie-Lan Nguyen (septiembre de 2009)

La contratación por parte de las Administraciones Públicas de servicios de computación en la nube que impliquen el tratamiento de datos de carácter personal, requiere la formalización de un contrato escrito en los términos previstos en el artículo 12 de la LOPD y en los artículos 20 a 22 de su reglamento de desarrollo.

Estos requisitos han sido específicamente recogidos en el ámbito de la contratación pública en la disposición adicional vigesimosexta del Real Decreto Legislativo 3/2011, de 14 de noviembre, por el que se aprueba el texto refundido de la Ley de Contratos del Sector Público, que establece que:

  • El prestador de servicios de computación en la nube tendrá la consideración de encargado de tratamiento.
  • Al término de la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos a la entidad contratante responsable, o al encargado del tratamiento que ésta hubiese designado

 

Esta disposición también regula la posible subcontratación de servicios por parte del encargado de tratamiento, el prestador de servicios de computación en la nube, que deberá reunir los siguientes requisitos:

  • Que dicho tratamiento se haya especificado en el contrato firmado por la administración contratante y el prestador de servicios de computación en la nube.
  • Que el tratamiento de datos de carácter personal se ajuste a las instrucciones de la administración que actúa como responsable del tratamiento.
  • Que el prestador de servicios encargado del tratamiento y el tercero formalicen el contrato en los términos previstos en el artículo 12.2 de la LOPD, que impone que la realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato

En los contratos de prestación de servicios de computación en la nube deben especificar las medidas técnicas y organizativas que el prestador de servicios tiene previsto implantar para garantizar la seguridad de los datos.

Asimismo, los especiales requisitos de disponibilidad, confidencialidad e integridad que puedan requerir ciertos servicios electrónicos prestados por las Administraciones Públicas (por ejemplo, en el caso de las sedes electrónicas) deben reflejarse en el contrato mediante un Acuerdo de Nivel de Servicio en el que se especifiquen los indicadores de calidad de servicio que van a ser medidos y los valores mínimos aceptables de los mismos.

Victoria Zafra Muñoz
Francisco José Sánchez Laguna
Ana María Chups Rodríguez

La apoteosis de Heracles (IX). Cumplimiento técnico y legal de la LOPD por parte de las Administraciones Públicas en la nube

Relieve de un sarcófago: el León de Nemea, la Hidra de Lerna, el Jabalí de Erimanto, la Cierva de Cerinea, las Aves del Estínfalo, el Cinturón de Hipólita, los Establos de Augías, el Toro de Creta y las Yeguas de Diomedes.
Marie-Lan Nguyen – Marie-Lan Nguyen (septiembre de 2009)

Los prestadores de servicios en Internet y, especialmente, los de servicios de computación en la nube, deben cumplir una serie de requerimientos establecidos por la Ley Orgánica de Protección de Datos (LOPD) del 13 de diciembre de 1999. Sin embargo, hasta el 26 de abril de 2013 del presente año, la Agencia Española de Protección de Datos (AEPD) no ha emitido las siguientes guías:

Una para los prestadores de servicios en la nube, titulada “Orientaciones para prestadores de servicios de Cloud Computing” 5.

Otra para los clientes, titulada “Guía para clientes que contraten servicios de Cloud Computing”.

La emisión de estas guías por la AEPD, entidad con capacidad sancionadora, pone de manifiesto el énfasis que están dando al cumplimiento de la legislación en estos servicios

Además de la LOPD y de su reglamento de desarrollo, las Administraciones Públicas están sujetas a un marco legal específico, al que debe adecuarse cualquier servicio basado en la nube que utilicen:

  • Ley de Contratos del Sector Público (Real Decreto Legislativo 3/2011, de 14 de noviembre).
  • Ley 11/2007 de Acceso Electrónicos de los Ciudadanos a los Servicios Públicos, y
  • RD 1671/2009 que desarrolla parcialmente esta ley.

El Esquema Nacional de Seguridad (ENS) y el Esquema Nacional de Interoperabilidad (ENI) (Reales Decretos 3/2010 y 4/2010, de 8 de enero).

Victoria Zafra Muñoz
Francisco José Sánchez Laguna
Ana María Chups Rodríguez

La apoteosis de Heracles (VII). Riesgos de la computación en la nube. Recomendaciones.

Relieve de un sarcófago: el León de Nemea, la Hidra de Lerna, el Jabalí de Erimanto, la Cierva de Cerinea, las Aves del Estínfalo, el Cinturón de Hipólita, los Establos de Augías, el Toro de Creta y las Yeguas de Diomedes.
Marie-Lan Nguyen – Marie-Lan Nguyen (septiembre de 2009)

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) en su “Estudio sobre el computación en la nube en el sector público en España” recoge lo siguiente:

La necesidad de atender a la demanda de los usuarios, en ocasiones impide realizar una correcta gestión de los riesgos que podrían 2perturbar su actividad. Por ello, es recomendable identificar los riesgos relacionados con el computación en la nube. El principal inconveniente se centra en la falta de control y supervisión que tiene la entidad contratante al tratarse de un sistema alojado en la nube.

