Beruflich Dokumente
Kultur Dokumente
Ttulo: Cloud Compliance Report Copyright y derechos: CSA- ES (Cloud Security Alliance- Espaa) - ISMS Forum Spain.
Todos los derechos de esta Obra estn reservados a CSA-ES (Cloud Security Alliance-Espaa) y a ISMS Forum Spain. Los titulares reconocen el derecho a utilizar la Obra en el mbito de la propia actividad profesional con las siguientes condiciones: a) Que se reconozca la propiedad de la Obra indicando expresamente los titulares del Copyright. b) No se utilice con fines comerciales. c) No se creen obras derivadas por alteracin, trasformacin y/o desarrollo de esta Obra. - Los titulares del Copyright no garantizan que la Obra est ausente de errores. En los lmites de lo posible se proceder a corregir en las ediciones sucesivas los errores sealados. - El contenido de la Obra no constituye un asesoramiento de tipo profesional y/o legal. - No se garantiza que el contenido de la Obra sea completo, preciso y/o actualizado. - Eventuales denominaciones de productos y/o empresas y/o marcas y/o signos distintivos citados en la Obra son de propiedad exclusiva de los titulares correspondientes.
Ms informacin acerca de CSA-ES se puede consultar a travs de su pgina oficial: www.cloudsecurityalliance.es www.ismsforum.es/csa www.cloudsecurityalliance.org
Sobre CSA-ES:
Con 91 miembros fundadores, representativos de los distintos actores de la industria del Cloud Computing en Espaa, naci en mayo de 2010 el captulo Espaol de Cloud Security Alliance: CSA-ES, impulsado por ISMS Forum Spain y Barcelona Digital. CSA es la organizacin internacional de referencia en la que expertos de algo nivel debaten y promueven el uso de mejores prcticas para garantizar la seguridad y privacidad en el entorno del Cloud Computing. Por su parte, el captulo espaol ya cuenta con 200 miembros, siendo su mbito de inters el Compliance en la Nube. En este sentido existen tres grupos de trabajo especficos, como son: Privacidad y Cumplimiento Normativo en la Nube; Sistemas de Gestin de Seguridad de la Informacin, y Gestin de Riesgos en la Nube; y Contratacin, Evidencias Electrnicas y Auditora en la Nube. Los profesionales que conforman estos grupos han trabajado en este primer Report espaol en materia de Cloud Compliance. La estructura de CSA-ES consta de: Junta Directiva
Nombre Luis Buezo Bueno Jess Miln Lobo Jess Luna Garca Casimiro Juanes Nathaly Rey Gianluca DAntonio Elena Maestre Ramn Miralles Lpez Carlos Alberto Siz Pea Vctor A. Villagr Cargo, empresa Director EMEA IT Assurance, HP Technology Services Director de Riesgos Tecnolgicos y Seguridad Informtica de Bankinter Investigador, Technische Universitt Darmstadt (Alemania) Director Regional de Seguridad RMED de Ericsson Directora General de ISMS Forum Spain Chief Information Security Officer (CISO) del Grupo FCC Socio de Riesgos Tecnolgicos de PricewaterhouseCoopers Auditores S.L. Coordinador de Auditoria y Seguridad de la Informacin de la Autoridad Catalana de Proteccin de Datos Socio responsable del rea de GRC Governance, Risk y Compliance de Ecija Profesor Titular de Universidad. Dpto. Ingeniera Telemtica en la E.T.S.I. Telecomunicacin de la Universidad Politcnica de Madrid (UPM) Cargo en la Junta Directiva de CSA-ES Presidente - Comit Operativo Vicepresidente - Comit Operativo Vocal - Comit Operativo Vocal - Comit Operativo Vocal - Comit Operativo Vocal Vocal Vocal Vocal Vocal
Consejo Asesor
Nombre Pau Contreras Antoni Felguera Marcos Gmez Hidalgo Olof Sandstrom Cargo, empresa Director de Innovacin y Desarrollo de Negocio de Oracle Ibrica R+D Security Manager de Barcelona Digital Technology Centre Subdirector de Programas de INTECO Director General de Operaciones de Arsys
ndice
1. 2. 3. 4.
Resumen ejecutivo Introduccin y justificacin del estudio Contenido del documento Cumplimiento legislativo en materia de Privacidad 4.1 Introduccin 4.2 Contenido del captulo 4.3 Legislacin aplicable 4.4 Encargado de tratamiento 4.5 Medidas de seguridad 4.6 Transferencias Internacionales 4.7 Ejercicio de derechos 4.8 Autoridades de control 4.9 Comunicacin de datos a otras autoridades 4.10 Conclusiones
9 12 14 18 18 21 23 25 32 36 42 46 51 54 58 58 58 59 60 60 62 67
5.
Cumplimiento con otras legislaciones 5.1 Introduccin 5.2 Contenido del captulo 5.3 Anteproyecto de Ley de modificacin de la Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones 5.4 Ley 11/2007, de Acceso Electrnico de los Ciudadanos a los Servicios Pblicos 5.5 Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacin y Comercio Electrnico 5.6 Ley Orgnica 10/1995, de 23 de noviembre, del Cdigo Penal 5.7 Aspectos Jurdicos Laborales
0. ndice i
6.
Sistemas de Gestin de la Seguridad de la Informacin en la nube 6.1 Introduccin 6.2 Contenido del captulo 6.3 Principios generales de despliegue de un SGSI 6.4 Fase I. Definicin y preparacin del SGSI 6.5 Fase II. Implantacin y operacin del SGSI 6.6 Fase III. Seguimiento y mejora del SGSI 6.7 Conclusiones
7.
Efectos de la computacin en la nube sobre la contratacin de servicios TIC 7.1 Introduccin 7.2 Contenido 7.3 Mecanismos de resolucin de conflictos 7.4 Confidencialidad 7.5 Propiedad Intelectual 7.6 Responsabilidad 7.7 Resolucin anticipada 7.8 Privacidad y proteccin de datos 7.9 Ley aplicable y jurisdiccin 7.10 Auditabilidad 7.11 Seguridad 7.12 Acuerdos de Nivel de Servicio (ANS) 7.13 Recomendaciones
8.
La obtencin de evidencias digitales en la nube 8.1 Introduccin 8.2 Contenido del captulo 8.3 La problemtica 8.4 Las amenazas principales y la prueba electrnica 8.5 Recomendaciones
0. ndice
9.
Auditora de entornos de computacin en la nube 9.1 Introduccin 9.2 Contenido del captulo 9.3 Metodologas y tecnologas de auditora. 9.4 Recomendaciones
113 113 114 115 117 120 123 125 125 127 133 138
10. Glosario 11. Referencias 12. Anexos Anexo I. Amenazas asociadas a tecnologas especficas Anexo II. Amenazas Anexo III. La prueba electrnica en el marco legal Espaol Anexo IV. Metodologas y tecnologas de auditora
0. ndice i
Resumen ejecutivo
El cumplimiento normativo es uno de los aspectos mencionados ineludiblemente por cualquier estudio relativo a la implantacin de modelos de computacin en la nube. Esta circunstancia, unida al hecho de que la regulacin espaola sobre la privacidad es modlica a nivel mundial, ha hecho que el captulo espaol de la Cloud Security Alliance se haya decidido a abordar este Cloud Compliance Report. Pero el enfoque del cumplimiento normativo se ha abordado de una manera amplia, no limitado a los aspectos sobre la privacidad, sino que incluye tambin otras normas exigibles en Espaa, as como, normativas de carcter voluntario, como la ISO/IEC 27001:2005 sobre Sistemas de Gestin de la Seguridad de la Informacin (SGSI) o un anlisis de los aspectos relacionados con la contratacin como pieza fundamental de la relacin entre cliente y proveedor de servicios en la nube. Adems de incluir todo este tipo de normas, el estudio ha ido un poco ms all e incluye tambin lo relacionado con la validacin del cumplimiento, es decir, analiza la realizacin de auditoras y la obtencin de evidencias digitales en entornos de computacin en la nube. Finalmente, resaltar que el estudio ha tomado en consideracin tanto el punto de vista del cliente como del proveedor de servicios para lo que ha sido fundamental que sus autores conformaran un grupo multidisciplinar y representativo de ambas perspectivas. En aquellos puntos donde es relevante, tambin existen reflexiones y recomendaciones por tipo de servicio (SaaS, PaaS o IaaS) y por tipo de despliegue (nube privada, pblica, hbirida). Uno de los principales objetivos del presente documento es aportar un enfoque metodolgico que ayude a abordar las necesidades de cumplimiento dentro de la computacin en la nube. Est claro que no podemos ver slo los beneficios del computacin en la nube y obviar sus implicaciones y riesgos, en especial, todo lo relacionado con el cumplimiento. Por otro lado, tampoco podemos recurrir sistemticamente a argumentos de seguridad y cumplimiento para paralizar las iniciativas en la nube. Todo es cuestin de balancear, identificando qu servicios, cmo y cundo se pueden ir implementando de manera adecuada en los diferentes modelos de computacin en la nube. La evolucin hacia la nube ser gradual y claramente los requerimientos de cumplimiento sern uno de los principales parmetros que irn marcando la velocidad de esta evolucin. En cuanto a las conclusiones ms relevantes de este estudio, aunque son difciles de resumir en tan poco espacio, s que es interesante resaltar que tienen un mismo hilo conductor: Aumentar la transparencia en la relacin entre cliente y proveedor de servicios de computacin en la nube como elemento bsico de confianza entre las partes (en este sentido, por ejemplo, contar con un proveedor certificado es un factor muy positivo). Estas recomendaciones, en gran medida, tambin podran ser de aplicacin a los modelos ms tradicionales de externalizacin de servicios (como el housing o el hosting), lo cual es lgico, puesto
1. Resumen ejecutivo
que la computacin en la nube podra considerarse como un salto cualitativo en los modelos de provisin de servicios TIC. De este modo, nos encontramos con recomendaciones como la de que los clientes informen a los proveedores sobre los tratamientos de datos de carcter personal que estn realizando y los requisitos que sobre ellos existen y que stos, a su vez, identifiquen e informen de las localizaciones en las que realizarn dichos tratamientos o de proveedores a los que ellos subcontraten parte de sus servicios, as como, que se establezcan mecanismos de coordinacin entre ambas partes para asegurar que se puede dar cumplimiento a los derechos de los afectados de manera responsable. En cuanto a la implantacin de SGSIs, tambin nos encontramos recomendaciones en sentido de ampliar los canales de comunicacin en materia, por ejemplo, de valoracin de riesgos, de incidencias, de variacin de los niveles de riesgo, as como de coordinacin (como, por ejemplo, en materia de definicin de roles y responsabilidades, respuesta a incidentes o realizacin de tareas de seguimiento y auditora), mecanismos stos especialmente relevantes en el caso de SGSIs encapsulados. En este punto, se incluye una reflexin especial en relacin a los alcances, en el sentido de que deben ser significativos para los servicios prestados en la nube. En relacin a la contratacin de servicios en la nube, las recomendaciones tambin tienen la misma orientacin, encontrndonos con referencias a los Acuerdos de Nivel de Servicio como herramientas fundamentales para definir y monitorizar el servicio, pero tambin con aspectos como determinar la propiedad intelectual de los distintos elementos de la provisin del servicio, establecer mecanismos de resolucin de conflictos o clarificar desde el inicio las leyes aplicables y la jurisdiccin aplicable. Para finalizar, en cuanto a los aspectos relacionados con la validacin del cumplimiento (evidencias y auditora), las recomendaciones hacen foco en los aspectos de coordinacin (quin debe encargarse de qu tarea en aspectos como elaboracin de mtricas, realizacin de revisiones, etc.), as como en el establecimiento de un entorno confiable mediante la implantacin de mecanismos como procedimientos de gestin de evidencias, medidas de proteccin de los registros de auditora, planificacin de auditoras, etc.
1. Resumen ejecutivo
10
El pasado 21 de Mayo de 2010, ISMS Forum Spain y Barcelona Digital, centro tecnolgico de I+D+i especializado en seguridad, conjuntamente con la Cloud Security Alliance (CSA), anunciaron la creacin del captulo espaol del CSA. Como es ya conocido, CSA es la organizacin internacional de referencia en la que expertos de alto nivel debaten y promueven el uso de mejores prcticas para garantizar la seguridad y privacidad en el entorno de computacin en la nube. El captulo espaol, que se denomina CSA-ES, lo constituyeron inicialmente 91 miembros. Se trat del primer captulo de mbito nacional del CSA y se fund con la misin de avanzar en el desarrollo seguro de la tecnologa cloud computing (computacin en la nube) en Espaa, constituyendo un foro de discusin y aglutinamiento de los profesionales de seguridad en ste mbito de trabajo. Los principales objetivos de CSA-ES son promover un nivel de entendimiento entre consumidores y proveedores de cloud, potenciar el desarrollo de guas y buenas prcticas independientes, as como lanzar campaas de concienciacin y sensibilizacin sobre el uso adecuado y seguro de la nube. Cada captulo regional selecciona un mbito especfico de inters en relacin con la computacin en la nube. El hecho de que la regulacin espaola sobre la privacidad es modlica a nivel mundial, ha justificado que el CSA-ES seleccionara el rea de Compliance en la Nube, marcndose como objetivo desarrollar el presente documento, segn ratific la Junta Directiva, una vez que la misma fue constituida. Desde la fundacin de CSA-ES, se constituyeron 3 grupos de trabajo enfocados a trabajar en paralelo para el desarrollo del presente documento en las siguientes reas: Grupo de Trabajo 1: Privacidad y cumplimiento normativo Grupo de Trabajo 2: Sistemas de gestin de seguridad de la informacin y gestin de riesgos Grupo de Trabajo 3: Contratacin, evidencias electrnicas y auditora.. CSA-ES est convencido de que este Cloud Compliance Report, sin duda alguna, aportar un gran valor a la industria en virtud de que precisamente el cumplimento normativo es una de las barreras a la hora de implantar el modelo de computacin en la nube en muchas organizaciones, mxime teniendo en cuenta las rigurosas obligaciones de seguridad que vienen impuestas por la normativa de proteccin de datos de carcter personal, y la carencia de un nivel de entendimiento con reguladores y autoridades de control. El objetivo del Captulo es partir de una base general robusta en materia de cumplimiento, para despus, ir trabajando por sectores de inters (banca, salud, seguros, telecomunicaciones, etc.).
