Story Transcript
AENOR
37
focus
42 Contratación externa: un modelo empresarial en crecimiento
Seguridad
y confianza en la nube
AENOR
38
focus ELIZABETH GASIOROWSKI-DENIS
El uso de la computación en la nube o cloud computing se ha disparado; y en 2016 este crecimiento seguirá aumentando convirtiéndose en la mayor parte del gasto destinado a Tecnologías de la Información, según datos de Gartner Inc. Pero a medida que se incrementa la cantidad de información sobre personas y empresas almacenada en la nube, se hace patente la preocupación sobre la seguridad de este entorno.
S
egún la empresa consultora y de investigación de las Tecnologías de la Información Gartner, el mercado de la computación en la nube crecerá un 18,5%; esto es, pasará de los cerca de 105 mil millones de euros en 2012 a casi 124 mil millones en 2017. Es más, 2016 será un año decisivo para la computación en la nube, puesto que esta tecnología se va a sofisticar en los próximos años. Sin embargo, a pesar de la rápida escalada del uso de los servicios de computación en la nube, muchos siguen siendo reticentes a este nuevo entorno. Incluso se niegan a adoptar todas las aplicaciones basadas en cloud computing argumentando razones de seguridad y privacidad, desafíos operativos o incapacidad de controlar la información una vez que se sale de un determinado perímetro. De acuerdo con un estudio global realizado en 2014 por British Telecom (BT), la seguridad de los datos y la confianza en los servicios basados en la computación en la nube son un motivo de inquietud entre los que toman decisiones en el ámbito de las Tecnologías de la Información en organizaciones de gran tamaño. De hecho, el estudio mostró que la seguridad era la principal preocupación del 76% de todos los encuestados cuando utilizan servicios basados en cloud computing. Casi la mitad de los encuestados (49%) admitió que están “muy o extremadamente inquietos” sobre las implicaciones de seguridad que rodean a la computación en la nube. Aunque el 79% de los encuestados en EE.UU (70% en el ámbito mundial) siguen adoptando aplicaciones web y de almacenamiento en la nube en sus negocios, es una realidad que la confianza en torno a la seguridad de cloud computing no pasa por su mejor momento. El estudio también ha puesto de manifiesto que el 89% de la población activa carece actualmente del conocimiento necesario acerca de cómo hay que aplicar la protección y seguridad al cloud computing. Por lo tanto, el problema no es la seguridad de la computación en la nube, sino el conocimiento que se pone a disposición de los usuarios.
Seguridad y privacidad Es totalmente comprensible temer por la seguridad de uno de los activos más preciados que se almacenan en la nube, como es el caso de la información personal o empresarial, pero no hay que llevarlo al límite. Maria-Martina Yalamova, experta en legislación relativa a computación en la nube de la firma de abogados Covington & Burling, afirma que, con frecuencia, los proveedores de servicios rigurosos de cloud computing ofrecen mayor seguridad que la que profesionales o empresas pueden lograr por sí solos. “Estos proveedores invierten importantes recursos en asegurar que sus sistemas utilizan medidas de vanguardia en seguridad y periódicamente realizan pruebas de estrés y fortalecen estas medidas. Muchos cumplen con normas de seguridad internacionales y están sujetos a las obligaciones contractuales y legales reglamentarias para mantener la seguridad y privacidad de los datos. Asimismo, ofrecen a los clientes una amplia gama de controles de privacidad para proteger sus datos, en función del tipo de datos”. La historia de la computación en la nube ha cambiado desde sus inicios. Al igual que con cualquier tecnología o nuevo modelo, las etapas embrionarias generan temores, incertidumbres y dudas. No hace mucho tiempo también existían dudas sobre si los ordenadores personales serían capaces de afrontar las amenazas de seguridad a las que se enfrentaban entonces. Esto mismo se puede aplicar a
AENOR
39 Ciberataques en la nube Según María-Martina Yalamova, abogada especializada en la protección de datos de Covington & Burling, existen una serie de medidas que se pueden adoptar cuando se es víctima de este tipo de delincuencia: 1. El primer paso es investigar la intrusión y
después realizar un seguimiento de cómo y dónde se están utilizando los datos, intentando predecir, en la medida de lo posible, los próximos pasos.