La seguridad se califica como el inhibidor número uno a la hora de elegir las aplicaciones en la nube y, en concreto, el no cumplimiento de la LOPD.

Aunque los riesgos asociados a la nube no son exclusivos de este modelo, con ésta, algunos pueden ser mayores. Pueden resumirse en cuatro grandes bloques:

  1. Falta de interoperabilidad,
  2. pérdida del control,
  3. deslocalización geográfica y
  4. falta de garantías por parte de los proveedores.

Vamos a ir detallándolos poco a poco a continuación.

Victoria Zafra Muñoz
Francisco José Sánchez Laguna
Ana María Chups Rodríguez

La apoteosis de Heracles (VIII). ¿Qué implica que tengamos nuestros datos o procesos alojados en la nube?

Relieve de un sarcófago: el León de Nemea, la Hidra de Lerna, el Jabalí de Erimanto, la Cierva de Cerinea, las Aves del Estínfalo, el Cinturón de Hipólita, los Establos de Augías, el Toro de Creta y las Yeguas de Diomedes.
Marie-Lan Nguyen – Marie-Lan Nguyen (septiembre de 2009)

Estos son los riesgos y algunas de las recomendaciones que ha marcado la organización internacional CSA (Cloud Security Alliance), una de las organizaciones líderes en el sector.

Riesgos sobre la información: falta de transparencia y falta de control. Estos riesgos son inherentes a la elección del proveedor. Falta de transparencia en cuanto a la existencia de subencargados, controles de acceso o medidas de seguridad, dificulta al responsable la posibilidad de evaluar riesgos y establecer controles adecuados. Y falta de control, en cuanto que el responsable no controle el uso y gestión de los datos personales por parte de los agentes implicados en el servicio. La falta de control del responsable se manifiesta, por ejemplo, ante las dificultades para conocer en todo momento la ubicación de los datos (riesgo de cesión de datos a terceros países), las dificultades a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato válido e interoperable, los obstáculos a una gestión efectiva del tratamiento o, en definitiva, la ausencia de control efectivo a la hora de definir los elementos sustantivos del tratamiento en lo tocante a salvaguardas técnicas y organizativas.

Recomendación: Debe tenerse muy presente que las autoridades competentes de los países en los que se tratan los datos podrían solicitar acceder a dicha información, en ocasiones, incluso sin notificar a su legítimo dueño. Esto es especialmente relevante con datos que son responsabilidad de Administraciones Públicas. Por este motivo, es fundamental obtener la información necesaria al respecto sobre el prestador de servicios.

Riesgos técnicos: pese a que un servicio presente buenas características desde el punto de vista funcional, es necesario que los riesgos técnicos también sean considerados.

Dimensión inadecuada de los recursos: debe calcularse de manera continuada para que los usuarios puedan usarlos con normalidad.

Recomendación: en caso de que se estime una etapa más exigente, (por ejemplo, debido a múltiples accesos concurrentes) se debe comunicar al proveedor para que los dimensione adecuadamente.

Compartición de recursos: los sistemas del proveedor pueden estar compartidos por distintos clientes.

Recomendación: es necesario que se implementen los controles de seguridad adecuados para que los usuarios no puedan acceder a información ajena y sólo puedan acceder a los recursos sobre los que tengan permiso, así como diseñar buenas prácticas para la instalación y configuración. Es recomendable monitorizar los entornos para detectar cambios no deseados en las configuraciones o la actividad. Proporcionar autenticación fuerte y control de acceso y la corrección de vulnerabilidades ante posibles accesos a recursos no compartidos.

Comunicaciones inseguras: Internet es la vía para que un usuario tenga acceso a un servicio de computación en la nube.

Recomendación: el proveedor debe asegurar el completo y correcto cifrado de las comunicaciones.

Abuso de privilegios: los administradores del proveedor van a tener privilegios completos sobre el servicio externalizado.

Recomendación: debe existir la posibilidad de monitorizar o tener trazabilidad sobre todas las acciones que puedan realizar los administradores.

Denegación de servicio[1] (DoS): las empresas proveedoras de servicios en la nube pueden ser objetivos de ataques externos y de la ciberdelincuencia. Uno de los ataques más comunes es la denegación de servicio, que provoca la inaccesibilidad de usuarios al sistema.

