La apoteosis de Heracles (XIV). Estrategias de actuación frente a los riesgos en la Nube

Relieve de un sarcófago: el León de Nemea, la Hidra de Lerna, el Jabalí de Erimanto, la Cierva de Cerinea, las Aves del Estínfalo, el Cinturón de Hipólita, los Establos de Augías, el Toro de Creta y las Yeguas de Diomedes.
Marie-Lan Nguyen – Marie-Lan Nguyen (septiembre de 2009)

Si se pretende incorporar la totalidad o parte del tratamiento de datos a servicios en la nube, se recomiendan las siguientes estrategias:

  • Evaluar los tratamientos y el nivel de protección de datos: el cliente ha de estudiar qué va a transferir a los servicios de computación en nube, considerando no sólo los beneficios, sino los potenciales riesgos que se van a asumir. Esto pasa por un conocimiento detallado por parte del responsable sobre los datos personales tratados. Es fundamental conocer los datos que cuenten con un especial nivel de protección según la legislación, como los datos de salud. La transferencia de datos a servicios de computación en la nube no excluye, en principio, a ningún tipo de dato. Siempre que haya un balance positivo entre los riesgos asumidos y las salvaguardas, en forma de medidas organizativas y técnicas proporcionadas por el proveedor.
  • Verificar las condiciones en que se presta el servicio: previamente a la contratación, es recomendable conocer las condiciones en las que se presta el servicio, con el fin de determinar si ofrecen un nivel adecuado de cumplimiento. Es importante contrastar en una lista de control, los elementos relativos a: la información proporcionada, ubicación del tratamiento, políticas de seguridad, existencia de subencargados, derechos de los usuarios, obligaciones legales del prestador del servicio, etcétera. Asimismo, es aconsejable comparar condiciones entre varios proveedores y no contratar servicios prestados en nube que no reúnan los requisitos legalmente establecidos. Hay que tener en cuenta los procedimientos de salida en caso de cambio de proveedor, para que se cumpla con la integridad de los datos y el pleno control del responsable sobre su destino posterior.

Victoria Zafra Muñoz
Francisco José Sánchez Laguna
Ana María Chups Rodríguez

La apoteosis de Heracles (XIII). Requisitos Exigibles al Prestador de Servicios en la Nube

Relieve de un sarcófago: el León de Nemea, la Hidra de Lerna, el Jabalí de Erimanto, la Cierva de Cerinea, las Aves del Estínfalo, el Cinturón de Hipólita, los Establos de Augías, el Toro de Creta y las Yeguas de Diomedes.
Marie-Lan Nguyen – Marie-Lan Nguyen (septiembre de 2009)

A continuación, detallamos los requisitos que un organismo debe solicitar a un prestador de servicios de computación en la nube para estar alineado con el Esquema Nacional de Seguridad (ENS):

  • Análisis y gestión de riesgos: en función de la sensibilidad de los datos y nivel de amenazas, hay que determinar los controles y salvaguardas que tienen que implantarse para mitigar los riesgos hasta un nivel que pueda considerarse como aceptable.
  • Profesionalidad: en cualquier modalidad de prestación de servicios en la nube, debe exigirse que la seguridad esté atendida, revisada y auditada por personal cualificado.
  • Protección de la información almacenada y en tránsito: deben aplicarse técnicas robustas de cifrado; una medida necesaria para garantizar la confidencialidad. Asimismo, el contrato de prestación de servicios en la nube, debe contemplar la realización de copias de respaldo de la información de forma que se garantice la plena disponibilidad e integridad de los datos almacenados.
  • Incidentes de seguridad y continuidad de la actividad: debe contemplarse una adecuada gestión de las incidencias de seguridad, así como de los mecanismos que garanticen la continuidad de las operaciones en caso de catástrofes o incidentes severos.
  • Auditoría de seguridad: la contratación de servicios en la nube exige garantizar la realización de las auditorías de seguridad previstas en el artículo 34 del ENS.