2. Las medidas concretas variarán en función de
la legislación local. Pero, habitualmente, estas situaciones reciben mejor resolución por parte de la policía, a la que se le puede proporcionar información sobre las personas implicadas. En ocasiones, este tipo de delincuentes no responde a medidas civiles.
3. Una vez que se identifica al individuo, puede
ser posible también la reclamación de una compensación por su parte. Hay que estudiar en cada caso si los beneficios de hacerlo son mayores que los costes asociados a ello.
4. Finalmente, el individuo y sus asesores deben
tener en cuenta que una respuesta desmesurada puede atraer la atención pública sobre la intrusión, erosionando aún más la intimidad de la víctima.
la computación en la nube, según afirma Knut Blind, Profesor de Innovación y Tecnología en el Instituto Fraunhofer de Sistemas de Comunicación Abierta de Berlín. Él cree que, sin duda, los tiempos han cambiado en lo que se refiere a seguridad y temores asociados.
Generar confianza El hecho es que no todos los sistemas de computación en la nube son iguales; y la calidad del servicio y el soporte puede variar en gran medida de un proveedor a otro. El principal problema es la confianza. Al mejorar la confianza, las personas y las empresas estarán más receptivas a aceptar los beneficios de la computación en la nube, como la reducción de costes, la mejora de la capacidad de ampliación o los tiempos de implementación, entre otros. Lo que pasa es que el nivel de confianza sólo puede construirse si se tiene en cuenta el tipo de datos a la hora de planificar cualquier uso del cloud computing. En este sentido, Edward Humphreys, Coordinador del grupo de trabajo de ISO responsable de las normas de Gestión de Seguridad de la Información, incluyendo las ISO/IEC 27001, ISO/IEC 27002 y la ISO/IEC 27017 Tecnología de la información. Técnicas de seguridad. Gestión de la seguridad de la información. Directrices sobre controles de seguridad de la información para utilización en servicios de computación en la nube basadas en ISO/IEC 27002, cree que la creación de un clima de confianza es el requisito más importante
Al mejorar la confianza, las personas y las empresas estarán más receptivas a aceptar los beneficios de la computación en la nube en el momento de externalizar las Tecnologías de la Información. “Las empresas necesitan tener garantías en el proveedor del cloud computing. Muchos usuarios no entienden que tienen que seleccionar un proveedor de este tipo de servicios que tenga un buen gobierno sobre el tratamiento de los datos personales; y los que lo saben pueden encontrar dificultades para verificar si estas buenas prácticas se están implementado. Esta situación puede conducir a un incremento de los riesgos en la protección de los datos personales”, afirma Humphreys. Entonces, ¿qué se puede hacer? Ciertamente, los proveedores de servicios de computación en la nube deben tomar medidas para
AENOR
40
focus La ISO/IEC 27018 es la primera norma internacional que se centra en la protección de los datos personales alojados en la nube. Así, proporciona confianza a los usuarios de computación en la nube acerca de la capacidad de su proveedor de mantener la privacidad y seguridad de los datos Casi
124 mil millones de euros 2017
+18.5% Cerca de
105 mil millones de euros 2012
aumentar la confianza de los clientes, subraya Humphreys. “Un proveedor de servicios de cloud computing necesita, como parte de su proceso de gobierno, tener un sistema de controles funcionando que se ocupe específicamente de la protección de datos personales. Disponer de procesamiento de datos que describa el proceso de gobernanza y los temas importantes que pueden ser relevantes para el cumplimiento de sus obligaciones legales ayudará a los clientes a tener confianza en la selección del proveedor correcto de estos servicios. Demostrar el cumplimiento con la Norma ISO/IEC 27001 y ampliar los controles sobre la protección de los datos personales de la Norma ISO/IEC 27018 puede añadir, además, un nivel adicional de confianza”, explica Edward Humphreys. Por su parte, Knut Blind está de acuerdo: “al tener más personas utilizando servicios de computación en la nube, los proveedores tienen que ofrecer controles de seguridad fáciles de usar y bien diseñados. A su vez, las empresas tienen que establecer sistemas apropiados de gestión de seguridad de la información.”