12
Para abordar el estudio del cumplimiento en la nube, el captulo espaol de la Cloud Security Alliance dividi el tema considerando que el cumplimiento tiene dos estadios. En primer lugar, el inventariado. En este primer momento, lo que afrontamos es la identificacin de las normas que son de aplicacin a la Organizacin. Dentro de estas, podramos clasificar las normas de aplicacin a cualquier organizacin en: Normas generales, que a su vez, podran ser obligatorias (ordenamiento jurdico de los Estados normalmente) o voluntarias (cdigos tipo o mejores prcticas). Normas particulares, es decir, aquellas que aplican con carcter individual por aceptar los trminos de un contrato o normas sectoriales. Una vez superado este estadio enunciativo, vendra la etapa de validar el cumplimiento. Este cumplimiento se apoya en dos grandes ejes. Por un lado, las evidencias digitales que permiten demostrar hechos en los entornos telemticos y que son de especial relevancia en la nube y, como no, la auditora, como herramienta (que se apoya en mltiples ocasiones en evidencias digitales) para validar que una determinada organizacin, sistema o servicio cumplen con lo requerido por alguna de las normativas mencionadas anteriormente. Esta estructuracin de contenidos se concentr generando tres grupos de trabajo: El primer grupo de trabajo se centr en las normas generales y los resultados se encuentran en los captulos 4 y 5. Se ha decidido tratar la privacidad en un captulo propio, dada su especial relevancia en el contexto de la computacin en la nube, y la importancia de la normativa de proteccin de datos de carcter personal, especialmente en el contexto Europeo. El segundo grupo de trabajo se dedic a las normas voluntarias, ms concretamente, se concentr en los Sistemas de Gestin de la Seguridad de la Informacin en base a la norma ISO/IEC 27001:2005 dada su importancia a nivel mundial y mejor prctica generalmente aceptada y cuyo anlisis se encuentra en el Captulo 6. Finalmente, el tercer grupo se dedic a los aspectos restantes. A la contratacin, como mecanismo en el que se establecen los requisitos entre las partes (Captulo 7) y, por otro lado, en lo relacionado con la verificacin del cumplimiento, que se traduce en dos captulos independientes: las evidencias digitales (Captulo 8) y la auditora (Captulo 9).
14
Normas
Compliance Report
Particulares
Contratacin
Por otra parte, aunque los aspectos cubiertos por este documento son algunos muy diferentes, se ha procurado mantener una misma estructura en todos los captulos de forma que sea fcil para el lector seguir la argumentacin a lo largo de todo el estudio pero que tambin puedan ser consultados de manera individual sin que sea necesario leer todo el informe para sacar provecho de su lectura. De esta forma, todos los captulos tienen los siguientes apartados: Una introduccin inicial que ayuda a centrar el tema en cuestin, explica por qu se aborda y su relacin con la computacin en la nube. Un apartado que explica el contenido del captulo de manera especfica para que el lector sepa dnde puede encontrar determinados aspectos que le interesen en mayor medida.
15
Finalmente, tras el desarrollo de cada aspecto se incluye un apartado final de conclusiones o recomendaciones a modo de compendio final de los aspectos ms relevantes del captulo. No obstante, durante el desarrollo de cada parte del documento se van realizando recomendaciones relativas a la materia en estudio en cada momento, por lo que es importante, si el lector est interesado en algn tema concreto que lea el captulo completo para obtener un mayor grado de detalle.
Introduccin
Conclusiones / Recomendaciones
Estructura captulos
Contenido
Desarrollo
16
4.1 Introduccin
Actualmente existen diversas definiciones y caractersticas de computacin en la nube, por lo que no es fcil dar una definicin clara a lo que podramos describir como un modelo para la prestacin de servicios y recursos (redes, servidores, capacidad de almacenamiento, aplicaciones y servicios) bajo demanda a travs de la red, caracterizado por su adaptabilidad, flexibilidad, escalabilidad, rapidez, optimizacin y eficiencia. Estos componentes pueden orquestarse, abastecerse, implementarse y desmantelarse rpidamente y escalarse en funcin de las dimensiones necesarias para ofrecer los servicios solicitados. Tambin puede definirse como que el modelo en la nube es, en la actualidad, una oferta de acceso inmediato y a un coste asequible (y a veces gratuito) a las tecnologas de la informacin cuya infraestructura, hardware, software y personal cualificado, se pone al alcance de empresas y particulares para ofrecer diversos productos y servicios. Siguiendo con la definicin que ofrece la Cloud Security Alliance (en adelante, CSA) de la computacin en la nube, las caractersticas esenciales de este modelo son: autoservicio a la carta, amplio acceso a la red, reservas de recursos en comn, rapidez y elasticidad y servicio supervisado [CSA, 2009]. De acuerdo con el documento de CSA Top Threats to Cloud Computing v1.0 [CSA, marzo 2010], y dada la importancia del fenmeno de la computacin en la nube, como demuestra la publicacin de otros informes similares como el de INTECO [Inteco, 2011], el del World Privacy Forum [WPF, 2009], etc., se pueden enumerar una serie de amenazas a tener en cuenta a la hora de desplegar un modelo de servicio en la nube como seran: Interfaces y APIs1 poco seguros, problemas derivados de las tecnologas compartidas, prdida o fuga de informacin, secuestro de sesin, riesgos por desconocimiento, migracin de servicios hacia otro proveedor, amenaza interna y mal uso o abuso del servicio. A estos riesgos asociados a este modelo de computacin, que adems destacan por su falta de histricos, habra que aadir otros como son los accesos de usuarios con privilegios, la localizacin y el aislamiento de los datos, la recuperacin, el soporte investigativo, la viabilidad a largo plazo, la falta de control de la gestin y seguridad de los datos, las cesiones no consentidas o las transferencias internacionales no autorizadas, en definitiva, la privacidad de los datos en la nube y el cumplimiento normativo o legal. Conviene recordar que aspectos como las transferencias internacionales, las subcontrataciones o las distintas jurisdicciones de las diferentes autoridades de control son difciles de resolver en este modelo de computacin, segn entendemos la normativa actualmente.
1
18
Tampoco conviene olvidar que es casi imposible cumplir con el precepto de verificacin del cumplimiento del encargado del tratamiento por el responsable del fichero dada la diferencia de tamao y capacidad negociadora de las organizaciones que a veces estn implicadas en el proceso. A su vez, existen muchos retos desde el punto de vista del cumplimiento normativo y la privacidad que tratan de dar una respuesta adecuada a los riesgos correspondientes enumerados en el prrafo anterior. Este captulo viene a estudiar los diferentes aspectos contemplados anteriormente con objeto de poder ayudar al lector a establecer pautas para abordar los retos que conlleva el modelo de computacin en la nube desde la perspectiva espaola. Las razones para ello son, principalmente dos: La primera y ms evidente es que constituye la aportacin del captulo espaol de la Cloud Security Alliance. La segunda, obedece a que Espaa cuenta en la actualidad con la normativa ms rigurosa en materia de proteccin de datos personales. Espaa ha sido el pas europeo que ha desarrollado con mayor intensidad, los principios consagrados por la Directiva 95/46/CE, que a su vez es el marco jurdico ms garantista que se conoce, en materia de proteccin de datos. Esto permite afirmar que cualquier prestacin de servicios en la nube, que cumpla con los requisitos exigidos por la normativa espaola, puede cubrir los requisitos exigidos por las normativas de otros Estados. Antes de entrar a analizar la normativa espaola de proteccin de datos, conviene realizar una referencia sucinta de los marcos normativos existentes.
4.1.2 Europa
En Europa, la proteccin de datos personales est considerada como un derecho fundamental. En lnea con una tradicin jurdica positivista, se ha acentuado la labor legislativa con el fin de establecer un sistema garantista (de hecho, el ms garantista que existe en la actualidad) en aras de asegurar una la proteccin efectiva a los derechos de los ciudadanos. La Directiva 95/46/CE [Directiva, 1995] constituye el marco europeo de referencia. En esta Directiva se establecen ciertos principios, que los Estados Miembros ha tenido que transponer en sus respectivos ordenamientos, a saber:
19
1. 2. 3. 4. 5. 6. 7. 8.
Informacin. Consentimiento. Finalidad. Calidad. Seguridad. Derechos de Acceso, Rectificacin, Cancelacin y Oposicin. Autoridad de Control independiente. Limitacin a las trasferencias internacionales de datos.
El enfoque europeo ha servido tambin como fuente de inspiracin para otras legislaciones, principalmente de corte continental, que han incorporado o estn incorporando estos principios, evidentemente para proteger los derechos de los ciudadanos, pero tambin, para favorecer el trfico econmico con los pases miembros de la Unin. Argentina,Chile y Colombia y Mxico son algunos ejemplos en este sentido.
De las sigas en ingls de Asia-Pacific Economic Cooperation, en espaol, Foro de Cooperacin Econmica Asia-Pacfico.
20
Al igual que el modelo estadounidense, existe un enfoque desde el punto de vista consumidor y es un modelo ex post, en el que una autoridad pblica o privada puede intervenir slo despus de que se ha producido la supuesta violacin.
4.1.6 Resolucin de Madrid sobre Estndares Internacionales sobre Proteccin de Datos Personales y Privacidad
Este documento, producto de la labor conjunta de los garantes de la privacidad de casi cincuenta pases, bajo coordinacin de la Agencia Espaola de Proteccin de Datos, ha desembocado en un texto que trata de plasmar los mltiples enfoques que admite la proteccin de este derecho, integrando legislaciones de los cinco continentes. Tal y como establece la Disposicin Primera del Documento, los Estndares tienen por objeto Definir un conjunto de principios y derechos que garanticen la efectiva y uniforme proteccin de la privacidad a nivel internacional, en relacin con el tratamiento de datos de carcter personal; y Facilitar los flujos internacionales de datos de carcter personal, necesarios en un mundo globalizado. Aunque no tiene un carcter vinculante, estos Estndares establecen un compromiso poltico de quienes lo han suscrito, en el sentido de servir como referencia a los Estados que en la actualidad no hayan legislado sobre la materia, y de servir como referencia para la armonizacin de la normativa existente, en aras de que la normativa sobre proteccin de datos y la privacidad no se constituya un obstculo al comercio internacional; facilitndose el flujo de los datos de carcter personal y la uniformidad de la misma.
21
Este segundo apartado donde se explica la estructura y contenido del informe, con una breve explicacin del contenido de cada uno de ellos. Un tercer apartado con un resumen ejecutivo donde, mediante una visin rpida, el lector se puede hacer una idea bastante aproximada del cumplimiento normativo en la computacin en la nube. A continuacin, el cuarto apartado, estudia con ms detalle cada uno de los aspectos que se consideran relevantes a la hora de establecer un modelo de proceso basado en la computacin en la nube. El anlisis de cada uno de estos aspectos se estructura de la misma forma, una descripcin general, los aspectos mas relevantes de la situacin analizada en base a los modelos de servicio y despliegue de la nube, la legislacin que le aplica y, finalmente, las recomendaciones que se proponen desde el punto de vista de proveedor o cliente del servicio sin olvidar, cuando sea necesario, el punto de vista de las personas afectadas. En el apartado de las medidas de seguridad se sigue una estructura diferente, estudindose las diferentes medidas desde el punto de vista de la empresa proveedora y de la empresa que contrata. El primer punto empieza estudiando la legislacin aplicable segn el responsable del tratamiento resida en un pas dentro del Espacio Econmico Europeo o fuera de l. El segundo punto estudia la figura del encargado del tratamiento, como proveedor del servicio en la nube, repasando la subcontratacin y otros agentes operadores de telecomunicaciones. El tercer punto se centra en las medidas de seguridad analizando los principales aspectos de las mismas como son el documento de seguridad, el control de acceso, la gestin de incidencias, las copias de seguridad y las auditoras. El cuarto punto trata las transferencias internacionales, tanto desde de la situacin en que no exista comunicacin de datos a un tercero como cuando se da esta comunicacin y la diferenciacin de un pas con nivel adecuado de proteccin o sin nivel adecuado. El quinto punto aborda el ejercicio de los derechos por los interesados tanto en sus caractersticas como requisitos y riesgos. El sexto punto analiza el papel de las autoridades de control en tanto a la determinacin de la jurisdiccin a aplicar en el caso de una denuncia o tutela de derechos y la ejecucin efectiva de las resoluciones. El sptimo punto considera la comunicacin de datos a otras autoridades bien por requerimientos de leyes o de organismos tanto desde el mbito nacional como de otros pases. La audiencia de este documento son los clientes y usuarios de los recursos ofrecidos mediante modelos de computacin en la nube y los proveedores de los mismos, sirviendo como referencia para solicitar y ofrecer soluciones en lo relativo a la privacidad de los datos en la nube, el cumplimiento normativo o legal y los mecanismos de seguridad y acuerdos necesarios para controlarlos.
