Yo en “la nube” no me meto
28/10/2016
En los últimos años, se ha oído hablar con más frecuencia de “la nube”: esa especie de ente que todo lo sabe guarda .
Son muchos los reticentes a utilizar este sistema porque dicen no se sienten seguros, desconfían, pierden el control sobre sus datos…. Pero luego utilizan un correo electrónico tipo Gmail, Hotmail, etc. Señores, señoras, los servidores que se utilizan para el almacenamiento de nuestros correos electrónicos, donde ponemos datos personales, documentos adjuntos y todas las cosas que sabemos que enviamos por correo, no los gestionamos nosotros, los gestiona el Señor Google y el Señor Micfosoft (entre otros).
A la hora de utilizar el alojamiento de datos en servidores externos gestionados por terceros, hay que saber dónde se mete uno. No todo vale. No vale guardar datos en la nube si:
- No se conoce al proveedor del servicio
- Se desconoce si existe una subcontratación del servicio
- No se conoce la ubicación de los servidores de almacenamiento
- No se conocen las medidas de seguridad del servidor
Pfff…. ¿pero qué empresa me va a dar toda esa información?
El problema está en que la empresa proveedora del servicio debe ser transparente y clara. Ya lo dice la Agencia Española de Protección de Datos, en su Guía para clientes que contraten servicios de Cloud Computing:
FALTA DE TRANSPARENCIA
Es el prestador el que conoce todos los detalles del servicio que ofrece. Por ello, nos enfrentamos a la necesidad de conocer el qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos que se proporcionan al proveedor para la prestación del servicio. Si este último no da una información clara, precisa y completa sobre todos los elementos inherentes a la prestación, la decisión adoptada por el responsable no podrá tener en consideración de forma adecuada requisitos básicos como la ubicación de los datos, la existencia de subencargados, los controles de acceso a la información o las medidas de seguridad. De esta forma, se dificulta al responsable la posibilidad de evaluar los riesgos y establecer los controles adecuados.
FALTA DE CONTROL
Como consecuencia de las peculiaridades del modelo de tratamiento en la nube y en parte también de la ausencia de transparencia en la información, la falta de control del responsable se manifiesta, por ejemplo, ante las dificultades para conocer en todo momento la ubicación de los datos, las dificultades a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato válido e interoperable, los obstáculos a una gestión efectiva del tratamiento o, en definitiva, la ausencia de control efectivo a la hora de definir los elementos sustantivos del tratamiento en lo tocante a salvaguardas técnicas y organizativas.
Extracto de la Guía, pág. 11
Es decir, el cliente que vaya a contratar los servicios de un proveedor de cloud (o nube), debería tener en cuenta las garantías de seguridad y la transparencia que éste le ofrece dado que, será responsabilidad del cliente el decidir dónde aloja sus datos (y sobre todo si lo que aloja son datos de terceros, de sus clientes, trabajadores, etc.).
En resumen:
- Tienes que tener claro que se utiliza un cloud computing/computación en la nube/alojamiento en la nube cuando:
- Utilizas un correo electrónico donde el servidor de alojamiento lo gestione un tercero (Gmail, Yahoo, Hotmail, dominio de empresa propio…)
- Utilizas gestores documentales donde almacenes documentación (Dropbox, One Drive, Google Drive, gestor documental de la empresa…)
- Realizas copias de seguridad online
- Utilizas aplicaciones y/o programas para la gestión de tu empresa, recursos humanos, etc. que tengas que acceder desde Internet
- Sobre el servidor de almacenamiento de la información, puede ser que:
- El proveedor de servicio con quien lo has contratado gestione el servidor de alojamiento del correo
- El proveedor del servicio con quien lo has contratado subcontrate a su vez el alojamiento de los correos en un servidor de un tercero (y puede que éste a su vez lo subcontrate)
- El servidor de alojamiento sea de tu propiedad
- Sobre la información del del servidor:
- Tienes que saber la ubicación del servidor o, por lo menos, conocer si se encuentra dentro o fuera de la Unión Europea
- Si está en Estados Unidos, debes saber si está adherido al Privacy Shield
- Tienes que conocer las medidas/certificados de seguridad con los que cuentan dichos servidores
- Y si: tienes que tener un contrato de acceso a datos por cuenta de terceros con el proveedor del servicio
- Sobre la elección del proveedor:
- Te recomendamos que valores la trasparencia de la información que te proporcionan los proveedores a la hora de elegir entre uno u otro, dado que es obligación del mismo proporcionar dicha información. Si no lo hace, ¿por qué será?
- Te recomendamos que leas la Guía para clientes que contraten servicios de Cloud Computing antes de decidir la elección de un proveedor.
Idaira Hernández Peraza
Directora de Consultores Peraza & Asociados, S.L.
Fuente de fotografía: Google Imágenes etiquetada para reutilización