Servicio seguro Teniendo en cuenta todo lo expuesto, ¿cómo pueden las empresas crear un nivel de servicio estándar para los servicios de computación en la nube?, ¿es posible tomar decisiones basadas en mejor información para saber si la solución de computación en la nube es la que mejor se adapta a las necesidades de un determinado negocio? Publicada en 2013, la ISO/IEC 27018 es la primera norma internacional que se centra en la protección de los datos personales alojados en la nube. Así, proporciona confianza a los usuarios de computación en la nube acerca de la capacidad de su proveedor de mantener la privacidad y seguridad de los datos.
Maria-Martina Yalamova añade que “la Norma ISO/IEC 27018 especifica medidas mínimas de seguridad que deben adoptar los proveedores de servicios de computación en la nube, incluyendo controles de cifrado y de acceso. También requiere que estos proveedores implementen políticas de sensibilización sobre seguridad y hagan conscientes al personal involucrado de las consecuencias potenciales (para el personal, el proveedor y el cliente) de no cumplir las reglas de privacidad y seguridad”. Se trata de la primera norma que se ocupa de la protección de datos de carácter personal para cloud computing. Así, la ISO/IEC 27018 tiene los siguientes objetivos principales: • Ayuda a los proveedores de servicios de computación en la nube que procesan datos personales a hacer frente a las obligaciones legales aplicables, así como a las expectativas del cliente. • Habilita la transparencia para que los clientes puedan elegir servicios bien gestionados. • Facilita la creación de contratos de este tipo de servicios. • Proporciona a los clientes de computación en la nube un mecanismo para garantizar que los proveedores cumplen con las obligaciones legales y de otra índole. En definitiva, la Norma ISO/IEC 27018 proporciona una base práctica para sumar confianza en la computación en la nube. Al mismo tiempo, este sector contará con una orientación clara para poder cubrir algunos aspectos legales y reglamentarios.
Servicio ordenado Cuanto más rápidamente puedan los usuarios confiar en el uso de la computación en la nube de manera adecuada, mayores serán las ventajas para el sector y aumentará la rentabilidad de las empresas. Y gracias a la Norma ISO/IEC 27018 ya se ha dado un paso en ese sentido. Asimismo, cada uno debe evaluar los beneficios, riesgos e implicaciones relacionados con la privacidad de utilizar un servicio de computación en la nube. No hay que olvidar la responsabilidad individual de mantener los datos personales a salvo, por ejemplo mediante la elección de contraseñas seguras, así como comprobando que el proveedor elegido ha adoptado las medidas de seguridad apropiadas y es transparente en sus prácticas de procesamiento de datos. l
5
AENOR
aspectos que hay que conocer de la Norma ISO/IEC 27018
12
Se basa en las normas de seguridad de la información existentes, incluyendo la ISO/IEC 27001 e ISO/IEC 27002.
3
Los proveedores de servicios de computación en la nube pueden cumplir con los requisitos que le son de aplicación.
La combinación de un conjunto común de objetivos, controles y directrices basados en la ISO/IEC 27002 y los objetivos específicos de control adicionales de computación en la nube ayuda a gestionar correctamente los datos personales.
45
La transparencia permite a los clientes de este tipo de servicios seleccionar los de procesamiento de datos personales con buen gobierno.
Un mecanismo para el desarrollo de auditorías y correcto cumplimiento ayuda a prevenir riesgos relativos a la protección de datos personales.
41