22
5 6
En este estudio no se abordar la casustica de aquellos servicios que se contratan directamente (ya sea gratuitamente o no) por los usuarios finales al proveedor de computacin en la nube (ejemplos de ellos son los servicios de correo electrnico en la nube o las redes sociales) ni aquellos casos en los que el proveedor de servicios tpicamente un encargado de tratamiento en la terminologa de proteccin de datos se transforma tambin en responsable por utilizar los datos personales para finalidades propias (lcita o ilcitamente) como, por ejemplo, un proveedor de servicios IaaS que utiliza los datos confiados a su custodia para, a travs de herramientas de minera de datos, establecer perfiles de hbitos de compra para su explotacin o su venta a terceros. Para una discusin en profundidad de este asunto se puede consultar el Dictamen 8/2010, sobre Ley Aplicable, del Grupo de Trabajo del Artculo 29. Formado por los estados de la Unin Europea e Islandia, Noruega y Lienchtenstein As, ni la nacionalidad ni el lugar de residencia de los afectados ni, incluso, la localizacin fsica de los sistemas de informacin donde se tratan datos personales son, en este caso, elementos relevantes para determinar el derecho aplicable a un tratamiento. No hay que confundir ley aplicable con jurisdiccin. Podra suceder que una autoridad de control de un estado miembro tuviera jurisdiccin para dictaminar sobre un determinado tratamiento de datos pero tuviera que hacerlo aplicando la ley de otro Estado miembro. En el ejemplo expuesto, en base a lo que establece el artculo 28 de la Directiva, si hubiera una reclamacin relativa a una accin de marketing llevada a cabo en Francia, la autoridad competente para resolverla sera la francesa, pero debera aplicar la legislacin belga.
23
gados de tratamiento de datos establecidos en un Estado del EEE. En efecto, este artculo dispone que los encargados de tratamiento, adems de estar sujetos a lo que dispone la ley del Estado en que est establecido el responsable del tratamiento, tambin han de aplicar las medidas de seguridad establecidas por la legislacin del Estado miembro en que estn establecidos y, en caso de que hubiera un conflicto entre ambas, prevalecer esta ltima. La segunda parte que se mencionaba al inicio de esta seccin se refiere a la aplicacin de las previsiones de la Directiva8 a un responsable que, aun no estando establecido en un Estado del EEE recurre para el tratamiento de datos personales, a medios, automatizados o no, situados en el territorio de dicho Estado miembro, salvo en caso de que dichos medios se utilicen solamente con fines de trnsito por el territorio de la Comunidad Europea. En este caso, el responsable del tratamiento deber designar un representante establecido en el territorio del Estado miembro de que se trate. As pues, en el caso de un proveedor de servicios en la nube establecido, por ejemplo, en Estados Unidos, pero que utiliza, para determinados tratamientos de datos, servidores ubicados en un Estado del EEE, la legislacin aplicable a los mismos ser la de este Estado y, de hecho, el proveedor exportar la legislacin europea a los tratamientos de datos personales que lleven a cabo sus clientes.
En el bien entendido que lo que esta frase significa en la realidad es la aplicacin de la legislacin que el Estado miembro correspondiente haya aprobado al transponer la Directiva. No se tratar el caso descrito en la letra b) del apartado primero del artculo 4 por ser un caso residual y de escasa relevancia para el objeto de este estudio. 9 Como se puede apreciar, en este caso no es suficiente que el proveedor de computacin en la nube est establecido en un Estado del EEE sino que utilice medios que s estn ubicados dentro del EEE.
8
24
de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal (en adelante, RLOPD)10.
4.3.4 Recomendaciones
Dado que la legislacin aplicable a una determinada operacin de tratamiento de datos personales no es algo que dependa de la voluntad de ninguna de las partes vinculadas por el contrato de prestacin de servicios en la nube, no hay mucho margen para realizar recomendaciones especficas. No obstante, se mencionarn algunos puntos que debern tenerse en cuenta. 4.3.4.1 Empresa proveedora Las empresas que utilicen medios situados en el territorio del EEE para prestar servicios a sus clientes debern ser conscientes que exportan la legislacin europea a todos aquellos que no estn establecidos en dicho espacio. Esto implica que las obligaciones de la legislacin de proteccin de datos del Estado miembro que corresponda les resulta de aplicacin y que, adems, ello les obliga a nombrar un representante en el Estado de que se trate11. Si sus clientes estn establecidos en el territorio del EEE, las obligaciones relativas a proteccin de datos (salvo, quizs, las referentes a medidas de seguridad) sern incumbencia de dichos clientes. 4.3.4.2 Empresa cliente Si es una empresa establecida en el territorio del EEE, independientemente de donde est ubicado su proveedor de servicios en la nube o los sistemas de tratamiento de la informacin de dicho proveedor, ella ser la responsable en trminos de proteccin de datos y le ser de aplicacin la ley del Estado en que est establecida. Si su proveedor est establecido en un Estado miembro diferente, deber tener en cuenta que puede existir la necesidad de analizar los requerimientos en materia de seguridad aplicables en el Estado de establecimiento del proveedor y que, en todo caso, si existe alguna incompatibilidad o conflicto entre ambas normativas, prevalece la del Estado de establecimiento del proveedor.
11
12
De hecho, este artculo no transpone correctamente las normas sobre legislacin aplicable de la Directiva, ya que dispone que la LOPD solo es de aplicacin a tratamientos de datos personales llevados a cabo por responsables establecidos en Espaa y que se produzcan en territorio espaol lo que, como hemos visto, no es lo que establece la Directiva. El artculo 3 del RLOPD (sin entrar a valorar si ha de prevalecer o no sobre el rgimen de la LOPD) ha recogido de manera correcta el modelo de la Directiva. El Grupo de Trabajo del Artculo 29 reconoce en su Dictamen 8/2010 que esta previsin de la Directiva puede ocasionar problemas prcticos y econmicos pero, aun as, afirma que no existe otra interpretacin posible aunque aboga por una reflexin sobre este hecho en el marco de la futura revisin de la legislacin europea de proteccin de datos. Dictamen 1/2010 sobre los conceptos de responsable del tratamiento y encargado del tratamiento emitido por el Grupo de Trabajo del Art. 29. Este dictamen analiza el concepto de encargado del tratamiento, cuya existencia depende de una decisin adoptada por el responsable del tratamiento, que puede decidir que los datos se traten dentro de su organizacin o bien delegar todas o una parte de las actividades de tratamiento en una organizacin externa.
25
Dentro de la normativa de proteccin de datos espaola encontramos la definicin de encargado de tratamiento como la persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo que, slo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento13. Tal como indica la Sentencia de la Audiencia Nacional de 20 de septiembre de 200214, el encargo de tratamiento se ampara en la prestacin de un servicio que el responsable del tratamiento recibe de una empresa ajena a su propia organizacin y que le ayuda en el cumplimiento de la finalidad del tratamiento de datos consentida por el afectado. Ahora bien, este tratamiento debe delimitarse, concretando el responsable el margen de actuacin del encargado en su funcin encomendada, o se puede dejar un cierto grado de discrecionalidad sobre cmo realizar su funcin en base a los intereses del responsable del tratamiento. Es aqu donde la figura del encargado de tratamiento se vincula al proveedor de servicios en la nube, ya que ste presta servicios de negocio y tecnologa, que permite al usuario acceder a un catlogo de servicios estandarizados de forma flexible y adaptativa, permitiendo a este proveedor que establezca los medios tcnicos y de organizacin ms adecuados. Por lo tanto, teniendo en cuenta la normativa aplicable y las obligaciones que conlleva, el proveedor de servicios en la nube podr determinar su responsabilidad como encargado de tratamiento en funcin de la tipologa de nube (pblica, privada, comunitaria o hbrida) y del servicio que decida contratar el responsable de tratamiento de los datos de carcter personal, ya que en funcin del modelo de despliegue de los servicios en la nube (modelo SPI), las responsabilidades del proveedor sern diferentes.
Ver Art. 3. g.) Ley Orgnica de Proteccin de Datos. Sentencia de la AN, Sala de lo Contencioso-administrativo, Seccin 1, 20 sep. 2002 (Rec. 150/2000). 15 Ver artculos 2(d) y (e) de la Directiva 95/46/CE, artculo 3.g LOPD y artculo 5.1.i RLOPD. 16 Ver artculos 16 y 17 de la Directiva 95/46/CE. Artculo12.2 LOPD y artculos 20 y 22 RLOPD. 17 Sentencia de la Audiencia Nacional, Sala de los Contencioso-administrativo, seccin 1, 16 mar. 2006 (Rec. 427/2004).
13 14
26
que se establecen en dicho precepto y que garantice la seguridad de los datos impidiendo el acceso a los mismos de terceros18. En este contrato debe figurar el siguiente contenido: 1. Especificar y delimitar la finalidad para la que se comunican los datos (Art. 12.2 LOPD). 2. Establecer expresamente que el proveedor de la nube no puede comunicar estos datos a terceros, ni siquiera para su conservacin (Art. 12.2 LOPD). 3. Implementar las medidas de seguridad que debe cumplir el responsable en funcin del tipo de datos que contenga el fichero y el nivel de seguridad aplicado (Art. 9 y 12.2 LOPD). 4. Delimitar el tiempo de ejecucin del servicio. 5. Determinar de forma concreta las condiciones de devolucin de los datos o destruccin de los datos una vez cumplido el servicio (Art. 12.3 LOPD y 22RLOPD). 6. Existencia de una clausula de confidencialidad, tanto al proveedor de la nube, como a sus empleados que puedan acceder a los datos. 7. Establecer la obligacin del encargado, en el caso de que los interesados ejerciten sus derechos ARCO19 ante el mismo, de dar traslado de la solicitud al responsable. A excepcin, en el caso de que exista un acuerdo entre el proveedor de la nube y el cliente de que dicha gestin la realice directamente el encargado de tratamiento. Otro criterio a tener en cuenta en base a la normativa de proteccin de datos es la obligacin del encargado de tratamiento a disponer de un Documento de Seguridad, ya que el proveedor de la nube, segn el tipo de nube y el servicio que preste al responsable, encaja como agente tratante definido en el artculo 82.2 del RLOPD. Este documento de seguridad debe cumplir con los requisitos que le exige el artculo 88 del RLOPD. Por lo tanto, podemos decir que, tanto el encargado de tratamiento como el responsable del tratamiento, tienen las mismas obligaciones de cumplimiento de implementacin de las medidas de seguridad que exige la normativa. Adems, se debe tener en cuenta que el RLOPD, en su artculo 20.2, exige al responsable, es decir al cliente que contrata el servicio en la nube, que vigile el cumplimiento por parte del encargado de tratamiento, y por tanto, se obliga al responsable tener una diligencia a travs de algn sistema que permita la realizacin de controles peridicos. En cuanto a la posibilidad de existencia de subcontratacin de servicios externos por parte del proveedor de computacin en la nube, en los cuales estos subencargados tengan acceso a datos de carcter perso-
18
19
Los aspectos de contratacin se tratan especficamente en el Captulo 7, no obstante, se incluyen en este captulo los requerimientos de contratacin especficos en materia de privacidad establecidos por la LOPD. Acrnimo utilizado comnmente para referirse a los derechos de acceso (A), rectificacin (R), cancelacin (C) y oposicin (O) de los titulares de los datos.
27
nal, la ley no descarta la legitimidad de esta posibilidad, pero obliga a cumplir los siguientes requisitos (incluidos en el artculo 21 RLOPD): Que los servicios que se pretende subcontratar se hayan previsto en el contrato entre el proveedor y el cliente de este servicio. Que se especifique en el contrato el contenido detallado del servicio subcontratado. El cliente debe establecer las instrucciones de cmo tratar los datos. En definitiva, las empresas que deseen contratar un servicio de computacin en la nube, deben tener en cuenta que existe una normativa estatal que impone al encargado del tratamiento la obligacin de procesar los datos del cliente de acuerdo con el sistema de seguridad establecido por la regulacin de proteccin de datos. 4.4.2.2 Otros agentes En la prestacin de los servicios del proveedor de computacin en la nube intervienen otros agentes sin los que no sera posible la comunicacin y el acceso a la informacin en la nube. Dichos agentes son los operadores de telecomunicaciones y los prestadores de servicios de acceso a la red. Estos operadores explotan las redes pblicas de comunicaciones gestionando y garantizando el trfico de datos que circulan por su infraestructura o prestan servicios de comunicaciones electrnicas, disponibles al pblico, consistentes en permitir el acceso a las redes pblicas de comunicaciones entre otros servicios. En tal supuesto, los datos de los abonados o usuarios son aquellas personas fsicas o jurdicas que contratan el servicio ya sea directamente al operador que hace a la vez de proveedor de servicios de Internet (ISP, por sus siglas en ingls) o a travs de un tercero que alquila los servicios de explotacin al operador de red. Por lo tanto, al considerarse sujetos obligados en base a la siguiente normativa20: Ley 25/2007, de 18 de octubre, de conservacin de datos relativos a las comunicaciones electrnicas y a las redes pblicas de comunicaciones. Ley 32/2003, de 3 de noviembre, General de Telecomunicaciones. Se establece una serie de requisitos, en relacin a la proteccin de datos, que se deben cumplir21: Identificar al personal autorizado para acceder a los datos que son objeto de esta Ley. Adoptar medidas de seguridad con sujecin a lo dispuesto en el Ttulo VIII del RLOPD. En base a la normativa aplicable se establece que el operador de telecomunicaciones que no preste servicios de acceso a la red directamente al abonado podra considerarse prestador de servicios sin acceso
20 21
Esta legislacin se analiza en detalle en el Captulo 5. Ver Art. 8 de la Ley 25/2007 Proteccin y seguridad de los datos y Art. 34 de la Ley 32/2003 Proteccin de datos de carcter personal.
