Seguridad, Privacidad y Contratación de Servicios Cloud

Seguridad y Privacidad en el Cloud.

Con frecuencia se dice que la seguridad es un proceso y no un producto. La gobernabilidad de la nube se rige también por esta regla. La capacidad para aplicar las reglas de gobernabilidad depende de que los desarrolladores sean conscientes de que se ha instaurado el marco de la gobernabilidad teniendo en cuenta no solo el registro y conservación de la información sino el acceso y sus permisos.

En seguridad es importante no confundir la confidencialidad de los datos con los datos personales. Estos sólo afectan al individuo. Pero puede que en nuestra empresa tengamos datos confidenciales, críticos e incluso secretos! Secuencialmente, imaginemos un plan estratégico, nuestro sistema de seguridad de acceso a las instalaciones o a la fórmula de la Coca-Cola!

Empezando por lo sencillo: La Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de Carácter Personal (LOPD) regula los aspectos relativos al tratamiento de los datos personales y la libre circulación de los datos. La Agencia Española de Protección de Datos (AEPD) es el órgano de control que se encarga de garantizar el cumplimiento de esta normativa dentro del territorio español.

En primer lugar, tanto la empresa contratante de servicios como la proveedora deben tener en cuenta la definición de dato personal que establece el artículo 3 de la LOPD: “un dato personal es cualquier información concerniente a personas físicas identificadas o identificables”.

Si los datos con los que se va a trabajar en la nube pertenecen a esta categoría, la empresa que los trate debe cumplir con carácter previo con el conjunto de obligaciones previstas en la LOPD: la inscripción de ficheros, deberes relacionados con la información en la recogida, el consentimiento y la calidad de los datos, garantía de los llamados derechos ARCO (Acceso, Rectificación, Cancelación y Oposición) o la adopción de medidas de seguridad9.

Si los datos con los que se va a trabajar en la nube no son datos personales (son, por ejemplo, complejas operaciones matemáticas, cálculos físicos o químicos, etc.), se puede proceder sin que la LOPD señale impedimento alguno.

Además, en el caso del cloud computing es fundamental revisar las condiciones del contrato a fin de garantizar una adecuada previsión de las cuestiones relacionadas con la presencia de un encargado del tratamiento y/o una transferencia internacional de datos personales.

Lo que ocurre es que la técnica está superando cualquier previsión del legislador, y cualquier política que no pase por los principios de gobernabilidad esenciales está condenada al fracaso.

En Europa se está llevando a cabo la redacción de la directiva de protección de datos. Ello supondrá que en lugar de veinticinco legislaciones, solo tendremos una. Y mucho antes de lo que pensamos. Probablemente en la primavera del 2014 sea una realidad. Lo que no sabemos es cuán estrictos serán las diferentes autoridades de control.

Una pista que le puede ayudar a comprender la importancia de la seguridad: entre las certificaciones habituales en el tratamiento de la seguridad de la información se encuentra la ISO 27000 y su familia. Aproximadamente tiene tres centenares de puntos de control. Cumplir con la LOPD, a nivel alto, significa cumplir unos setenta puntos de esta certificación.

Si una empresa desea conservar lo que a buen seguro será la información, seguramente deberá plantearse el hacer una auditoría de LOPD. Le ayudará a entender y conseguir, si la necesitase, una certificación 27000. Incluso tiene a su disposición herramientas que le pueden ayudar a modo de auto-auditoría, y si la cosa se complica, siempre puede contar con la colaboración de buenos profesionales.

Seguridad, Privacidad y Contratación de Servicios Cloud

Los Acuerdos de Nivel de Servicio -SLA´s-

Ya hemos hablado en varias lecciones de los SLA´s o Acuerdos de Nivel de servicio”, vamos aquí a profundizar en ellos, ya que los aspectos legales es uno de los principales dilemas ante los que se presenta el usuario que pretende adoptar una solución cloud. En este sentido, éstos continúan dificultando la adopción y utilización de cloud computing.

Podemos dividir los aspectos legales en tres grupos:

Marco contractual necesario para asegurar unos niveles de servicio adecuados.

Marco regulatorio que se aplica al procesamiento de los datos.

Ley aplicable a la organización de los servicios cloud y al modo en que los estados pueden acceder a la información por motivos de seguridad.

Con respecto a asegurar niveles de servicio, un contrato de cloud computing tendría que seguir un esquema parecido a cualquier otro contrato de outsourcing. Por lo tanto deberá crear un marco contractual que asegure unos niveles de servicio, lo cuál no debería ser un problema.

