Red de información TI para profesionales ITMedia NetWork

Búsqueda avanzada

Publicidad

Publicidad

Centro de recursos

Análisis

Cloud Computing: ¿existe concienciación sobre el riesgo?

03 Marzo 2009por Leopoldo Mallo, director general de LOPDGEST

Una de las últimas tendencias que están despuntando en el panorama tecnológico es Cloud Computing. Sin embargo, sus evidentes ventajas pueden quedar ensombrecidas por los riesgos que conlleva en caso de que se haga un mal uso de la herramienta o no se observen las medidas de seguridad pertinentes para proteger la información

Una de las últimas tendencias que están despuntando en el panorama tecnológico contemporáneo es el conocido Cloud Computing. Con el objetivo de facilitar la intercomunicación empresarial y favorecer el desarrollo laboral en cualquier lugar del mundo, las empresas incorporan esta novedad, permitiendo el uso de aplicaciones ubicadas en un servidor web con acceso a través de Internet. En este sentido, por ejemplo, un empleado de una entidad podrá desarrollar su labor empresarial tanto en la oficina, como por ejemplo directamente en una visita comercial, sin necesidad de disponer en todo momento de sus herramientas propias de trabajo.

Leopoldo Mallo, director general de LOPDGEST

Leopoldo Mallo, director general de LOPDGEST

Sin embargo, todas estas ventajas que presenta esta nueva tecnología web, se pueden ver ensombrecidas por los riesgos que pueden llevar aparejados en caso de que se haga un mal uso de la herramienta o no se observen las medidas de seguridad pertinentes que permitan una protección extremada de la información.

En atención a las características propias de este tipo de tecnología, deberá tenerse especial consideración de los riesgos inherentes a la misma en cuanto a la pérdida de información, la falta de integridad, o el acceso indebido a la misma por personal no autorizado al efecto.

Normativa específica

Existe una normativa específica, que lo que pretende fundamentalmente es proteger y regular el tratamiento de datos de carácter personal y, como consecuencia, también la información empresarial contenida en estas aplicaciones web o “en la nube”. Ésta, es la ya conocida normativa en materia de Protección de Datos, concretamente la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de datos de Carácter Personal (LOPD), así como el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la LOPD (RDLOPD).

Dicha normativa, prevé una serie de medidas de seguridad tanto técnicas como organizativas con el objetivo de velar por la seguridad de los datos, cuyo incumplimiento podrá acarrear una serie de sanciones preestablecidas. Entre dichas medidas, conviene destacar aquellas eminentemente técnicas, tales como, por ejemplo, el establecimiento de sistemas de identificación y autentificación de usuarios, permitiendo de esta manera establecer un control de acceso lógico a la información, es decir, evitando así un acceso indebido por personal no autorizado al efecto; la definición de procedimientos de realización de copias de respaldo, al menos semanalmente; o, por ejemplo, el establecimiento de cifrados en la información cuando se proceda a su transmisión a través de redes públicas. Es conveniente puntualizar que dichas medidas recogidas en la normativa anteriormente referida, variarán en función la tipología de datos objeto de tratamiento, haciéndose mucho más restrictivas a medida que los datos impliquen o lleven aparejada una sensibilidad mayor, véase por ejemplo, datos de salud, afiliación sindical, religión, creencias…..

En este sentido, se recoge la obligación de que los productos de software destinados al tratamiento automatizado de datos personales deberán incluir en su descripción técnica el nivel de seguridad asignado, en función del tipo de datos objeto de tratamiento.

Movimiento internacional de datos

Pero no sólo debe atenderse a la normativa local, sino que dada la propia naturaleza de este tipo de servicios es muy probable que nos hallemos ante una Transferencia Internacional de Datos, puesto que muchas aplicaciones web se acabarán ubicando en servidores extranjeros. El Movimiento Internacional de Datos, viene regulado en la normativa en materia de Protección de Datos, concretamente en la Instrucción 1/2000, de 1 de diciembre de la Agencia Española de Protección de Datos, en la cual se prohíbe como regla general la Transferencia Internacional de Datos con destino a países que no proporcionen un nivel de protección equiparable al establecido en la LOPD, sin la previa autorización del Director de la Agencia Española de Protección de Datos, salvo determinadas excepciones previstas en la normativa de referencia. Así mismo, también se recoge la obligación de cumplimiento de una serie de requisitos tales como, el deber de información y la correspondiente notificación de la Transferencia a la Agencia Española de Protección de Datos.

Los países que se consideran seguros porque proporcionan un nivel de protección equiparable al de la legislación española son todos los estados de la Unión Europea y también Argentina, Islandia, Liechtenstein, Noruega y Suiza. Por otra parte, tanto las entidades estadounidenses que estén adheridas a los “principios de puerto seguro”, que son unas normas especiales para asegurar la protección de los datos, como las entidades canadienses sujetas al ámbito de aplicación de la ley canadiense de protección de datos se consideran que tienen un nivel de protección adecuado y no es necesario solicitar la autorización de Director de la Agencia Española de Protección de Datos.

Exigir garantías sobre la ubicación de los servidores

A la hora de contratar un servicio “in the cloud” deberíamos exigir al proveedor una garantía sobre dónde se encuentran ubicados los servidores que nos suministrarán el servicio, especialmente cuando se trate de aplicaciones en las que se introduzcan datos de carácter personal de cualquier tipo. Antes de realizar la inversión es importante que conozcamos la situación en la que nos encontraremos, puesto que el incumplimiento de las medidas de protección de datos conlleva elevadas sanciones que oscilan entre 60.000 y 600.000 euros. En cualquier caso, la opción más segura siempre será contratar aquellos servicios que nos garanticen que los servidores en los que se guardan los datos están situados en nuestro país o en uno de los países que proporcionan un nivel de protección equiparable al de la legislación española o, en el caso de Estados Unidos o Canadá, de entidades que cumplan con los requisitos para asegurar esta protección.

ShareThis

Publicidad

Temas destacados

Destacamos

Newsletter gratuita

Suscribase ahora a nuestra Newsletter gratuita.
Le enviaremos periodicamente información sobre nuevos WhitePapers, Webcasts, casos de éxito e información de novedades de productos y noticias.

Envío de artículos por email de IT SEGURIDAD.es

Por favor, introduzca la siguiente información











Cerrar

Envío de artículos por email de IT SEGURIDAD.es

Procesando envíos...

Envío de artículos por email de IT SEGURIDAD.es

Email enviado. Cerrar

Envío de artículos por email de IT SEGURIDAD.es

Error en el envio. Pulse aqui para cerrar.Cerrar