28
a datos personales de los ficheros de los abonados o usuarios (que actan en calidad de responsables de tratamiento)22 al tener prohibido en base al artculo 3.3 de la ley 25/2007 la conservacin de ningn dato que revele el contenido de las comunicaciones a excepcin de los supuestos de interceptacin de las comunicaciones autorizadas en base a lo contemplado en leyes especiales. Por lo tanto, deber cumplir con el artculo 83 del RLOPD. El ISP podra equipararse a la figura del operador de telecomunicaciones, en el supuesto que se limite a prestar servicio de acceso a la red y, por tanto, se considere que presta un servicio sin acceso a datos personales de los ficheros de los abonados o usuarios debido a la prohibicin de conservar ningn dato que revele el contenido de las comunicaciones segn el artculo 3.3 de la ley 25/2007 a excepcin de los supuestos de interceptacin de las comunicaciones autorizadas en base a lo contemplado las leyes especiales. Por lo tanto, al igual que el operador de telecomunicaciones, tambin deber cumplir con el artculo 83 del RLOPD. En el supuesto de que el ISP preste servicios complementarios de housing o hosting de correo electrnico o disco duro virtual, por ejemplo, debera considerarse encargado de tratamiento de los datos contenidos en los ficheros de los abonados y por tanto cumplir con los requisitos del artculo 12 LOPD y artculos 20 a 22 del RLOPD.
4.4.3 Recomendaciones
Abordando el tratamiento de datos desde un punto de vista de ciclo de vida y teniendo en cuenta las obligaciones y el cumplimiento legal, se pueden enumerar una serie de recomendaciones bsicas para cada uno de los perfiles posibles: Empresa proveedora de servicios en la nube, empresa contratante de las mismas y usuarios23. El concepto de tratamiento de datos engloba las fases de creacin, almacenamiento, uso, comparticin o comunicacin, archivo y cancelacin de la informacin. En concreto, y con el fin de no solaparse con otros estudios, en esta fase se va a centrar en el almacenamiento, uso y archivo de la informacin. Tres conceptos bsicos se deben tener en cuenta en relacin al tratamiento de los datos, sea cual sea el mbito de aplicacin o actuacin: Recurso: Informacin sobre la que se desea actuar. Accin: Tipo de actuacin que se quiere realizar sobre un recurso. Actor: Usuario que desea realizar una accin determinada sobre un recurso en concreto. La combinacin de estos tres conceptos y cmo se gestionan, establecer el mbito de actuacin en relacin al tratamiento de los datos.
22
23
Delimitacin de la figura de responsable y encargado en el Operador de telecomunicaciones contemplada en el Dictamen 1/2010 del Grupo del Artculo 29 sobre los conceptos de responsable del tratamiento y encargado del tratamiento (WP 169): http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_es.pdf . Personas afectadas por el tratamiento de sus datos personales.
29
4.4.3.1 Empresa proveedora Las responsabilidades del proveedor se relacionan segn el tipo de servicio que se contrate, ya que el tipo de servicio nos indica el grado de responsabilidad que le afecta. Por eso, el proveedor es responsable de proporcionar los controles de medidas de seguridad que exige la normativa, en base al servicio contratado. El proveedor de computacin en la nube ser considerado encargado de tratamiento de los datos contenidos en los ficheros de los clientes y, por tanto, deber cumplir con los requisitos del artculo 12 LOPD y artculos 20 a 22 del RDLOPD. Los proveedores de computacin en la nube, como usuarios de las redes de comunicacin y con proveedor propio de ISP, debern verificar el cumplimiento legal y legitimacin de estos ltimos agentes que le permiten prestar el servicio a sus clientes finales. Tal verificacin previa de cumplimiento normativo ser necesaria para que los contratos de encargado de tratamiento con los clientes finales puedan reflejar la informacin referente a los subencargados que permitirn la prestacin de servicio. En las clusulas del contrato se deber resaltar la finalidad de dichos subencargos, la identificacin geogrfica de los agentes operadores y ley aplicable, as como una remisin de las medidas de seguridad aplicables y el compromiso de responsabilidad de cualquier incumplimiento normativo. Cualquier incumplimiento de las estipulaciones del contrato ser asumido directamente por la empresa proveedora como responsable directo ante el propio cliente (responsable de fichero o tratamiento) y ante las autoridades competentes de proteccin de datos. De manera general, la principal consideracin sera que el papel del proveedor debe ser el de proporcionar las herramientas necesarias y suficientes al propietario o responsable de la informacin en funcin del tipo de nube (IaaS, PaaS, SaaS), siguiendo las pautas establecidas por la legislacin actual y las normativas o procedimientos que la organizacin propietaria de la informacin tenga desplegadas. En consecuencia con lo comentado, desde el punto de vista de ciclo de vida del tratamiento de la informacin hay que considerar: Almacenamiento o Control de acceso a la informacin. o Gestin de la documentacin (meta-informacin que lleva asociada la documentacin o informacin). En este punto, es importante remarcar que el tipo de clasificacin que se defina en combinacin con las capacidades de actuacin que un usuario pueda poseer, proporciona un marco de control de acceso y gestin de la documentacin muy avanzada, granular y programable a cualquier escenario, que es uno de los objetivos principales de cualquier tipo de nube. o Cifrado de la informacin. o Trazabilidad y auditora. Uso o Trazabilidad y auditoria. o Lgica de aplicacin. o Control de accin sobre la informacin. Archivo o Cifrado de la informacin en medios de almacenamiento de medio-largo plazo. o Gestin de activos y trazabilidad.
30
4.4.3.2 Empresa cliente Todo cliente, responsable del tratamiento de datos personal, que contrata la prestacin de un servicio en la nube, debe velar que el encargado del tratamiento rena e implante las garantas para el cumplimiento de las obligaciones en virtud de la normativa en materia de proteccin de datos. El propietario de la informacin debe analizar los riesgos sobre el ciclo de vida de la informacin y los activos que lo contienen y gestionan. Por ello, la normativa de proteccin de datos y las diversas normativas de seguridad de la informacin establecen la necesidad de llevar a cabo una auditora interna o externa. Para garantizar la trazabilidad y auditora se recomienda establecer en el contrato una clausula contractual del derecho a auditar, de manera que el proveedor de la nube acepte ser auditado. Sobre todo en este caso, en que el propietario de la informacin tiene responsabilidades de cumplimiento normativo24. Tambin es recomendable desarrollar un proceso para recopilar evidencias del cumplimiento normativo, incluyendo los registros de auditora e informes de la actividad, gestin y procedimientos25. Tambin podra darse el caso de generar contratos de adhesin donde el nivel de seguridad aplicable a la prestacin del servicio en la nube deber ser indicado por parte del responsable del fichero y este ltimo aceptar en bloque las medidas adoptadas por su prestador de servicios de computacin en la nube. En conclusin, se debe prestar atencin a la eleccin de un proveedor de la nube, verificando que proporciona suficientes medidas de seguridad tcnicas y medidas organizativas que rigen el tratamiento a realizar, y garantizar el cumplimiento de dichas medidas. De manera general, podramos decir que el cliente, con el fin de cumplir las obligaciones del responsable de tratamiento har uso de las herramientas y tcnicas que el proveedor le ofrezca. En consecuencia con lo comentado, desde el punto de vista de ciclo de vida del tratamiento de la informacin deberamos considerar: Almacenamiento o Control de acceso a la informacin. o Gestin de la documentacin. o Cifrado de la informacin. o Trazabilidad y auditora. En este punto sera interesante que el proveedor ofreciese la posibilidad de programar diferentes tipos de alertas que avisen al contratante de situaciones de riesgo o prdida de informacin. Uso o Trazabilidad y auditoria. o Lgica de aplicacin. o Control de accin sobre la informacin. Archivo o Cifrado de la informacin en medios de almacenamiento de medio-largo plazo. o Gestin de activos y trazabilidad.
Este aspecto se trata con mayor generalidad en el apartado 7.10 Auditabilidad. Para un anlisis ms detallado de este aspecto se puede consultar el Captulo 8.
24 25
31
4.4.3.3 Usuarios En el caso de los usuarios, debemos asegurar que puedan ejercer sus derechos, al igual que se debe asegurar el cumplimiento de sus derechos fuera de la nube: Almacenamiento o Control de acceso a la informacin. o Trazabilidad. Uso o Trazabilidad. o Control de accin sobre la informacin.
En el Captulo 6 se analiza en detalle la implantacin de Sistemas de Gestin de Seguridad de la Informacin y la interrelacin entre sistemas de clientes y proveedores de servicios en la nube.
32
ha alcanzado el nivel de control de acceso, se han cumplido todas las restricciones aplicables en el nivel de comunicacin y transmisin de la informacin. El proveedor del servicios en nube (en funcin del tipo de servicio) deber proporcionar las herramientas necesarias y suficientes al propietario o responsable de la informacin, siguiendo las pautas establecidas por la legislacin actual y las normativas o procedimientos que la organizacin propietaria de la informacin tenga desplegadas. Para ello, ser necesario disponer de un buen sistema de clasificacin de la informacin sobre el que apoyarse a la hora de aplicar las medidas de seguridad, incluido las de control de acceso e identificacin27. En este punto, es importante remarcar que el tipo de clasificacin que se defina en combinacin con las capacidades de actuacin que un usuario pueda poseer, proporciona un marco de control de acceso y gestin de la informacin muy avanzada, granular y programable a cualquier escenario, que es uno de los objetivos principales de cualquier tipo de nube. Si nos centramos en la LOPD, el nivel de control de acceso trata el consentimiento explcito por parte del afectado (LOPD), es decir, a quin se le permite el acceso y para qu. Estos controles se reflejan en un conjunto de polticas de autorizacin/acceso que sern definidas y gestionadas por parte del proveedor y/o por el propietario de la informacin. 4.5.1.4 Gestin de incidencias De acuerdo con lo estipulado en los Artculos 90 y 100 (nivel bajo y medio) del RLOPD, el proveedor de servicios en la nube deber disponer de un procedimiento de notificacin, gestin y respuesta de las incidencias, entendiendo por incidencia cualquier anomala que afecte o pueda afectar a la seguridad de los datos. Ante cualquier anomala que afecte a los datos carcter personal el proveedor de servicios en la nube deber notificarla inmediatamente al cliente que ha delegado la gestin de los datos en el proveedor. 4.5.1.5 Copias de seguridad y recuperacin Para todo proveedor de servicios de en la nube la disponibilidad de los servicios es vital para su negocio, dada la multiterritorialidad de sus clientes. En este escenario, es fundamental disponer de un sistema de copias de seguridad, as como de un plan de recuperacin de la informacin almacenada. Desde un punto de vista LOPD, es importante tener en mente que el propietario o responsable de la informacin es el encargado de decidir cmo debe ser almacenada la documentacin. El proveedor del servicio en la nube nicamente deber proporcionar las herramientas necesarias para que se pueda gestionar cmo se va a almacenar la documentacin. 4.5.1.6 Auditorias El auditor es la figura garante del cumplimiento de unas buenas prcticas y de la existencia de un nivel de control suficiente por parte del proveedor del servicio de computacin en la nube, as como de posibles
27
La clasificacin de la informacin se trata en detalle en el captulo 6 relativo a los Sistemas de Gestin de Seguridad de la Informacin.
33
terceros a los que se hayan cedido los datos para su tratamiento. Para ello, el auditor, en el caso de que el proveedor de servicios en la nube acepte ser auditado, deber ser un tercero independiente. Uno de los retos fundamentales del auditor ser la obtencin de evidencias de la realizacin de las tareas de control interno, as como la ubicacin fsica de los datos. Por ello, el trabajo del auditor, dada la dispersin intrnseca a la arquitectura de la computacin en la nube tendr que adoptar un enfoque multi-territorial. La cuestin fundamental en este caso es cmo el propietario de la informacin (y el responsable de seguridad) tiene acceso y control de la trazabilidad y auditora de su informacin y de los accesos que se han realizado sobre ella. Este aspecto es vital para el cumplimiento del marco legal en relacin a la proteccin de datos personales y en relacin a determinadas normativas de seguridad de la informacin. Es importante sealar que el proveedor de servicios en la nube deber proporcionar las herramientas necesarias para que el propietario pueda ejercer sus obligaciones, ofreciendo un marco de gestin de la trazabilidad y auditora de los accesos permitidos y los accesos no permitidos, as como un registro de las incidencias ocurridas relativas a los datos de carcter personal. Asimismo cabe destacar la diferencia de planteamiento cuando la informacin est localizada en un nico punto o bien est distribuida por un nmero determinado de nubes. Este aspecto es transparente para el propietario o responsable de la informacin, pero no para el proveedor de servicios en la nube, ya que deber desplegar un sistema de gestin y correlacin de eventos de seguridad (SIEM) o similar en entorno colaborativo segn sea el caso. 4.5.1.7 Telecomunicaciones El proveedor de servicios en la nube deber proporcionar los mecanismos adecuados para proteger la confidencialidad y privacidad de la informacin que circule a travs de sus sistemas e infraestructuras de comunicaciones. Para ellos, deber aplicar medidas criptogrficas o de cifrado que protejan la informacin de accesos no autorizados (por ejemplo, SSL-TLS, IPSec, Kerberos, etc.)
Modelo de Cloud Infrastructure as a Service (IaaS) El cliente es el responsable de la mayor parte de los controles de seguridad, incluyendo control de acceso de las aplicaciones, gestin de identidades de usuarios, etc.
34
Platform as a Service (PaaS) El cliente gestiona y controla las aplicaciones de software y, por lo tanto, es responsable de los controles de aplicacin. Software as a Service (SaaS) El cliente es un mero usuario o receptor del servicio que delega toda la responsabilidad en el proveedor de servicios en la nube. El cliente centrar sus esfuerzos en la supervisin de los Acuerdos de Nivel de Servicio (ANS) y de las medidas de seguridad. Depender de la informacin proporcionada por el proveedor.