Marco contractual, en un contrato de servicio cloud uno debe esperar que incluya cláusulas como la localización de los servicios, condiciones de subcontratación, actualización de tecnología, tiempos de caída y consiguientes contraprestaciones, precio, terminación de contrato, etc.

Los problemas aparecen si existe una desigualdad entre las partes que negocian el contrato. Por ejemplo se puede manifestar en una actitud del tipo “lo tomas o lo dejas” y aparecen…. los contratos de adhesión.

También cuando el proveedor es incapaz de responder a ciertas preguntas claves, como por ejemplo dónde están localizados sus servicios o quién tiene acceso a los datos. Si en la negociación del contrato aparecen problemas, es bastante probable que también aparezcan en la resolución del mismo.

En la mayoría de los casos la negociación es posible y se suele llegar a acuerdos de nivel de servicio (SLA). Cuanta más claridad haya en el contrato, menos riesgo habrá en las posibles disputas como por ejemplo las compensaciones en caso de pérdida de servicio.

Marco Regulatorio, tradicionalmente las leyes han mantenido que las organizaciones son libres de acordar contratos entre varias partes. Sin embargo, este punto de vista no se ajusta cuando existen leyes de obligado cumplimiento.

La mayoría de las empresas que prestan servicios de cloud públicas o híbridas afrontan algún tipo de obligación regulatoria. Por ejemplo, algunos sectores están especialmente regulados (servicios financieros, farmacéuticos, telecomunicaciones, etc.). Además hay que tener en cuenta que aquellas empresas que procesan datos personales están bajo una regulación general sobre protección de datos.

Por lo tanto, es importante que las empresas de cloud computing comprendan sus obligaciones de acuerdo al marco regulatorio aplicable. Si el marco contractual de un servicio cloud no se ajusta al marco regulatorio, el prestador de servicios puede estar bajo la amenaza de sufrir fuertes sanciones.

¿Y qué ley es la Ley aplicable a lo dicho en un SLA?. Uno de los problemas más sensibles del cloud computing es el que incumbe al de datos entre distintos países. Por ejemplo, la legislación estadounidense según la “Patriot Act” por motivos de seguridad nacional algún tipo de dato está sujeto a revisión obligatoria.

Las leyes europeas de protección de datos no permiten la transferencia de datos personales fuera de las fronteras de la Unión Europea. En particular, algunos países como Francia incluso tienen estados de “bloqueo” para prevenir ciertas formas de flujo de datos fuera de sus fronteras.

En resumen podemos decir que ciertas leyes internacionales pueden ser contradictorias en alcance y propósito, causando dificultades operacionales en las multinacionales. Por lo tanto, si la ley requiere que los datos residan únicamente en ciertos países, esto deberá ser indicado en detalle en los contratos para evitar futuros problemas.

Seguridad, Privacidad y Contratación de Servicios Cloud

 Contratación de Servicios Cloud (I).

Cuando hablamos de cloud computing lo asociamos de inmediato a SaaS(Software As A Service), pero como sabemos existen otros dos tipos principales aunque menos conocidos PaaS e IaaS, que es el negocio de Amazon Web Services y GoGrid, por poner dos ejemplos de los más conocidos.

Estos servicios se prestan conforme a unos niveles de servicio (SLA), ya que por el momento no son lo suficientemente estables como para garantizar una fiabilliad del 100%, por lo que se establecen unos límites que determinan el funcionamiento normal, contemplando para ello unos umbrales de “fallo normal”, que en términos absolutos son ínfimos, suelen establecerse en el 0,05%.

La Semana Santa de 2013, mientras en España estábamos pendientes del tiempo y los pasos, en los Estados Unidos hubo algunas empresas que estaban viviendo su particular “via crucis” a causa del cloud computing, y particularmente, por los servicios IaaS.

Estos fueron los casos de varias empresas de ocio, viajes, reservas, etcétera, que estuvieron sin servicio por los errores que estaban sufriendo los servidores cloud de Amazon. El compromiso del contrato a nivel de servicio de Amazon EC2 es de una disponibilidad del 99,95% en cada Región de Amazon EC2.

Ese 0,05% del tiempo indisponible puede ser insignificante según qué tipo de servicio, ya que puede representar minutos para restablecer el servicio en una región diferente pero en otros, unos minutos sin servicio puede causar daños irreparables en la imagen de marca, un ejemplo puede ser las páginas de reservas y de viajes.

