Eticom Cloud Video 5. Seguridad y Privacidad
A lo largo de este curso, hemos comprobado que el cloud computing cuenta con una considerable serie de ventajas, si bien, debemos de valorar que existen riesgos.
En este vídeo 5 del curso de cloud computing para pymes, veremos en este tema los aspectos de seguridad relacionados con las tecnologías cloud, en dos vertientes.
Por un lado, veremos la seguridad desde el punto de vista operativo, de protección de nuestros datos, continuidad del servicio, copias de seguridad, etc.
Por otro, analizaremos también el marco legal y de protección de datos en el que se mueve el Cloud Computing, haciendo referencia a las principales normativas a tener en cuenta.
Para ese apartado hemos recopilado el marco legal aplicable a las tecnologías cloud, basándonos en el “Estudio sobre cloud computing en el sector público en España”, elaborado por el Instituto Nacional de Tecnologías de la Comunicación (INTECO), accesible en inteco.es.
En este tema vamos a ver todos los aspectos relacionados con la seguridad de la solución Cloud que podamos elegir. En primer lugar habrá que prestar atención a los aspectos de seguridad operativa.
Por seguridad operativa entendemos aquellos aspectos de seguridad relacionados con la operaciones, por ejemplo ¿están protegidos los sistemas Cloud contra ataques por parte de un hacker? ¿Robo de información? ¿Robo de datos? Caída del servicio? ¿Interceptación de las comunicaciones en tránsito? ¿Suplantación de identidad?
La solución debe ser capaz de darnos respuesta a esas preguntas. Pero hay un factor que también es muy importante y es el que hace referencia a todas las normativas y leyes que debemos cumplir aunque estemos en un entorno de Cloud Computing.
Esencialmente hay una normativa que tenemos que cumplir, es la ley orgánica de protección de datos. El hecho de que sea un entorno Cloud no disminuye ni modifica las obligaciones que tenemos a la hora de cumplir con esa normativa.
Los datos de carácter personal que estén en Cloud o estén en local deben de estar protegidos. Pero, ¿Qué ocurre si es otro proveedor, un proveedor Cloud el que está dándonos ese servicio? En el contrato que firmamos con este proveedor Cloud debe estar especificado cómo van a gestionar esos datos, qué modelo de protección van a darle para que podamos verificar que está acorde con la legislación existente.
Es importante señalar que no estamos cediendo los datos, los responsables de la gestión seguimos siendo nosotros, sólo que estamos delegando en alguien que también puede tratarlos.
Eso parece sencillo pero ¿qué ocurre si no estamos hablando de un proveedor dentro del espacio económico europeo? sino que hablamos de un proveedor que pueda estar, por ejemplo, en los Estados Unidos o en Malasia, el Cloud computing es global, ¿ Qué ocurriría ?
Mientras estemos dentro del espacio económico europeo, hay leyes de protección de datos que son homologables. Cuando estamos hablando de proveedores externos tendremos que firmar con ellos y pedir autorización a la agencia de protección de datos que nos permitan contratar, y ceder o albergar los datos en esos proveedores de terceros. Por tanto, será muy importante a la hora de contratar una solución Cloud, verificar que estamos cumpliendo con toda la normativa y que el gestor que se va encargar de almacenar esos datos también cumpla con toda la existente.
Seguimos siendo responsable de los datos y eso es lo más importante que tenemos que tener en cuenta.
