miércoles, 23 de enero de 2013

El fenómeno 'cloud' lleva la tecnología a la nube, pero la responsabilidad reside en la tierra



'Cloud computing' significa una revolución sin precedentes en el modo de entender y utilizar las TIC. Sin embargo, la Seguridad de la Información puede constituir un freno si los usuarios no prestan atención al marco legal. La clave es entender la legislación vigente y 'atar' los contratos con el proveedor de servicio.
La directora de Red Seguridad, Mercedes Oriol Vico, junto al subdirector de programas de Inteco, Marcos Gómez Hidalgo.
¿Quién no habla hoy de cloud? Profesionales, fabricantes, instituciones públicas y usuario final se han visto afectados por la computación en la nube, que ha cambiado para siempre el modo de trabajar, de entender y de interactuar con la tecnología. Es dífícil encontrar alguien que no tenga una noción mínima sobre este concepto, que para muchos esconde nada nuevo. Sin embargo, sí que está suponiendo una revolución como modelo de negocio, comparable a la que supuso la virtualización. Ambas innovaciones tecnológicas, como otras muchas, aterrizaron bajo un patrón común: la ausencia de la seguridad. Este factor, culpable de las reticencias a cloud por parte de muchos directores de sistemas, ha de construirse en paralelo, lo que supone plantearse cuestiones que antes fueron pasadas por alto: ¿Dónde están los datos?, ¿qué tipo de contrato debe firmar el cliente con el proveedor cloud?, ¿es segura la nube para todo tipo de negocio?, ¿qué riesgos se deben tener en cuenta? RED SEGURIDAD organizó una jornada técnica, orientada a resolver estos y otros muchos interrogantes en torno a este modelo, que contó con la colaboración del Instituto Nacional de Tecnologías de la Comunicación (Inteco) y con el patrocinio de Check Point, Deloitte, ISF, Kaspersky y Unitronics.
Conor Neill sorprendió a la audiencia con su intervención inaugural.
Es siempre de agradecer, sobre todo para el público asistente (150 profesionales), que en este tipo encuentros aparezca una nota discordante, una llamada de atención que nos invite a la meditación, no siempre en línea directa con lo que esperamos escuchar. Conor Neill, profesor del IESE e inquieto emprendedor, logró con creces este objetivo con una intervención que giró en torno al miedo y a las consecuencias negativas que puede tener en nuestras vidas, del mismo modo que cloud puede sembrar el desconcierto si no se afronta como es debido.
Tras este oasis de reflexión, la desconfianza brilló por su ausencia entre ponentes y asistentes, que trataron de arrojar luz sobre las múltiples aristas de cloud computing. Una de las exposiciones que suscitó más interés fue la de María José Blanco, subdirectora general del Registro General de Protección de Datos de la Agencia Española de Protección de Datos (AEPD), que repasó decididamente todos los cambios normativos que van a afectar a la nube y que tendrán repercusión de manera global, tanto nacional como europeo, puesto que se hace imprescindible regular las transferencias internacionales de datos.
María José Blanco, de la AEPD, junto a Antonio Borredá, adjunto a la Presidencia de Editorial Borrmart, en un momento de su exposición.
María José Blanco, de la AEPD, junto a Antonio Borredá, adjunto a la Presidencia de Editorial Borrmart, en un momento de su exposición.
La portavoz de la Agencia enumeró la ubicuidad y la elasticidad para la gestión de las TI como ventajas más sobresalientes del concepto cloud: "Significa la globalización del outsourcing, la suma de varias tecnologías y arquitecturas con la particularidad de que a la nube se suben también datos personales".De acuerdo con la normativa vigente, la Ley Orgánica de Protección de Datos (LOPD), "tiene que garantizarse la Seguridad de la Información en la tierra o en la nube, del mismo modo que ante las transferencias internacionales de datos", declaró Blanco.
Lo cierto es que la nube puede significar un cambio de mentalidad para el negocio, pero no supone menos responsabilidades en cuanto al cumplimiento de la LOPD. El responsable del tratamiento de los datos seguirá siendo el cliente, mientras que el prestador de servicios cloud será el encargado del tratamiento. "El artículo 12 de esta Ley hace referencia a la exigencia de un contrato por parte del cliente, donde se explica la finalidad, el uso, los objetivos y las garantías del acuerdo", explicó Blanco.
En virtud de un contrato acorde a estos términos, el encargado del tratamiento no podrá utilizar esos datos para otra finalidad no contemplada en este contrato, que recogerá a su vez las medidas de seguridad que el encargado del tratamiento debe implementar. Asimismo, la portavoz de la AEPD hizo hincapié en que deben quedar muy bien definidos sobre el papel los términos de portabilidad, borrado o devolución de datos, ya que nos encontramos ante un documento jurídicamente vinculante.
María José Blanco no olvidó a los proveedores de servicios en la nube y recordó que también ellos han de cumplir la LOPD, comunicando claramente al cliente cuál es la tipología de servicio, su modalidad de prestación y las medidas de seguridad que ofrece.