Modelo de Organizacin Las personas jurdicas actan como intermediarios entre las personas fsicas (clientes, empleados, proveedores, etc.) y el proveedor de servicios en la nube. Son los custodios de los datos obtenidos de sus propios clientes. Grandes Corporaciones Multinacionales: Se trata de entornos muy complejos con gran cantidad de datos procedentes de distintos pases con diferentes requisitos. Disponen de una estructura de control interna que deber adaptarse a las circunstancias de la computacin en la nube. Su herramienta bsica de gestin ser un Acuerdo de Nivel de Servicio (ANS) que permita regular la relacin. La principal dificultad estar en detectar incumplimientos y hacer que se respete el ANS28. Pequea y Mediana Empresa: Suele tratarse de organizaciones que carecen de un marco de control interno o es muy limitado, por lo que debern confiar en la debida diligencia del proveedor en la prestacin del servicio y el cumplimiento de la legislacin vigente. Sus decisiones de abogar por la computacin en la nube depender de cuestiones econmicas y de la confianza que generen las soluciones basadas en la misma. En este grupo estaran incluidos microempresas, autnomos y profesionales liberales. En este caso, aplicarn los mismos requisitos que al proveedor de servicios en la nube. Sin embargo, en este caso el Documento de Seguridad deber tener en cuenta que la gestin de muchos de los procedimientos de gestin de la informacin corresponder al proveedor. 4.5.2.1 Responsable de seguridad El responsable de seguridad es la figura encargada de definir las medidas de seguridad a implantar para asegurar la privacidad y confidencialidad de los datos, de acuerdo con los requisitos de cada pas. El responsable de seguridad tiene la difcil misin de armonizar los diferentes requisitos de tal modo que den como resultado un marco de control coherente. El responsable de seguridad debe realizar una labor de coordinacin con el proveedor de servicios en la nube e internamente, dentro de su organizacin. Cabe destacar, la necesidad de colaboracin entre los responsables de seguridad del proveedor de servicios en la nube y del cliente. Asimismo, deber supervisar la implantacin de las medidas de seguridad definidas y monitorizar de forma peridica su cumplimiento y la adecuada resolucin de las anomalas que se detecten. La preocupacin del responsable de seguridad ahora es la informacin (los datos), no el contenedor o la infraestructura.
28
Para un anlisis ms detallado de los Acuerdos de Nivel de Servicio, consultar el apartado 7.12
35
Son especialmente sensibles las trasferencias de datos entre pases, donde los datos de un pas A viajan a un pas B con requisitos distintos en materia de privacidad (como veremos en el siguiente apartado). 4.5.2.2 Control de acceso e identificacin La empresa que contrata servicios en la nube deber definir las medidas de control de acceso a la informacin de carcter personal de sus empleados, clientes o proveedores en base a su clasificacin y nivel de seguridad (alto, medio o bajo). Asimismo, deber asegurar la posibilidad de acceso de las personas a sus datos personales para su consulta, modificacin o eliminacin. 4.5.2.3 Gestin de incidencias El responsable de seguridad del cliente deber conocer y validar el procedimiento de notificacin, gestin y resolucin de incidencias del proveedor de servicios en la nube. Asimismo, deber supervisar la adecuada resolucin de las incidencias detectadas. 4.5.2.4 Copias de seguridad y recuperacin El cliente deber conocer y validar el procedimiento de realizacin y recuperacin de copias de seguridad de su proveedor de servicios en la nube. Asimismo, se deber acordar un plan de copias adecuado con el propietario de los datos y con el proveedor. El responsable de seguridad del cliente deber supervisar la adecuada ejecucin de dichos procedimientos de copia y recuperacin de los datos. 4.5.2.5 Auditorias Tal y como se especifica en el RLOPD, el responsable de seguridad ser responsable de que se lleve a cabo una auditoria bienal (excepto en el caso de ficheros de nivel bajo) con objeto de validar el cumplimiento de los requerimientos de dicho reglamento. En caso de que se produzcan cambios significativos sobre los sistemas de informacin o instalaciones, se realizar una auditora de carcter extraordinario, a partir de la cual se reiniciar el cmputo de los dos aos hasta la siguiente auditora. Para aquellos datos cuya gestin se delega en el proveedor de servicios en la nube, se deber obtener la conformidad correspondiente, bien a travs de una auditora directa por parte del cliente o bien que el proveedor proporcione una auditora tipo SAS 70 o ISAE 3402 que incluya en su alcance la validacin del cumplimiento de los requisitos exigidos por la LOPD.
36
Por tanto, se contemplan los movimientos transfronterizos de datos que no sean considerados cesin o comunicacin de datos. Esta situacin se da en dos casos: El movimiento de datos transfronterizo lo realiza el responsable del tratamiento sin comunicar los datos a terceros. El movimiento de datos transfronterizo implica el acceso de un tercero a los datos, pero dicho acceso es necesario para la prestacin de un servicio al responsable del tratamiento29. Dicho tercero actuara como encargado del tratamiento. En ambos casos, al no tratarse de una comunicacin de datos desde el punto de vista de la legislacin sobre proteccin de datos, no es preciso el permiso del interesado aunque s aplica la regulacin referente a las transferencias internacionales de datos.
37
o Movimientos con participacin de un encargado del tratamiento: Deber cumplir los requisitos para la prestacin de este tipo de servicios (artculo 12 LOPD y artculos 20 a 22 del RLOPD). o Movimientos dentro de un grupo multinacional. Se puede hacer de dos maneras: Cumplir los requisitos para los encargados del tratamiento (artculo 12 LOPD y artculos 20 a 22 del RLOPD) Establecer unas Binding Corporate Rules (BCR)31 que regulen los movimientos de datos. Pas sin un nivel adecuado de proteccin de datos En este caso, el movimiento transfronterizo de datos tiene los mismos requisitos de legitimidad que el anterior y en todos los casos ser necesario recabar la autorizacin de la autoridad competente, el Director de la Agencia Espaola de Proteccin de Datos, en el caso espaol (art. 70 del RLOPD). Asimismo, se deber incluir la informacin sobre la transferencia en la notificacin al Registro General de Proteccin de Datos. Para que el Director conceda el permiso, deber existir un contrato escrito entre el exportador y el importador en el que consten las necesarias garantas de respeto a la proteccin de la vida privada de los afectados y a sus derechos y libertades fundamentales y se garantice el ejercicio de sus respectivos derechos. A tal efecto, se considerar que establecen las adecuadas garantas los contratos que se celebren de acuerdo con lo previsto en las Decisiones de la Comisin Europea sobre clusulas contractuales32. Los grupos multinacionales pueden optar por el modelo general basado en contratos caso por caso o adoptar y conseguir la aprobacin por la autoridad competente de unas normas o reglas internas (Binding Corporate Rules) en que consten las necesarias garantas de respeto a la proteccin de la vida privada y el derecho fundamental a la proteccin de datos de los afectados y se garantice el cumplimiento de la regulacin sobre la materia.
Ver documentos wp153 y wp154 del Grupo del artculo 29 en http://ec.europa.eu/justice/policies/privacy/ workinggroup/wpdocs/2011_en.htmo 32 - 2010/87/EC: Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council - 2004/915/EC: Commission Decision of 27 December 2004 amending Decision 2001/497/EC as regards the introduction of an alternative set of standard contractual clauses for the transfer of personal data to third countries - 2001/497/EC: Commission Decision of 15 June 2001 on standard contractual clauses for the transfer of personal data to third countries, under Directive 95/46/EC
31
38
El responsable del fichero se ha de preocupar de conocer la ubicacin territorial de los medios que va a emplear el proveedor de servicios en la nube para prestarle el servicio, en particular ha de conocer si el servicio se va a dar desde pases con un nivel de proteccin adecuado o si, en algn caso, el servicio se puede dar desde pases sin ese nivel. La regulacin desde qu pases se va a poder prestar el servicio ha de estar establecida contractualmente. En funcin del modelo de servicio y del modelo de despliegue la responsabilidad, en particular en lo relativo a la seguridad, se repartir de forma diferente. Al poder estar el encargado del tratamiento fuera del territorio espaol se debern establecer contractualmente las medidas de seguridad a aplicar, dado que no estara sometido al RLOPD. En todos los casos en que haya una transferencia internacional de datos, se debern aplicar los requisitos legales identificados con independencia del modelo de servicio o despliegue. Lo que variar ser la responsabilidad sobre la ejecucin de las actividades y, en consecuencia, el contenido de los contratos o BCR que se establezcan. 4.6.3.1 Aspectos ms relevantes por modelo de servicio Ms all de las medidas de seguridad y cmo se reparten entre el responsable (cliente) y el encargado de tratamiento de datos (proveedor de servicios en la nube), lo cual se recoge en el apartado 4.5 y que depender del modelo de servicios, en el caso de las transferencias internacionales no existen diferencias entre los modelos SPI, ya que la infraestructura subyacente puede cambiar de ubicacin fsica sin control del responsable del tratamiento, haciendo necesario que este aspecto deba regularse especficamente para evitar generar transferencias internacionales de datos no controladas. 4.6.3.2 Aspectos ms relevantes por modelo de despliegue El modelo de despliegue tiene implicaciones en relacin a quin realiza de forma efectiva el tratamiento y el control geogrfico del mismo. Nube privada Si la nube privada es propiedad del responsable del tratamiento, se deben considerar dos aspectos: Ubicacin geogrfica: Si la nube no sale del EEE no tiene ningn requisito especfico, pero si incluye pases con un nivel de proteccin adecuada no pertenecientes al EEE, se han de considerar los requisitos de notificacin. Si incluye terceros pases, se ha de considerar la necesidad de obtener la autorizacin de la autoridad competente. Regulacin de la nube: Si es un grupo multinacional, se deber considerar el uso de BCR o de contratos casos por caso. Si la nube privada es operada por uno o varios encargados del tratamiento se ha de considerar: o Ubicacin geogrfica: dem que el caso anterior. o Regulacin de cloud: Se ha establecer un contrato conforme a la regulacin legal estudiada previamente. Nube Pblica En este caso, los requisitos son los mismos que en el caso de una nube privada operada por uno o varios encargados de tratamiento. No obstante, se ha de prestar especial atencin a:
39
Ubicacin geogrfica: Asegurar contractualmente que se conoce el espacio geogrfico en que se tratan los datos para asegurar el cumplimiento de los requisitos correspondientes. En particular, si se producen transferencias de datos a pases terceros se deber asegurar la conformidad del contenido del contrato. Regulacin: Se ha establecer un contrato conforme a la regulacin legal estudiada previamente. Nube Hbrida Ha de contemplar los requisitos de los dos casos anteriores.
4.6.4 Recomendaciones
4.6.4.1 Empresa proveedora La transferencia internacional de datos de carcter personal puede ser uno de los mayores inhibidores para la contratacin de servicios en la nube, por ello, los proveedores de este tipo de servicio deberan establecer medidas que atenen est problemtica y faciliten la contratacin de los servicios por parte de los clientes. Entre las medidas recomendables estn: Ofrecer servicios en los que se pueda delimitar en qu pases pueden estar los datos. Por ejemplo, si se garantiza que los datos no van a salir del EEE, se facilita enormemente la contratacin a las empresas europeas. Tener preparado modelos contractuales que cubran la casustica y requisitos de las transferencias internaciones de datos. En el caso de los datos de carcter personal, el uso de los modelos propuestos por la Comisin Europea facilita su adopcin. El tener datos en terceros pases dificulta el control por el responsable del fichero, por lo que es conveniente que el proveedor disponga de mecanismos para reforzar la confianza de ste con medios como auditorias de terceros. 4.6.4.2 Empresa cliente Como en toda relacin con terceros, la empresa ha de evaluar primero qu datos va a poner en la nube y con qu propsito. Respecto a los datos, ha de considerar si incluyen datos de carcter personal, en cuyo caso le aplica la regulacin descrita en este apartado, y si el tener datos en otro pas le puede plantear problemas con la jurisdiccin que aplica en dicho pas. Una vez conocido qu se quiere hacer y los requisitos regulatorios, se ha de buscar un proveedor que pueda satisfacerlos para lo cual hay diversas alternativas: El proveedor garantiza que los datos no salen de la EEE: En este caso la regulacin es la misma que en el caso nacional. Esta garanta deber estar recogida en el contrato. El proveedor garantiza que los datos no salen de pases con un nivel de proteccin adecuada: Se deber conocer qu pases incluye para la declaracin de ficheros, pero por lo dems, la regulacin es igual que en caso nacional.
40
Los datos van a pases sin un nivel de proteccin adecuado: En este caso, el contrato que se establezca ha de cumplir los requisitos que demanda la legislacin. A tal efecto, se considerar que establecen las adecuadas garantas, los contratos que se celebren de acuerdo con lo previsto en las Decisiones de la Comisin Europea comentadas anteriormente. Los grupos multinacionales que gestionen su propia nube tienen dos alternativas: Optar por el modelo general basado en contratos caso por caso. Esta alternativa es ms rpida pero se ha de establecer un nuevo contrato ante un nuevo tratamiento y si se incluye un pas sin un nivel de proteccin adecuado, hay que recabar para el nuevo tratamiento la autorizacin del Director de la Agencia Espaola de Proteccin de Datos (AEPD). Adoptar y conseguir la aprobacin por la autoridad competente de unas normas o reglas internas (Binding Corporate Rules) en que consten las necesarias garantas de respeto a la proteccin de la vida privada y el derecho fundamental a la proteccin de datos de los afectados y se garantice el cumplimiento de la regulacin sobre la materia. Esta alternativa es ms lenta pero tiene la ventaja de que una vez aprobado, se pueden realizar nuevos tratamientos dentro de su marco sin tener que recabar de nuevo una autorizacin. 4.6.4.3 Usuarios Las personas afectadas por el tratamiento de sus datos se enfrentan a dos casos: Sus datos son tratados por una empresa espaola que subcontrata parte de sus servicios en la nube: De acuerdo con la LOPD, la empresa no est obligada a pedir permiso de ese tratamiento por terceros siempre que cumpla los requisitos exigidos para el uso de encargados del tratamiento. En este caso, es poco probable que conozca la existencia de la transferencia internacional y frente a l, toda la responsabilidad es del responsable del fichero. La persona contrata directamente unos servicios en la nube como pueda ser correo electrnico, almacenamiento de datos, capacidad computacional (IaaS) o cualquier otro. En este caso, la persona debera tener unas precauciones similares a una empresa usuaria con la diferencia que su capacidad negociadora va a ser muy reducida. Debera considerar: o Qu datos va a transferir a la nube, qu sensibilidad tienen para l. o Conocer las condiciones contractuales del proveedor en aspectos como confidencialidad, seguridad, resolucin de conflictos, ubicacin, etc. En algunos casos las condiciones pueden resultar abusivas. o Conocer las opciones del servicio. Frecuentemente el servicio se puede configurar de forma voluntaria con unos mayores niveles de proteccin y privacidad. o Ser prudente. Dependiendo de la ubicacin geogrfica del proveedor, puede ser difcil hacer cumplir los derechos legales y se puede tener indefensin.