En la actualidad no es difícil leer noticias acerca de la nube informándonos de las oportunidades y desventajas que presenta, pero lo que es evidente que si uno se plantea contratar este tipo de servicios, hay que tener muy claro cuales son las condiciones del servicio y cómo puede afectar al “core” de nuestro negocio.

Y aún más… cómo plantearse una política de continuidad de negocio.

A ver, debemos, lo primero determinar cuán críticos son nuestros servicios con respecto a las tecnologías de la información, y cuanto dependen del tiempo, o pueden aguantar fuera de uso o de plena accesibilidad. También qué servicios de la empresa tienen esa criticidad.

No es lo mismo un comercio que un banco, una central de reservas que una central de alarmas, ni un sistema de gestión de entradas de un cine que de “slots” de vuelo.

A partir de ahí deberemos determinar qué servicios debemos tener redundantes, para que entre un sistema suplente si falla el principal.

Además cuales debemos diseñarlos “resilentes”… bonito término… que tengan capacidad de soportar y recuperarse ante desastres y perturbaciones. Esto es, cuales además debemos prevenir que van a “atacarlos” reiteradamente, y desde distintos puntos y con diferentes estrategias.

Lo extraordinario del “cloud” es que podemos replicar un sistema por un coste bajísimo, ya que como el proceso y las aplicaciones se diseñan una sola vez, la replicación es solo cuestión de “hardware” (y de políticas de seguridad…. Piense en que tengan alguna pequeña diferencia)

Seguridad, privacidad y contratación de servicios cloud

Contratación de Servicios Cloud (II).

Tanto si se trabaja con una nube pública como con una nube híbrida, existirá una empresa contratada para proveer los servicios necesarios. Los beneficios de contar con estas empresas es que se encargan de todo el mantenimiento del hardware, recintos especializados para los centros de procesamiento de datos, suministro eléctrico y conectividad a Internet, etc.

Los proveedores de servicio en la nube no solo hospedan un servidor web (como ocurre en el hosting tradicional), sino también todos los procesos y datos que están en la nube, además de las copias de seguridad. Es decir, que comparten parte de su control con el usuario u organización.

El establecimiento de un nivel adecuado de transparencia en el mercado a la hora de negociar los términos y condiciones en los contratos es fundamental para contrarrestar la falta de control derivada de la dependencia de terceros.

El cloud computing tiene su principal fundamento en la gestión remota de la información. Las organizaciones transfieren gran cantidad de información, en algunos casos sensible, en servidores pertenecientes a terceros.

Esto conlleva numerosas implicaciones jurídicas, más aún en el caso de que los datos se alojen en servidores de otro país, en la medida en que convergen dos o más jurisdicciones y surge la necesidad de determinar aspectos como la Ley aplicable, los tribunales competentes o las condiciones exigibles para que la transferencia de los datos a los sistemas del proveedor pueda ser viable y en su caso autorizada por la autoridad nacional de protección de datos. Al firmar el correspondiente contrato o términos de uso, el cliente o contratante se vincula a aceptar una jurisdicción concreta.

Por ejemplo, en el caso europeo, el marco general en cuanto a protección de datos y libre circulación de los mismos lo fija la Directiva 95/46/CE, la trasposición nacional operada por cada Estado miembro obliga a tener en cuenta la Ley nacional como criterio rector, y esta directiva pronto va a cambiar.

Asimismo, existen Decisiones y Comunicaciones de la Comisión Europea y documentos adoptados por los principales actores a nivel europeo en la materia, como es el caso de la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) de los que se deduce el carácter fundamental del marco legal aplicable.

Pero no nos olvidemos de que si se es cliente de una empresa proveedora de cloud (o de varias simultáneamente) se debe firmar un contrato, un acuerdo de confidencialidad, un SLA y un largo etcétera… ¿Por qué? Para limitar las responsabilidades de uno con respecto a sus clientes, y reservarse siempre la posibilidad de derivar su responsabilidad a sus proveedores, si fueron estos los que tuvieron la culpa.

Pero ¿COMO es un contrato de cloud? Evidentemente no es un papel ardiente con humo… es un documento, estructurado, claro, y que refleja las condiciones de contratación conforme a unas reglas mínimas de servicio, contraprestación y cumplimiento.

Hay muchas clases de contratos, y se pueden encontrar modelos en la red. Especialmente en la página de INTECO… pero son solo eso: modelos. A menudo será necesario acudir a un profesional del derecho especializado en nuevas tecnologías y en derecho contractual civil y mercantil, y así dormiremos más tranquilos.