Obligaciones del proveedor

Entre las garantías que debe ofrecer el prestador, la ponente citó varias: una auditoría externa independiente, información detallada sobre la portabilidad de los datos, comprometerse a comunicar de manera inmediata los incidentes de seguridad que afecten al cliente, así como ofrecer información sobre la responsabilidad del proveedor por daños. Además, el prestador del servicio debe informar sobre los derechos Arco (acceso, rectificación, cancelación y oposición) y debe especificar los servicios de su plataforma que podrían ser subcontratados.
Finalmente, y en el ámbito de la Unión Europea (UE), según reza el artículo 21.1 del Reglamento de la LOPD, el encargado no podrá subcontratar la realización de ningún tratamiento salvo que hubiera obtenido la autorización del responsable. Esta afirmación se corresponde con lo establecido en el artículo 33 de la LOPD, que señala que, como norma general, no podrán realizarse transferencias temporales ni definitivas de datos personales a países que no proporcionen un nivel de protección equiparable al que presta dicha Ley.
Para concluir su intervención, Blanco expuso que, al tratarse de un asunto tan vivo, las autoridades europeas están analizando la problemática de la nube y la manera de encontrar el equilibrio legislativo, e incidió en que, de cualquier forma, no hay que tener miedo a este modelo, tal y como refrendó Conor Neill al principio de la jornada. La portavoz de la AEPD lo resumió con una frase: "La computación está en la nube, pero la responsabilidad está en la tierra".
Desde el público, algunos profesionales mostraron sus dudas: "Hay ocasiones en las que el proveedor no sabe dónde están los datos porque va subcontratando a todo el mundo…". La portavoz de la Agencia respondió que aunque todo proveedor debe solicitar a la Agencia autorización para mover los datos del cliente, es necesaria la concienciación. No obstante, reconoce que todavía están trabajando con otras instituciones para simplificar este proceso y facilitar que existan las mismas condiciones en el marco europeo.