41
42
En este mismo sentido, cabe sealar que corresponder al responsable del fichero o tratamiento la prueba de cumplimiento del deber de respuesta al afectado que ejercita un derecho, por lo que debern arbitrase los mecanismos necesarios para conservar la acreditacin del cumplimiento mencionado. En cualquier caso, es el cliente quien deber, por s mismo o dando las instrucciones precisas al proveedor de servicios en la nube, asegurarse de que el tratamiento de los datos en el servicio prestado permite la localizacin y acceso a los datos personales para dar respuesta al ejercicio de cualquier derecho por parte del afectado y quien tendr que plasmar en el contrato de prestacin de servicios y en el acuerdo del nivel de servicio, el clausulado y las condiciones precisas bajo las cuales el proveedor de servicios en la nube deber posibilitar al responsable el cumplimiento normativo. En este ltimo sentido, el proveedor de servicios en la nube deber facilitar y/o ejecutar las acciones necesarias respecto del acceso a los datos personales de una determinada persona, su rectificacin y/o cancelacin o la marcacin y gestin de la oposicin a determinados tratamientos. Por despliegue IaaS: En este modelo de despliegue, el responsable del fichero no gestiona ni controla la infraestructura de nube subyacente, pero tiene control sobre los sistemas operativos, almacenamiento, aplicaciones desplegadas y la posibilidad de tener un control limitado de componentes de red seleccionados. Por ello, el responsable del fichero o del tratamiento de datos (cliente) no perder la capacidad de disposicin sobre los datos personales incluidos en ficheros de su titularidad y, en consecuencia, lo nico que deber asegurar con el proveedor de servicios en la nube ser poder localizar los datos personales sobre los que se ejercite algn derecho para, en su caso, tomar las acciones necesarias de cara a facilitar el acceso al solicitante, rectificacin de sus datos o la cancelacin de los mismos si as procede. Por despliegue PaaS: En este tipo de despliegue de servicios en la nube, se utilizan las herramientas del proveedor para la programacin de aplicaciones y servicios, por lo que, se tendr que considerar que las plataformas contratadas debern permitir la tutela efectiva de los derechos de los afectados. Por tanto, quiz en este modelo de computacin en la nube s que sea necesario que el proveedor asuma obligaciones en cuanto a facilitar o permitir al responsable las acciones necesarias encaminadas a facilitar los derechos de los afectados. Por despliegue SaaS: En este modelo, el proveedor de servicios en la nube tiene control sobre los datos personales de los que el cliente es responsable. El cliente se limita a externalizar los servicios en el proveedor que ejecutar el servicio en la nube. Por lo tanto, en este modelo, el responsable del fichero o tratamiento (el cliente) deber asegurar contractualmente34 que, en caso de que se ejercite un derecho ante el cliente, el proveedor asuma la obligacin como mediador necesario de comunicarle la informacin de la que dispone en relacin al afectado o solicitante en el plazo de tiempo acordado que permita al cliente (responsable del fichero o tratamiento) el cumplimiento de su obligacin y la contestacin al peticionario, as como, la ejecucin de cuantas acciones sean necesarias para dar un cumplimiento efectivo del derecho solicitado, esto es, facilitar el acceso
34
43
a los datos, su rectificacin, la oposicin al tratamiento con determinados fines o la cancelacin de los mismos si el afectado as lo desea.
4.7.6 Recomendaciones
4.7.6.1 Empresa proveedora Dado que la empresa proveedora de servicios en la nube se constituir como encargada del tratamiento de los ficheros con datos personales que trate para llevar a cabo la prestacin de servicios de su cliente (responsable del fichero), habr de considerar las obligaciones establecidas en la normativa de proteccin de datos en relacin con esta figura. Esto es, se deber regularizar la prestacin de los servicios en la nube a travs de
44
un contrato que recoja los aspectos del Art. 12 de la LOPD relativo al acceso a datos por cuenta de terceros, as como, los relativos a los Arts. 20, 21 y 22 del RLOPD en caso de subcontratacin de servicios. Asimismo, en dicho contrato debern quedar debidamente delimitadas las funciones y responsabilidades de cada figura en lo relativo a la recepcin, gestin y resolucin de un ejercicio de derechos ARCO ante cualquiera de las partes. Quiz por las particularidades de la gestin de la computacin en la nube o prestaciones aadidas a lo que es el objeto contractual, tales como, seguridad y reserva de la privacidad de los datos y colaboracin con el responsable del fichero para la efectiva tutela de los derechos de los afectados, sea conveniente plantearse el establecimiento de tarifas especiales como un aadido a la prestacin de servicios objeto de contratacin. 4.7.6.2 Empresa cliente Dado que la empresa que contrata soluciones de computacin en la nube ser la responsable de los ficheros con datos personales a los que acceder o tratar su proveedor de servicios en la nube (encargado del tratamiento), deber regularizar la prestacin de servicios que suscriba con este proveedor a travs de un contrato de encargo de tratamiento, en el cual, queden debidamente delimitadas las funciones y responsabilidades de cada figura. En este sentido, se recomienda, con carcter adicional a la regularizacin del encargo del tratamiento y los trminos que regularn las posibles subcontrataciones de servicios, delimitar en las clusulas contractuales, en particular, los siguientes aspectos relativos a la gestin de derechos ARCO: A quien corresponder atender las solicitudes de derechos ARCO que se ejerciten por parte de los interesados. Procedimiento o vas y plazos para la comunicacin entre las partes de la recepcin de una solicitud de esta tipologa. Viabilidad de la localizacin y acceso a los datos personales tratados. Obligaciones del proveedor de servicios relativas a facilitar los datos al responsable, rectificarlos y/o cancelarlos de conformidad con las indicaciones del responsable como mediador necesario para el cumplimiento de las obligaciones legales y la consecucin de una tutela efectiva de los derechos de las personales tratados en ficheros de su titularidad. Obligaciones del proveedor en relacin con la finalizacin del servicio, esto es, devolucin y/o destruccin de los datos, as como, de las copias o rplicas de los mismos se hubieran realizado. Adicionalmente, para los casos como el indicado relativo a la cancelacin de imgenes, se habr de considerar por parte del responsable de fichero esta circunstancia, as como cualquier otra particularidad que pueda suponer un obstculo para la satisfaccin de los derechos ejercidos por los posibles afectados. Asimismo, para el supuesto de que se lleve a cabo la recogida de datos adicionales relativos a informacin comercial de los usuarios, as como, un posible uso no legtimo de los mismos, se recomienda incluir en
45
los trminos del contrato la posibilidad de revisar el cumplimiento de las obligaciones relacionadas con la seguridad y privacidad a travs de una auditora del servicio prestado. En caso de que el proveedor de servicios en la nube se oponga a la realizacin de una auditora, por lo menos, intentar que facilite los resultados de una auditora interna o externa en relacin al cumplimiento de estos extremos. En definitiva, ser necesario que adems de regular el acceso a datos personales por parte del proveedor como encargado del tratamiento, establecer en el acuerdo de nivel de servicios (ANSs), las obligaciones o buenas prcticas precisas para poder atender, gestionar y resolver los ejercicios de derechos ARCO de manera eficaz y conforme a derecho.
36
Considerando 62 de la Directiva 95/46/CE: Considerando que la creacin de una autoridad de control que ejerza sus funciones con plena independencia en cada uno de los Estados miembros constituye un elemento esencial de la proteccin de las personas en lo que respecta al tratamiento de datos personales Se recomienda la lectura del apartado legislacin aplicable del presente estudio, ya que resulta necesario y complementario al presente apartado.
46
Responder a consultas, dictaminar, recomendar y dictar instrucciones que faciliten la adecuacin de los tratamientos a lo previsto en la legislacin. Otorgar las autorizaciones que prevea la normativa. Y velar por la publicidad de los tratamientos. En relacin a la computacin en la nube, el anlisis del papel de las autoridades de control tiene inters en relacin a dos cuestiones: a) La determinacin de la jurisdiccin o competencia para vigilar la adecuacin de los tratamientos a la legislacin aplicable, es decir, qu autoridad de control va a intervenir, por ejemplo, en el caso de una denuncia o de una tutela de derechos. b) La ejecucin efectiva de las resoluciones y decisiones adoptadas en relacin a los tratamientos de los que son competentes o tiene jurisdiccin una autoridad de control, es decir, una vez tomada la decisin en relacin a la reclamacin recibida, cmo se va a dar cumplimiento a lo que prevea la resolucin, por ejemplo, el cobro de una multa o la inmovilizacin de un fichero o tratamiento. Tal y como prev el ya mencionado artculo 28 de la Directiva Europea de proteccin de datos personales, las autoridades de control se encargan de vigilar en su territorio las disposiciones nacionales adoptadas por sus respectivos estados en aplicacin de la Directiva. Aparece aqu un primer elemento de compleja resolucin en un ambiente de computacin en la nube al determinar que el mbito de actuacin de las autoridades de control viene definido por un criterio territorial, todo y que, ciertamente la Directiva ya prev una cierta extraterritorialidad, en el sentido de que se d la circunstancia de que sea necesario que una autoridad de control aplique ms de una legislacin nacional para, por ejemplo, resolver una reclamacin37. Uno de los aspectos esenciales de la computacin en la nube es, precisamente, el uso dinmico de los recursos de tratamiento, ya sean de almacenamiento, de procesamiento, de comunicaciones, etc., de manera que en funcin de las necesidades del usuario el proveedor de los servicios en la nube administrar los recursos disponibles all donde estn disponibles, superando las tradicionales barreras de espacio y tiempo, y en consecuencia donde el criterio de territorialidad no es relevante, dado que usualmente no estar predeterminado el lugar de procesamiento, aunque si que deber ser determinable en algn momento. La cuestin de cual es el mbito competencial de las autoridades de control va unida, en general, a la determinacin de la legislacin aplicable (con la excepcin ya descrita anteriormente), aspecto ya tratado en el apartado 4.3 de este informe, lo que va a incluir tambin las cuestiones relacionadas con las autorizaciones previstas en la normativa, especialmente las de transferencias internacionales, tratadas en el apartado 4.6 de este informe.
37
El Dictamen 8/2010 sobre Ley Aplicable del Grupo de Trabajo del Artculo 29 introduce la cuestin de que no siempre tienen porque coincidir la legislacin aplicable con la competencia de los rganos de supervisin (autoridades de control).
47
Otra cuestin bien diferente tiene que ver con el hecho de cmo se van a resolver, una vez determinada la competencia de una concreta autoridad de control, en un caso especfico, las siguientes cuestiones: a) En primer lugar, qu mecanismos operativos va a seguir la autoridad de control para investigar y obtener datos e informaciones que le permitan determinar si se est produciendo una vulneracin del derecho a la proteccin de datos de carcter personal, lo que la Directiva identifica como poderes de investigacin. b) Y en segundo lugar, y una vez tomada una decisin por parte de esa autoridad de control, cmo va a ser ejecutada o atendida esa resolucin, que tal vez vaya dirigida a un prestador de servicios que tiene su establecimiento y/o medios de procesamiento en otro pas, ya sea de fuera o de dentro de la Unin Europea, lo que la Directiva identifica como poderes efectivos de intervencin38. Las dos situaciones revelan dificultades para dar adecuada respuesta a la lesin al derecho fundamental a la proteccin de datos de carcter personal, por tanto de inters para las personas afectadas, pero tambin son relevantes para los responsables y encargados de tratamientos en la nube, que puedan llegar a tener que someterse a ms de una autoridad de control, o a autoridades de control de otros estados, segn los criterios de legislacin aplicable que vayan a ser tenidos en cuenta. La Directiva prev que las autoridades de control atiendan las solicitudes que le lleguen de cualquier persona, sin tener en cuenta cuestiones como la nacionalidad o la ciudadana, y asimismo las autoridades de control pueden ser instadas a ejercer sus poderes por una autoridad de control de otro Estado miembro. En este punto, la cooperacin y coordinacin de las diferentes autoridades de control involucradas es clave, de manera que el rol y los lmites de actuacin de cada una de ellas sean claros, en este sentido el ya mencionado dictamen 8/2010 del Grupo del Artculo 29, pone de relieve la dificultad de la cuestin y la pospone para un estudio ms profundo, en un documento especfico en el que tratar esa cooperacin y coordinacin entre autoridades de control cuando concurre ms de una, en un mismo asunto. Destacar, por ltimo, que el hecho de que, segn la Directiva, deban proveerse mecanismos de revisin judicial de las resoluciones de las autoridades de control, hace muy relevante quien sea la autoridad de control competente, ya que eso determinar los tribunales a los cuales recurrir sus decisiones.