Victoria Zafra Muñoz
Francisco José Sánchez Laguna
Ana María Chups Rodríguez

La apoteosis de Heracles (XII). Aspectos a tener en cuenta a la hora de la elección del proveedor de servicios para su adaptación a la LOPD

Relieve de un sarcófago: el León de Nemea, la Hidra de Lerna, el Jabalí de Erimanto, la Cierva de Cerinea, las Aves del Estínfalo, el Cinturón de Hipólita, los Establos de Augías, el Toro de Creta y las Yeguas de Diomedes.
Marie-Lan Nguyen – Marie-Lan Nguyen (septiembre de 2009)

La gestión de la información está en manos del cliente que contrata los servicios de la nube, al menos de forma virtual. Lo hace a través de Internet, accediendo a soluciones de bases de datos, correo electrónico, nóminas, etcétera.

En función del modelo utilizado, los datos pueden no estar realmente en manos del contratista: la propiedad, el mantenimiento y gestión del soporte físico de la información, los procesos y las comunicaciones, pueden encontrarse en manos de terceros.

El proveedor del servicio puede encontrarse en cualquier lugar del mundo y su objetivo último será proporcionar los servicios citados. Para ello, optimizará sus propios recursos a través de prácticas de deslocalización, compartición de recursos y movilidad, así como realizando subcontrataciones adicionales.

Una cosa importante a tener en cuenta es la portabilidad. A la hora de elegir el proveedor, es muy importante conocer si proporcionará una portabilidad abierta o cerrada, que determina el grado de facilidad con la que un cliente puede transferir toda su información a un coste razonable a otro proveedor. La contratación de servicios en la nube debe garantizar la portabilidad de los datos entre prestadores de servicios y el ejercicio de los derechos de acceso por parte de los ciudadanos, mediante el uso de formatos estandarizados de datos que cumplan los requisitos establecidos en el Esquema Nacional de Interoperabilidad.

Localización del proceso y de los datos. Para la LOPD es determinante dónde están ubicados los datos. Dependiendo de si están en España o en otro país, habrá que establecer si la cesión de datos constituye una transferencia internacional o no, ya que las consecuencias legales de un tratamiento u otro son distintas.

Puede existir un único proveedor que disponga de toda la infraestructura necesaria para el cliente. O bien, puede no tratarse de un prestador final, sino que haga uso de distintos socios a los que subcontrate distintos servicios y cuyo objetivo es redimensionar continuamente los recursos de la nube de forma dinámica, en función de las condiciones de mercado. Desde el punto de vista del derecho de los ciudadanos y del ejercicio de las responsabilidades del cliente de dichos servicios, es importante saber qué proveedores están localizados dentro del Espacio Económico Europeo o en países que, de una u otra forma, garanticen un nivel adecuado de protección de los datos de carácter personal. Los derechos y obligaciones relativos a los datos de carácter personal han de garantizarse siempre, independientemente de dónde se ubiquen los datos.

El servicio ha de ser transparente, de manera que el contratista pueda conocer quién, cuándo y dónde se han procesado o almacenado los datos y en qué condiciones de seguridad.

La contratación de servicios de computación en la nube se realizará a través de un contrato de prestación de servicios. Es imprescindible que ese contrato incorpore entre sus cláusulas las garantías a las que obliga la Ley Orgánica de Protección de Datos. Si el contrato es negociado, el cliente debe poder fijar las condiciones de contratación en función de: el tipo de datos, medidas de seguridad, localización de los datos, esquema de subcontratación, portabilidad de los datos, etcétera. Sin embargo, en la mayoría de los casos, se ofertan contratos de adhesión, constituidos por cláusulas contractuales cerradas donde el cliente no puede negociar sus términos. Aunque hay que tener en cuenta que esto no eximirá ni al cliente ni al proveedor de las responsabilidades que determina la LOPD.

 La prestación de servicios por encargados de tratamiento en nube debería quedar claramente identificada en el documento de seguridad. El acceso a la información debe reunir un nivel de medidas de seguridad equivalente al de los accesos en modo local.

