Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

26 octubre 2015

La seguridad de los datos en la nube



Cada vez es más frecuente que las compañías suban sus datos a "la nube". Conviene recordar que esto no es algo etéreo, libre de problemas; sino, como suele decirse: "la nube es tan solo el ordenador de otra persona". Por ello: ¿qué medidas de seguridad es necesario contemplar en este particular entorno?

Cuando una organización lleva sus ficheros a la nube, el responsable de seguridad seguirá siendo aquel nombrado el dueño éstos. Pero aquel ahora delegará muchas de sus funciones en el personal de la compañía Cloud, dado que es ésta la que controla la infraestructura y/o las aplicaciones.

¿Qué riesgos existen en este caso? El más evidente quizá sea no tener la certeza de dónde se guardan los datos. Una compañía europea puede tener, por ejemplo, sus servidores ubicados en la India. Así, se consideraría que hay una transferencia de datos y se debe estar seguro de que se cumple con los requisitos de la LOPD: por ejemplo, comunicar dicha transferencia para que la autorice, en caso de ésta se haga hacia algún país fuera de la UE o de aquellos con nivel de seguridad equivalente (Artículos 33 y 34 de la LOPD; Artículo 29 de la Directiva 95/46/CE, en el Dictamen sobre Cloud Computing 05/2012). No sería aceptable si implica transferir los datos a una localización que no esté entre las aprobadas por la AGPD, a menos que ésta lo autorice expresamente. Lo que incluye Estados Unidos, ahora que está suspendido el Safe Harbour con ellos.

Las medidas de seguridad a implantar dependerán del tipo de nivel exigido por la naturaleza de los datos según la LOPD (alto, medio, básico); y deberán quedar fijadas en el contrato entre el responsable de seguridad y el responsable del tratamiento en la empresa de cloud (art. 12.2 de la LOPD). En cualquier caso, la nube no es muy aconsejable para aquellos datos que tengan que tener un nivel de seguridad medio o alto.

Por otra parte, si la empresa que ofrece el servicio comparte recursos con otras compañías, la información puede quedar comprometida en su confidencialidad y/o en su integridad. También podría verse comprometida la disponibilidad de los mismo si el sistema cloud se cae.

En general, son buenas prácticas, cifrar la información en la base de datos y en tránsito; además de tener un sistema de control de acceso y de autenticación de usuarios. Cifrar también las copias de seguridad y tener una replica segura de datos para que estén siempre disponibles. Se deberán incluir además pruebas sobre la base de datos que verifiquen la integridad de la misma. Y programar auditorías a realizar por un tercero debidamente certificado.

Todo eso debe completarse con acuerdos de confidencialidad que garanticen que no accederá a los datos nadie que no esté autorizado para hacerlo. Y que, al finalizar el contrato, los datos se borran y no quedan copias no autorizadas en ningún sitio. El contrato deberá incluir además una clausula de responsabilidad o algún tipo de seguro en caso de que los datos se pierdan, modifiquen indebidamente, haya alguna fuga de información o se infrinja la LOPD de algún modo. De esto modo, el responsable de seguridad, aún siendo el principal responsable al respecto, podrá repercutir también dicha responsabilidad en la empresa como responsable subsidiario.

Éstas son solo algunas de las cosas a tener en cuenta. Y surgirán más, posiblemente, a medida que la práctica se va generalizando y aparezcan situaciones que antes no se preveían.

Referencias:

- «Almacenamiento Seguro en Nubes Públicas y Privadas». Ponencia de D. Jorge Dávila, en las VII Jornadas STIC del CCN-CERT (documento de difusión limitada).

- «Informe de Utilización del Cloud Computing por los despachos de abogados y el derecho a la protección de datos de carácter personal» de la AGPD:

- «Guía para clientes que contraten servicios de Cloud Computer»:

No hay comentarios:

Publicar un comentario

A penny for your thoughts