38
El artculo 28.3 de la Directiva describe los poderes de que debe disponer una autoridad de control creada conforme a la Directiva.
48
Efectivamente, aquella autoridad a la cual se dirija la persona afectada en caso de que considere su derecho lesionado, o en general, para solicitar la intervencin de una autoridad de control que proteja su derecho a la proteccin de datos, va a ser la competente para resolver, al menos en un primer momento, ya que va a tener posibilidad de actuar con independencia de la legislacin aplicable.
39
49
4.8.4 Recomendaciones
Las recomendaciones incluidas en este apartado se centran en situaciones de servicios en la nube donde se d la pluri-territorialidad, a la vez que existe un tercero que trata datos por cuenta ajena (encargado de tratamiento40), ya que en el caso de que el proveedor de servicios en la nube y la empresa cliente estn establecidas en el mismo territorio, el hecho de que se utilicen servicios basados en el paradigma de computacin en la nube no aporta ningn diferencial, en relacin a la aplicacin de la legislacin en materia de proteccin de datos de carcter personal respecto de situaciones donde no se utilicen. Ya se ha hecho referencia al uso de criterios territoriales para la determinacin de la legislacin aplicable, y por tanto para la concrecin de la autoridad de control competente, pero debe tenerse en cuenta que la futura revisin de la Directiva Europea de proteccin de datos con toda seguridad tendr en cuenta paradigmas como el de computacin en la nube, haciendo hincapi en la cuestin de las normas aplicables y de la competencia de las autoridades de control, ya que el criterio territorial en relacin a los medios utilizados para la prestacin de los servicios no es suficiente para dar respuesta a todas las casusticas, y por tanto van a tener que entrar en juego otros criterios para determinar la competencia de las autoridades de control, como por ejemplo, el de la audiencia a la que van dirigidos los servicios, de manera que podr darse el caso de que sin existir ningn vinculo territorial, al menos en cuanto al procesamiento principal, una autoridad de control vaya a poder ser competente para resolver. Las recomendaciones incluidas a continuacin se basan en la regulacin vigente en el estado espaol en el momento de la publicacin de este informe. 4.8.4.1 Empresa proveedora Deber tener en cuenta que, en todo caso, deber cumplir con lo previsto en el ttulo VIII del RLOPD, es decir, por el mero hecho de ser un encargado de tratamiento ubicado en Espaa, aunque los datos tratados sean de un responsable no establecido en territorio espaol, le sern de aplicacin las medidas de seguridad prevista en el reglamento que desarrolla la LOPD (segundo prrafo del artculo 3.1.a del RLOPD), por tanto, la autoridad de control que sea competente en aplicacin de los criterios de reparto competencial previstos a la LOPD y normativas autonmicas, se podr dirigir a la empresa proveedora, en el ejercicio de los poderes y funciones que les atribuye el ordenamiento jurdico, y esta deber darle respuesta en relacin a la seguridad de los datos, con independencia de la legislacin aplicable con carcter general a los datos tratados. Obviamente, si adems, la legislacin aplicable al tratamiento es la espaola, tambin estarn sujetos al resto de obligaciones que puedan derivarse, y por tanto deber atender los requerimientos de informacin u otras intervenciones ordenadas por la autoridad de control del estado espaol que sea competente. Tambin deber tener en cuenta que, en aplicacin de la Directiva, pueden recibir solicitudes de informacin y requerimientos de autoridades de control de otros Estados miembros, o recibirlos de las autoridades del estado espaol a solicitud, y con destino, a autoridades de control de los Estados miembros. 4.8.4.2 Empresa cliente Deber comunicar al encargado de tratamiento (empresa proveedora de servicios en la nube) qu legislacin de proteccin de datos es aplicable a los tratamientos que realizar por cuenta suya, y a ser posible comunicar tambin que autoridades de control son competentes para vigilar el cumplimiento de la normativa aplicable a los tratamientos objeto de encargo.
40
Remitimos al lector a la parte de este estudio que aborda en detalle la cuestin de los encargados de tratamiento, apartado 4.4.
50
Deber tener conocimiento de qu obligaciones tiene la empresa proveedora en relacin a la legislacin de proteccin de datos aplicable en el territorio, o territorios, donde se procese, o se tenga previsto procesar, la informacin que, en razn del encargo de tratamiento que le ha contratado, ha sido comunicada a la empresa proveedora de servicios en la nube. Deber comunicar a los usuarios, al menos de manera colectiva, mediante polticas de privacidad globales u otros mecanismos equivalentes, cual es la autoridad de control a la que deben dirigirse, en caso de que consideren vulnerado su derecho a la proteccin de datos de carcter personal en el contexto de los tratamientos de los que es responsable. 4.8.4.3 Usuarios Aunque, en principio, se ha excluido de este estudio el caso en el que los usuarios finales contratan directamente con los proveedores de servicios en la nube, conviene poner de relevancia la conveniencia de que los usuarios finales, y por tanto personas afectadas por el tratamiento de sus datos personales, antes de contratar, se informen de cual es la autoridad, o autoridades, de control competentes para resolver posibles incidentes con su derecho a la proteccin de datos de carcter personal, de manera que puedan valorar si sus reclamaciones, especialmente, podrn ser convenientemente investigadas y las resoluciones de la autoridad de control podrn ser eficazmente ejecutadas.
Principalmente, nos centraremos en aquellas situaciones en las que el proveedor de servicios en la nube no se encuentra en Espaa y se solicita el acceso a los datos por parte de polica u organismos anlogos a los sealados en los puntos anteriores en el pas donde resida dicho proveedor.
51
Si el proveedor opera en uno de los 27 estados miembros de la Unin Europea y los tres pases miembros del espacio EEE, las condiciones de comunicacin de datos a otras autoridades estn reguladas en el artculo 13 de la Directiva 95/46/CE Excepciones y Limitaciones [Directiva, 1995] en el que se establece que los Estados miembros podrn limitar la aplicacin de determinadas disposiciones de la Directiva en materia de seguridad nacional y pblica o el enjuiciamiento y la prevencin del crimen. As, en funcin de la legislacin local en un Estado miembro, en determinadas circunstancias algunos datos que manejen los proveedores pueden no estar sujetos a todas las normas establecidas en la Directiva. Los ejemplos para aplicar tal limitacin se aplican cuando constituya una medida necesaria para la salvaguardia de la seguridad del Estado, la defensa, la seguridad pblica, la prevencin, la investigacin, la deteccin y la represin de infracciones penales o de las infracciones de la deontologa en las profesiones reglamentadas, un inters econmico y financiero importante de un Estado miembro o de la Unin Europea, incluidos los asuntos monetarios, presupuestarios y fiscales, etc. Dependiendo del Estado miembro concreto donde operase el proveedor de servicios en la nube, aplicara la legislacin que el Estado miembro haya aprobado al transponer la Directiva. Si el proveedor de servicios en la nube opera en un pas distinto a los referidos anteriormente, habr que considerar la normativa aplicable en dicho pas a tal efecto. En el presente estudio no se hace referencia a otra legislacin que no sean las referidas Directiva 95/46/CE, LOPD y RLOPD.
52
4.9.4 Recomendaciones
Es importante destacar que si no se informa adecuadamente en el contrato, un proveedor de servicios en la nube puede conocer muy poco acerca de la informacin que el cliente est confiando en l. Esta situacin puede provocar que, ante un requerimiento de informacin personal por parte de autoridades competentes, el proveedor no sea consciente de la informacin que gestiona y puede que no sea capaz de generar el aviso adecuado al cliente para que ste sea consciente de la situacin. Como se ha indicado en otras situaciones en este estudio (transferencia de datos, por ejemplo) es muy importante reflejar en el contrato que se van a confiar datos personales del cliente al proveedor de servicios en la nube. 4.9.4.1 Empresa proveedora Como se ha indicado en los puntos anteriores, la ubicacin geogrfica del responsable del tratamiento es clave a la hora de saber qu autoridad puede solicitar informacin de carcter personal. Por lo tanto, las medidas recomendables para los proveedores de servicios son: Plasmar de forma clara en los contratos41 en qu pases pueden estar los datos. Incluir en los contratos referencias a la normativa aplicable en los casos en que el proveedor se encuentre ubicado en Espaa (LOPD y RLOPD), en pases miembros del espacio EEE (Directiva Europea 95/46/CE o normativa local transpuesta) o en terceros pases. 4.9.4.2 Empresa cliente Como en toda relacin con terceros, la empresa ha de evaluar primero qu datos va a llevar a la nube y con qu propsito. Respecto a los datos, ha de considerar si incluyen datos de carcter personal, en cuyo caso aplica la regulacin descrita en este apartado, y si el tener datos en otro pas le puede plantear problemas con la jurisdiccin que aplica en dicho pas. Una vez conocido qu se quiere hacer y los requisitos regulatorios se ha de buscar un proveedor que pueda satisfacerlos para lo cual hay diversas alternativas: El proveedor garantiza que los datos se encuentran en Espaa o en pases miembros de la EEE: La regulacin es la misma que en el caso nacional. Esta garanta deber estar recogida en el contrato. Los datos van a estar en terceros pases: El contrato que se establezca ha de cumplir los requisitos que demanda la legislacin. 4.9.4.3 Usuarios En caso de que los datos personales del usuario sean reclamados por una autoridad competente al proveedor de servicios en la nube, se debera pedir a ste que informase al usuario de que sus datos han sido requeridos e informados a la correspondiente autoridad. Ya que esta situacin se puede producir independientemente del pas en que opere el proveedor, y ste ha de cumplir el requerimiento de la autoridad correspondiente, el usuario debera considerar:
41
53
Conocer, a travs del contrato, la ubicacin geogrfica del proveedor. Esta informacin le ayudar a saber de antemano qu autoridades pueden reclamar los datos gestionados en la nube. Qu datos va a transferir a la nube, qu sensibilidad tienen para l.
4.10 Conclusiones
En este captulo, se analizan los principales aspectos relativos al cumplimiento con lo establecido en la Directiva 95/46/CE, LOPD y RLOPD y que conciernen a empresas proveedoras de soluciones de computacin en la nube, a empresas que contratan dichas soluciones y en algunas situaciones, a los usuarios o personas afectadas por el tratamiento de sus datos personales. Se ha analizado la legislacin aplicable, donde hemos comprobado que para su identificacin, se deber tener en cuenta principalmente dnde est establecido el responsable de seguridad; Los responsables del tratamiento que estn establecidos en un estado miembro del EEE tendrn en cuenta su ubicacin, las actividades que desempean y dnde realizan el tratamiento de los datos para cumplir con las obligaciones previstas por el Derecho nacional aplicable. En caso de que responsable y encargado no estn ubicados en el mismo estado, el encargado del tratamiento deber cumplir las normativas de la Ley del Estado donde est establecido el responsable y las medidas de seguridad del Estado donde est dicho encargado, prevaleciendo estas ltimas en caso de conflicto. En un segundo caso en el que el responsable no est establecido en el EEE, pero su proveedor utilice para el tratamiento de datos personales medios o equipos situados en el mismo, exportar automticamente la aplicabilidad de los requisitos de la legislacin de proteccin de datos del pas del que se trate y deber designar (salvo que el medio usado slo sea de trnsito) un responsable representante miembro de la EEE. En lo relativo a las transferencias internacionales, se destaca la existencia de una regulacin especfica debido al carcter transnacional de la computacin en la nube. Como aclaracin de este punto, se pasa a estudiar dos casos identificados: movimiento de datos transfronterizo por el encargado sin comunicacin de datos a un tercero y un segundo caso, en el que los datos son comunicados debido a una necesidad del servicio. En ninguno de los casos ser necesario el permiso del interesado. Un aspecto clave de este punto ser el anlisis de la transferencia a: Un pas de la UE, EEE o con un nivel adecuado de proteccin (reconocidos por la Comisin Europea). Un pas sin un nivel adecuado de proteccin. En este caso debe ser autorizado por el Director de la AEPD. Se describen tambin las actividades y funciones de las Autoridades de Control, como autoridades pblicas independientes encargadas de vigilar la aplicacin en su territorio de las disposiciones nacionales adoptadas en aplicacin a la Directiva 95/46/CE en los estados miembros de la UE y la importancia de definir claramente su competencia y mbito ya que los afectados pueden tener que someterse a ms de una autoridad de control o a autoridades de otros estados, siendo a veces necesario que estas autoridades cooperen y se coordinen en un mismo asunto. Tambin se han analizado las comunicaciones de datos a otras autoridades en situaciones en las que el proveedor no est ubicado en Espaa y se solicita el acceso a los datos por parte de la polica u organismos anlogos en el pas donde reside el proveedor.
54
En lo relativo a las responsabilidades del proveedor de servicios en la nube como encargado del tratamiento, se pueden resaltar los siguientes puntos: Tendr en cuenta la tipologa de la nube (publica, privada, comunitaria o hbrida) y el tipo servicio contratado por el responsable. En caso de que se subcontraten servicios a un subencargado, tiene la obligacin de incluir este hecho en el contrato con el cliente, detallando el servicio subcontratado y sobre el que el cliente establecer las instrucciones que considere oportunas. Es responsable de proporcionar los controles de medidas que exige la normativa en base al servicio contratado. La responsabilidad en el tratamiento de datos desde un punto de vista del ciclo de vida de la informacin (creacin, almacenamiento, uso, comparticin o comunicacin, archivo, cancelacin) se relacionar con el tipo de servicio contratado, ya que el tipo de servicio indicar el grado de responsabilidad que le afecta. Adoptar las medidas de seguridad en funcin del modelo de nube (IaaS, SaaS o PaaS) y deber cumplir con las medidas de seguridad aplicables a los datos de carcter personal en lo relativo a: o o o o o o Documento de Seguridad Control de Acceso e Identificacin Gestin de Incidencias Copias de Seguridad y Recuperacin Auditorias elecomunicaciones
Atender el ejercicio de los derechos ARCO si est establecido por contrato. En caso contrario, si los recibiera, deber hacerlos llegar lo antes posible al responsable (en plazo razonable y cumpliendo con los tiempos establecidos). Tendr en cuenta que la deslocalizacin puede ser un inhibidor para contratar sus servicios, por lo que debera establecer medidas que atenen los problemas, por ejemplo, delimitando los pases donde pueden estar los datos, ofreciendo modelos de contratos que contemplen la situacin o aadiendo mecanismos que refuercen la confianza del cliente.