Recomendación: mediante la implantación de sistemas de detección, que interceptan la anomalía en el tráfico de red y hacen análisis del mismo. Así como sistemas de mitigación, que mediante un análisis estadístico, se encargan de separar el tráfico limpio del que no lo es usando un túnel GRE[2] cifrado.

Eliminación incompleta de la información: cuando el usuario decide borrar parte o la totalidad de su información, puede quedar parte de la misma en el sistema sin apercibimiento por parte del usuario.

Recomendación: el proveedor debe garantizar la eliminación total de la información que los usuarios han estado tratando en sus sistemas, cuando proceda. Dicho acuerdo debe cerrarse contractualmente, presentándose en último lugar los certificados de destrucción o borrado que procedan.

Riesgo de acceso poco restrictivo: esta amenaza afecta principalmente a los modelos de servicio IaaS y PaaS. Significa que creadores de código malicioso usen la nube como centro de operaciones.

Recomendación: el proveedor debe prevenir problemas de seguridad asegurándose de que la autenticación y los controles de acceso se implementan teniendo en cuenta el cifrado de los datos.

Riesgos por amenazas internas: la amenaza que suponen los propios usuarios es una de las más importantes, dado que tienen acceso de forma natural a los datos y aplicaciones de la empresa. En un entorno en la nube, esto no es en absoluto diferente, ya que se pueden desencadenar igualmente incidentes de seguridad provocados por empleados descontentos y accidentes por error o desconocimiento.

Recomendaciones:              especificar cláusulas legales y de confidencialidad en los contratos laborales y favorecer la agilidad en los procesos de notificación entre  empresa y proveedor cuando existan bajas en la empresa, son dos recomendaciones a tener en cuenta.

Riesgos por pérdidas o fuga de información: en la nube, aumenta el riesgo de que los datos se vean comprometidos, ya que el número de interacciones entre ellos se multiplica debido a la propia arquitectura de la misma. Esto deriva en pérdida de imagen de la compañía, daños económicos y, si se trata de fugas, problemas legales, infracciones de normas, etcétera. Normalmente se debe a un mal uso de las claves de cifrado y del software o bien autenticaciones, autorizaciones y/o auditorías débiles.

Recomendaciones:              implementar API[3] potentes para el control de acceso. Proteger el tránsito de datos mediante el cifrado de los mismos. Analizar la protección de datos tanto en tiempo de diseño como en tiempo de ejecución. Además, proporcionar mecanismos potentes para la generación de claves, así como el almacenamiento y la destrucción de la información, es importante a la hora de definir una política frente a las posibles pérdidas de información. Se debe definir por contrato el procedimiento de destrucción de los datos antes de que los medios de almacenamiento sean eliminados de la infraestructura, así como la política de copias de seguridad.

Riesgos por desconocimiento: si la computación en la nube repercute en reducción de costes, tanto económicos como operacionales, no puede ser motivo para el deterioro de la seguridad por falta de conocimiento de esta infraestructura.

Recomendaciones: para decidir las medidas de seguridad que se han de implementar en un entorno en la nube, es conveniente conocer, al menos en parte, la información técnica de la plataforma. Datos como con quién se comparte la infraestructura o los intentos de acceso no autorizados pueden resultar muy importantes a la hora de decidir la estrategia de seguridad. La carencia de información de este tipo, puede derivar en brechas de seguridad desconocidas por el afectado. Por ello, tener acceso a los registros de actividad (‘logs’) de aplicaciones y datos es muy importante para mitigar este problema. Así podremos estar al corriente de los detalles de la infraestructura, así como monitorizar y recibir alertas sobre el uso de información crítica.

Riesgos legales y contractuales: el volumen y la sensibilidad de los datos que gestionan las Administraciones Públicas, así como la posibilidad de tratamiento de datos fuera del territorio nacional, conlleva unos riesgos específicos que deben ser objeto de un análisis riguroso en cada escenario en el que se plantee su utilización.

Recomendación: es necesario saber que debe existir un marco común de actuación tanto para el cliente (en este caso, la Administración Pública) como para el proveedor de servicios en la nube. En ese marco debe quedar claro cuáles son las responsabilidades, cuáles serán las vías de comunicación, y cuáles serían las posibles penalizaciones en caso de incumplimiento del contrato entre las dos partes. Un detalle a tener en cuenta es que la normativa que regula los movimientos internacionales de datos es aplicable tanto a entidades públicas como privadas.

Victoria Zafra Muñoz
Francisco José Sánchez Laguna
Ana María Chups Rodríguez

[1] Más información en Wikipedia: http://es.wikipedia.org/wiki/Denegaci%C3%B3n_de_servicio

[2] Más información en Wikipedia: http://es.wikipedia.org/wiki/GRE

[3] Más información en Wikipedia: http://es.wikipedia.org/wiki/Interfaz_de_programaci%C3%B3n_de_aplicaciones