Más allá de la LOPD

En el apartado de exposiciones con el marco legal como telón de fondo se encuadró Deloitte, que se propuso, desde un punto de vista eminentemente práctico, mostrar ejemplos de clientes reales (sin citar sus nombres) que han experimentado en sus carnes disyuntivas de distinta índole tras iniciarse en el mundo cloud. César Tascón, senior manager del Área de Riesgos Tecnológicos (ERS IT) de Deloitte, y Norman Heckh, director del Área Legal de TIC de Deloitte Abogados y Asesores Tributarios, cumplieron sobradamente el reto de 'iluminar' el espacio legal y tecnológico desde una óptica pragmática del paradigma de cloud, incidiendo en los aspectos y requisitos normativos que pueden afectar a su despliegue.
César Tascón (izquierda) y Norman Heckh trataron la complejidad contractual y los riesgos de la nube.
César Tascón (izquierda) y Norman Heckh trataron la complejidad contractual y los riesgos de la nube.
Para César Tascón, un modelo con tantas ventajas contempla también una serie de inhibidores, como la Seguridad, ya que en muchas organizaciones se asocia cloud computing con la falta de la misma. "La protección de la información es un aspecto contractual, que es supervisado por las correspondientes auditorías al proveedor de servicios –destacó Tascón-. Deben cumplir con Statement on Auditing Standards No. 70 (SAS 70) para ofrecer garantías". Del mismo modo, el acuerdo de nivel de servicio (SLA, por sus siglas en inglés) ha de incluir las condiciones de un plan de continuidad de negocio y de recuperación de desastres muy bien documentadas.
Este profesional hizo hincapié en la necesidad de contemplar cláusulas en el campo del control y cumplimiento, ya que constituyen la base de la confianza entre terceras partes y el cliente.
En muchos ámbitos de trabajo, la madurez tecnológica es considerable, lo cual facilita el éxito de implantaciones de soluciones cloud, como desveló Norman Heckh. En el primer caso práctico, el experto dibujó un escenario en el que una empresa internacional con sede en España tenía dudas sobre cómo tratar la información que envíaba a países tan diferentes entre sí como Polonia, India o Estados Unidos para su procesamiento y almacenamiento en la nube pública. Posteriormente, esa información se utilizaría en España para labores comerciales. "Las dudas suceden en torno a los datos personales, a la información sensible y a combinar medidas de seguridad compatibles con otros países. Así, las subcontrataciones también generan muchas dudas, más allá de la LOPD", expuso.
El ponente señaló que si la organización estableciese contactos con un subcontratista, por ejemplo en Rumanía, con una legislación equivalente a la española, pero que a su vez subcontrata servicios en países terceros, debería de tomar precauciones. "Una opción es apoderar al subcontratista en Rumanía para que suscriba contratos en nuestro nombre con los subcontratados. No es sencillo, aunque lo parezca, y en la práctica plantea inquietud. El responsable del fichero (compañía española) no exige que se emita información constante, pero sí debe ser informado sobre el tratamiento de sus datos y el nombre de cada empresa subcontratada", matizó.
El segundo ejemplo práctico que compartieron tiene como protagonista a una entidad financiera, con sedes en España, Luxemburgo y Estados Unidos, sujeta a una amplia regulación sectorial, también en el campo de la externalización. El reto aquí es la redacción de un buen SLA y el primer paso es decidir qué servicios externalizar y cómo hacerlo, cuáles se van a migrar y qué grado de cumplimiento es tolerable. Atendiendo a Heckh, la criticidad de cada incidencia va en función de cada cliente, así como las consecuencias que tendrá el incumplimiento del nivel de servicio por parte del proveedor. "También es habitual encontrarse con limitaciones de responsabilidad negociadas por cliente y proveedor, aunque lo normal es dejar al margen de las mismas el dolo, la negligencia grave y supuestos como muerte o lesiones, que obedecen a normativas superiores".
A modo de conclusión, César Tascón indicó que estos contratos han de elaborarse con cautela, puesto que la Seguridad no se ha contemplado en el desarrollo de la nube, tal y como ocurrió con la virtualización, las redes inalámbricas o IPv4. En consecuencia, desde Deloitte recomiendan revisar a conciencia la normativa, antes de establecer una relación contractual, así como contemplar auditorías, y buenas prácticas. Otro ejercicio recomendable es prever escenarios hipotéticos y reservarse el derecho de auditar al proveedor si fuese necesario.

La falta de interoperabilidad y la deslocalización de los datos, riesgos a tener en cuenta

Marcos Gómez Hidalgo, subdirector de Programas de Inteco, que aparece en la imagen junto la directora de esta cabecera, Mercedes Oriol, centró su exposición en las tendencias y riesgos de la nube. Las diferentes modalidades de servicios en la nube (IaaS, PaaS, SaaS) tienen en común que son accesibles a múltiples clientes a través de la Red, adaptadas a la demanda, independientemente de que nos encontremos ante una cloud pública, privada, híbrida o comunitaria. Al igual que las ventajas son comunes a las diferentes modalidades, también son idénticos los riesgos que afrontan: "Botnets o ataques de denegación de servicio…, pero la pérdida de control es el riesgo más destacado", en palabras de Gómez. La deslocalización de la información, la falta de garantías por parte del proveedor y los problemas derivados de la falta de interoperabilidad también fueron señalados como riesgos a tener en cuenta.
En cuanto al presente de cloud, tal y como se constató en el último Encuentro Internacional de la Seguridad de la Información (Enise), las organizaciones públicas y privadas trabajan en la generación de estándares y en la generalización de códigos éticos, según recordó Marcos Gómez. "Mientras tanto, hemos de prestar atención a los datos, amparándonos en la LOPD, que es una de las legislaciones más fuertes en el ámbito europeo –comentó-. Con cloud toma más sentido la dimensión de la trazabilidad de la seguridad, de guardar evidencias, de lo que se hizo en cada momento". Con esta idea, Gómez incidió en las garantías que los proveedores deben ofrecer ante todos estos riesgos, mediante un lenguaje adecuado y transparente.

Fuente: http://www.redseguridad.com

No hay comentarios:

Publicar un comentario

Registrate y Recibe noticias directo a tu correo, te invito a comentar las publicaciones