Yo en “la nube” no me meto

28/10/2016

En los últimos años, se ha oído hablar con más frecuencia de “la nube”: esa especie de ente que todo lo sabe guarda .

Son muchos los reticentes a utilizar este sistema porque dicen no se sienten seguros, desconfían, pierden el control sobre sus datos…. Pero luego utilizan un correo electrónico tipo Gmail, Hotmail, etc. Señores, señoras, los servidores que se utilizan para el almacenamiento de nuestros correos electrónicos, donde ponemos datos personales, documentos adjuntos y todas las cosas que sabemos que enviamos por correo, no los gestionamos nosotros, los gestiona el Señor Google y el Señor Micfosoft (entre otros).

A la hora de utilizar el alojamiento de datos en servidores externos gestionados por terceros, hay que saber dónde se mete uno. No todo vale. No vale guardar datos en la nube si:

No se conoce al proveedor del servicio
Se desconoce si existe una subcontratación del servicio
No se conoce la ubicación de los servidores de almacenamiento
No se conocen las medidas de seguridad del servidor

Pfff…. ¿pero qué empresa me va a dar toda esa información?

El problema está en que la empresa proveedora del servicio debe ser transparente y clara. Ya lo dice la Agencia Española de Protección de Datos, en su Guía para clientes que contraten servicios de Cloud Computing:

FALTA DE TRANSPARENCIA

Es el prestador el que conoce todos los detalles del servicio que ofrece. Por ello, nos enfrentamos a la necesidad de conocer el qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos que se proporcionan al proveedor para la prestación del servicio. Si este último no da una información clara, precisa y completa sobre todos los elementos inherentes a la prestación, la decisión adoptada por el responsable no podrá tener en consideración de forma adecuada requisitos básicos como la ubicación de los datos, la existencia de subencargados, los controles de acceso a la información o las medidas de seguridad. De esta forma, se dificulta al responsable la posibilidad de evaluar los riesgos y establecer los controles adecuados.

FALTA DE CONTROL

Como consecuencia de las peculiaridades del modelo de tratamiento en la nube y en parte también de la ausencia de transparencia en la información, la falta de control del responsable se manifiesta, por ejemplo, ante las dificultades para conocer en todo momento la ubicación de los datos, las dificultades a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato válido e interoperable, los obstáculos a una gestión efectiva del tratamiento o, en definitiva, la ausencia de control efectivo a la hora de definir los elementos sustantivos del tratamiento en lo tocante a salvaguardas técnicas y organizativas.

Extracto de la Guía, pág. 11

Es decir, el cliente que vaya a contratar los servicios de un proveedor de cloud (o nube), debería tener en cuenta las garantías de seguridad y la transparencia que éste le ofrece dado que, será responsabilidad del cliente el decidir dónde aloja sus datos (y sobre todo si lo que aloja son datos de terceros, de sus clientes, trabajadores, etc.).

En resumen:

Tienes que tener claro que se utiliza un cloud computing/computación en la nube/alojamiento en la nube cuando:

Utilizas un correo electrónico donde el servidor de alojamiento lo gestione un tercero (Gmail, Yahoo, Hotmail, dominio de empresa propio…)
Utilizas gestores documentales donde almacenes documentación (Dropbox, One Drive, Google Drive, gestor documental de la empresa…)
Realizas copias de seguridad online
Utilizas aplicaciones y/o programas para la gestión de tu empresa, recursos humanos, etc. que tengas que acceder desde Internet

Sobre el servidor de almacenamiento de la información, puede ser que:

El proveedor de servicio con quien lo has contratado gestione el servidor de alojamiento del correo
El proveedor del servicio con quien lo has contratado subcontrate a su vez el alojamiento de los correos en un servidor de un tercero (y puede que éste a su vez lo subcontrate)
El servidor de alojamiento sea de tu propiedad

Sobre la información del del servidor:

Tienes que saber la ubicación del servidor o, por lo menos, conocer si se encuentra dentro o fuera de la Unión Europea
Si está en Estados Unidos, debes saber si está adherido al Privacy Shield
Tienes que conocer las medidas/certificados de seguridad con los que cuentan dichos servidores
Y si: tienes que tener un contrato de acceso a datos por cuenta de terceros con el proveedor del servicio

Sobre la elección del proveedor:

Te recomendamos que valores la trasparencia de la información que te proporcionan los proveedores a la hora de elegir entre uno u otro, dado que es obligación del mismo proporcionar dicha información. Si no lo hace, ¿por qué será?
Te recomendamos que leas la Guía para clientes que contraten servicios de Cloud Computing antes de decidir la elección de un proveedor.

Idaira Hernández Peraza

Directora de Consultores Peraza & Asociados, S.L.

Fuente de fotografía: Google Imágenes etiquetada para reutilización

Cookies técnicas Las cookies técnicas o necesarias son esenciales para que nuestra web pueda funcionar correctamente e incluye funcionalidades básicas como identificar la sesión o dar acceso a los usuarios registrados a zonas de acceso restringido. Por estos mótivos las cookies técnicas no se pueden desactivar.
Cookies de estadísticas Utilizamos cookies de tipo estadístico para ver como interactúas con la página web, reuniendo información anónima durante el tiempo que navegas por ella. La finalidad de recabar esta información es la de introducir mejoras en la web en función del análisis de los datos agregados.
Cookies de preferencia Al utilizar cookies de preferencias, la página web puede recordar información durante tu tiempo de navegación asociada a la forma en que la página se comporta o el aspecto que tiene, como tu idioma preferido o la región en la que te encuentras.
Cookies de marketing Las cookies de marketing o publicitarias se utilizan para analizar tu comportamiento mientras visitas la página web y para que, de forma puntual, otros proveedores puedan ofrecerte publicidad personalizada y relevante atendiendo a tu perfil de navegación.