Victoria Zafra Muñoz
Francisco José Sánchez Laguna
Ana María Chups Rodríguez

La apoteosis de Heracles (XI). Principales Riesgos de la Contratación en la Nube

Relieve de un sarcófago: el León de Nemea, la Hidra de Lerna, el Jabalí de Erimanto, la Cierva de Cerinea, las Aves del Estínfalo, el Cinturón de Hipólita, los Establos de Augías, el Toro de Creta y las Yeguas de Diomedes.
Marie-Lan Nguyen – Marie-Lan Nguyen (septiembre de 2009)

Los riesgos principales de carácter legal y contractual a tener en cuenta en materia de computación en la nube pueden resumirse como sigue:

  • Protección de datos: las partes deberán suscribir un contrato redactado conforme al artículo 12 de la LOPD, como hemos reseñado anteriormente, si el proveedor de servicios de nube se encuentra establecido en España o en un país que ofrezca un nivel de protección de datos equivalente al existente en España. De lo contrario, el contrato deberá estar en línea con las cláusulas fijadas en la Decisión 2010/87/UE de la Comisión, de 5 de febrero de 2010. En cualquier caso, las medidas de seguridad que deberá aplicar el proveedor serán las del Título VIII del RLOPD. Las sanciones administrativas previstas por la normativa de protección de datos en caso de incumplimiento pueden llegar a alcanzar los 600.000 Euros.
  • Acceso a la información administrativa por parte de los ciudadanos: el proveedor deberá garantizar que los ciudadanos puedan ejercer su derecho de acceso a la información pública e implantar medidas de seguridad y, en su caso, de restricción adecuadas.
  • Titularidad de derechos: las cuestiones relativas a la propiedad intelectual de los desarrollos, creaciones, u otras prestaciones que puedan tener asociados derechos intangibles a las que tenga acceso o se desarrollen por parte del proveedor deben quedar reguladas de forma expresa bajo el contrato.
  • Deslocalización de la información: es necesario que la entidad contratante conozca perfectamente la ubicación de los datos, incluyendo la posible intervención de subcontratistas en la prestación de servicios.
  • Dependencia del proveedor: la contratación de un servicio de computación en la nube sin estudiar futuras interoperabilidades con otros proveedores podría provocar grandes inconvenientes a la Administración a la hora de alojar o migrar directamente el servicio a otro proveedor con mejores características y, por ello, estas cuestiones deben tener reflejo adecuado en el contrato, pudiendo incluso preverse la aplicación de penalizaciones al proveedor en caso de incumplimiento de sus obligaciones en materia de interoperabilidad.
  • Indisponibilidad del servicio: es fundamental que tanto la Administración como, en su caso, sus administrados, puedan acceder al servicio cuando lo requieran. De lo contrario, se podría ver alterada la imagen y/o la productividad de la Administración, por no poder prestar el servicio habitual. Por ello, es necesario definir adecuadamente los tiempos de inactividad permisibles y las pérdidas de información aceptables, mediante un Acuerdo de Nivel de Servicio con el proveedor, que contemple porcentajes coherentes de disponibilidad y medidas compensatorias adecuadas en caso de incumplimiento.
  • Notificación de incidentes graves de seguridad: el mantenimiento y gestión de la seguridad es responsabilidad del proveedor. En caso de que exista un acceso no autorizado al centro de procesado de datos o se produzca el ataque de un pirata informático, la calidad del servicio puede verse afectada. El proveedor deberá gestionar estos sucesos con celeridad e informar de ellos con inmediatez a la Administración para que ésta pueda adoptar las medidas que en su caso estime necesarias.
  • Negativa del proveedor a ser auditado: pese a la posible confianza por parte de la Administración contratante hacia el proveedor, deben ser evaluadas las calidades acordadas mediante una auditoría. En determinados casos, el proveedor se puede negar a ser auditado. Frente a esta situación puede ser útil la solicitud de informes de auditoría oficiales (ISAE 3402) o certificaciones (ISO 27001) que garanticen niveles adecuados de calidad.

Victoria Zafra Muñoz
Francisco José Sánchez Laguna
Ana María Chups Rodríguez