55
En lo relativo a las responsabilidades del cliente como responsable del fichero, se pueden resaltar los siguientes puntos: Deber vigilar el cumplimiento de las obligaciones del proveedor o encargado en materia de proteccin de datos, obligndole a tener una diligencia apropiada. Fijar por contrato temas relacionados con las normativas aplicables, condiciones y garantas de la seguridad de los datos que impidan el acceso a terceros no autorizados, lista de pases donde se permite la prestacin del servicio, informacin que se confa al proveedor, sensibilidad, propsito, etc. Como propietario de la informacin, debe analizar los riesgos sobre el ciclo de vida de la informacin (creacin, almacenamiento, uso, comparticin o comunicacin, archivo, cancelacin) y los activos que lo contienen y gestionan. Debe tener en cuenta la necesidad de hacer auditorias internas y externas de cumplimiento, por lo que incluir estos trminos en los contratos como clusulas de derecho a auditar. Es responsable de que se cumplan los controles, que variarn en funcin del modelo de nube (IaaS, SaaS o PaaS) y el tamao de la organizacin y deber cumplir con las medidas de seguridad aplicables a los datos de carcter personal en lo relativo a: o o o o o o o Documento de Seguridad Responsable de seguridad Control de Acceso e Identificacin Gestin de Incidencias Copias de Seguridad y Recuperacin Auditorias Telecomunicaciones
Atender el ejercicio de los derechos ARCO salvo que, por contrato, se determine que sea el encargado.
56
5.1 Introduccin
Como se ha comentado ya en varias ocasiones, la computacin en la nube permite a los usuarios y/o clientes almacenar toda la informacin necesaria en servidores de terceros, de forma que puedan ser accesibles desde cualquier terminal que posea acceso a Internet sin la necesidad, por lo general, de instalar un software adicional. Este modelo de gestin totalmente dinmico, requiere que se haga hincapi y se preste especial atencin, adems de a cuantas cuestiones se han abordado especficamente respecto de la proteccin de datos de carcter personal42, a la seguridad de la informacin implicada, y ello, teniendo en cuenta que, con dicho sistema, se facilita el acceso a toda la informacin, documentos y datos que, hasta ahora, se encontraban almacenados en un equipo o servidor local a un proveedor de servicios (excepto en los casos de nubes privadas operadas por la propia organizacin). El modelo de computacin en la nube se basa en la gestin remota, normalmente por parte de un tercero, de la informacin que los usuarios le han transmitido previamente. Todo ello conlleva que, por parte de los destinatarios de servicios en la nube, se vuelque gran cantidad de informacin relevante, tanto de carcter personal como de negocio, a servidores de terceros. Por supuesto, las consecuencias jurdicas de semejantes prcticas son de diverso tipo, como lo son las disposiciones normativas a tener en cuenta y entre las que destacan de manera principal las que someramente se analizan a continuacin. Hoy en da, y debido precisamente a la gestin remota que se realiza de esa informacin, casi toda la tecnologa existente en el modelo de computacin en la nube se basa en la utilizacin de navegadores de Internet, los cuales -progresivamente- se han ido mejorando con funcionalidades entre las que se encuentran frmulas de aceptacin de plug-ins, mquinas de ejecucin de cdigo,etc. que posibilitan a los usuarios, no solamente realizar una navegacin clsica por Internet, sino que tambin permiten la ejecucin de aplicaciones en su sentido ms extenso desde el modelo de computacin en la nube. En este sentido, podemos llegar a vislumbrar que en el futuro puedan generarse litigios entre las diversas empresas que intervienen en la prestacin de servicios informticos bajo este modelo debido a una pretendida vulneracin de la legislacin en materia de propiedad intelectual e industrial.
42
58
De esta forma, este captulo cuenta con apartados dedicados al anlisis concreto de las siguientes normas: nteproyecto de Ley de modificacin de la Ley 32/2003, de 3 de noviembre, General de A Telecomunicaciones. ey 11/2007, de Acceso Electrnico de los Ciudadanos a los Servicios Pblicos. L ey 34/2002, de 11 de julio, de Servicios de la Sociedad de la Informacin y Comercio ElecL trnico. ey Orgnica 10/1995, de 23 de noviembre, del Cdigo Penal. L spectos Jurdicos Laborales A En cada uno de estos apartados, se incluyen las reflexiones y recomendaciones relevantes por lo que no existe un apartado de conclusiones o recomendaciones generales general en este captulo.
Directiva 2002/19/CE del Parlamento Europeo y del Consejo, de 7 de marzo de 2002, relativa al acceso a las redes de comunicaciones electrnicas y recursos asociados, y a su interconexin (Directiva de acceso) [Diario Oficial L 108 de 24.04.2002].
59
impone estn encaminadas a garantizar el acceso de los usuarios finales a cualquier servicio soportado por una red o servicio de comunicaciones electrnicas. A este respecto, debe tenerse en cuenta que podran producirse conflictos de acceso, no slo entre operadores de telecomunicaciones, sino tambin entre stos y otras entidades que carezcan de tal naturaleza pero que proporcionen servicios de la sociedad de la informacin (como es el caso de los prestadores de servicios en la nube) o de contenidos a los usuarios finales y necesiten de funcionalidades o recursos asociados para la efectiva prestacin de un servicio de calidad y con unas prestaciones determinadas. La principal consecuencia de lo anterior no es otra que, con toda probabilidad, el texto de la an por llegar Ley General de Telecomunicaciones contemplar la posibilidad de que la Comisin del Mercado de las Telecomunicaciones vea ampliado su marco de actuacin, pudiendo intervenir en la resolucin de conflictos que pudieran surgir a modo de ejemplo- entre prestadores de servicios en la nube y operadores de telecomunicaciones. Todo lo anterior, con el objetivo ltimo de preservar los derechos de los clientes finales de las empresas de computacin en la nube a una prestacin con garantas y en condiciones de idoneidad de los servicios contratados con stas. Estableciendo un sencillo paralelismo: Del mismo modo que se benefician los usuarios de telecomunicaciones de la intervencin en el mercado del rgano regulador, es previsible que se puedan beneficiar (en trminos de calidad del servicio) los clientes de las empresas de servicios en la nube, en caso de producirse la reforma referida en los trminos expuestos.
5.4 Ley 11/2007, de Acceso Electrnico de los Ciudadanos a los Servicios Pblicos
La Ley 11/2007, de Acceso Electrnico de los Ciudadanos a los Servicios Pblicos supone un importante reto para las administraciones pblicas si desean estar en condiciones de poder cumplir los requisitos de acceso electrnico de los ciudadanos a la Administracin. El modelo de computacin en la nube constituye una alternativa econmica y viable para mejorar los servicios pblicos que las administraciones prestan a los ciudadanos, a la vez que permiten tanto una mejora de la operativa funcionarial interna como de sus relaciones electrnicas con otras administraciones. Los sistemas informticos que se implanten siguiendo el modelo de computacin en la nube con la finalidad de dar cumplimiento a esta ley, deben centrarse en potenciar los sistemas de gestin de las Entidades Pblicas y en optimizar la actividad de los funcionarios y mejorando la atencin al ciudadano, en todo lo referente a la gestin de procesos, la gestin econmica y presupuestaria, la gestin de la poblacin y del territorio y a los sistemas de acceso a informacin y de fomento de la interoperabilidad, el establecimiento de portales de atencin al ciudadano a travs de Internet y la creacin de Intranets.
60
Tomando en consideracin que los prestadores de servicios en la nube disponen, por lo general (como no puede ser de otra manera, teniendo en cuenta el mbito en que prestan sus servicios) de un sitio web a travs del que establecen la relacin con sus clientes, quedan obligados, de conformidad con lo establecido en el artculo 10 de la LSSI, a suministrar a los destinatarios y a los rganos que resultaran competentes, determinada informacin. Entre otros datos, debern hacerse accesibles aquellos que permitan establecer con l lo que el citado texto normativo denomina una comunicacin directa y efectiva (a saber, su denominacin y domicilio social o, en su caso, la direccin de uno de sus establecimientos permanentes en Espaa). Adems, en caso de que se ofrecieran servicios o productos, informacin precisa acerca de los mismos y sus precios y gastos de envo si procediera (con el detalle de los impuestos que resultaran de aplicacin si fuera pertinente). Dicha informacin establece la propia LSSI- deber proporcionarse de manera claramente visible e identificable, siendo preceptivo que resulte accesible por medios electrnicos. En este sentido, se tiene por debidamente cumplida tal obligacin, en aquellos supuestos en que el prestador del servicio en cuestin facilite la citada informacin en su sitio de Internet respetando los ya aludidos requisitos de visibilidad y accesibilidad con que en todo caso se deben ofrecer. Adicionalmente a cuantas obligaciones resulten de aplicacin, la prestacin de servicios de la Sociedad de la Informacin que realizan las empresas de computacin en la nube queda sometida a un rgimen de responsabilidades que variar en funcin del tipo de servicio prestado. De manera general, puede hacerse referencia a las responsabilidades inherentes a cualquier prestador de servicios en la nube (sin perjuicio de que algunas otras de las contenidas en el texto de la LSSI lo sean para unos y no para otros en virtud de las actividades que lleven a cabo): La responsabilidad que tendrn como prestadores de servicios de alojamiento o almacenamiento de datos44. Hasta tal punto alcanza tal responsabilidad que las empresas de computacin en la nube, devendrn en responsables de la informacin de terceros almacenada, en tanto en cuanto, tengan conocimiento efectivo de que la misma resulte ilcita o de algn modo lesiva y no acten con la diligencia debida para evitar el acceso a la misma o para proceder a su retirada. De alguna manera, puede entenderse que este rgimen de responsabilidad de las empresas proveedoras de servicios en la nube, a menudo comportar la adopcin de las medidas pertinentes por parte de las mismas para evitar tener acceso a la informacin de terceros que almacenen. Evitando el conocimiento efectivo, estaran eludiendo responsabilidades sobre el mismo, lo que, al tiempo, supondra una ventaja en relacin con la seguridad para el propio destinatario de sus servicios. Conviene aqu sealar que la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Informacin introduce una modificacin a la Ley 34/2002, por lo que en su art.12.2 bis establece las obligaciones que deben cumplir los prestadores de servicios de la sociedad de la informacin en relacin con la informacin que deben facilitar sobre las medidas de seguridad que deben implantarse ante posibles amenazas.
44
Entre otras, podran resultar objeto de anlisis las posibles responsabilidades de los prestadores de servicios en la nube con motivo de la realizacin de copias temporales de datos de los usuarios o del hecho de que pudieran facilitar enlaces a contenidos o instrumentos de bsqueda. Si bien estas responsabilidades concretas no parecen dirigidas a empresas de computacin en la nube, el modo en que stas prestaran sus servicios podran verse afectadas por las mismas. Sin duda, tal determinacin requerira un estudio caso por caso de la forma y los entornos en que se prestan los servicios en la nube.
61
De esta manera, los proveedores de servicios establecidos en Espaa que realicen actividades consistentes en la prestacin de servicios de acceso a Internet, estn obligados a informar a sus clientes de forma permanente, fcil, directa y gratuita sobre: a) Los medios de carcter tcnico que aumentan los niveles de la seguridad de la informacin y permiten la proteccin frente a virus informticos y programas espa y la restriccin de correos electrnicos no solicitados. b) Las medidas de seguridad que estos proveedores aplican en la provisin de los servicios. c) Las herramientas existentes para el filtrado y restriccin del acceso a determinados contenidos y servicios en Internet no deseados o que puedan resultar nocivos para la juventud y la infancia. d) Las posibles responsabilidades en que puedan incurrir por el uso de Internet con fines ilcitos, en particular, para la comisin de ilcitos penales y por la vulneracin de la legislacin en materia de propiedad intelectual e industrial. e) Las obligaciones de informacin referidas en los apartados anteriores se darn por cumplidas si el correspondiente proveedor incluye la informacin exigida en su pgina o sitio principal de Internet en la forma establecida en los mencionados apartados.
62
Por ello, con la reciente reforma del Cdigo Penal espaol, se ha incrementado el riesgo de que un directivo sea imputado e incluso condenado por la mala conducta de un trabajador de la empresa o, incluso, por una decisin operativa o estratgica. Esta reforma viene a recordar de manera ms perentoria a las empresas a las que pueda resultar de aplicacin del Cdigo Penal espaol, la necesidad de implantar un sistema de supervisin y control de cumplimiento normativo como mecanismo indispensable y eficaz de prevencin y mitigacin de su responsabilidad penal. En paralelo, el legislador tambin ha querido premiar a las sociedades ms diligentes por lo que su responsabilidad penal se ver atenuada en caso de que se produzca: a) Confesin de la infraccin ante las autoridades. b) Colaboracin en la investigacin del hecho delictivo. c) Reparacin del dao causado por el delito. d) Establecimiento de medidas eficaces para prevenir y descubrir los delitos que en el futuro pudieran cometerse con los medios o bajo la cobertura de la persona jurdica. Ms concretamente, en el mbito de computacin en la nube, podemos mencionar que si la empresa proveedora de servicios no despliega unas polticas de control interno que resulten suficientes para crear un clima favorable para que sus directivos y empleados comentan delitos, puede ser penalmente responsable, al igual que si no ejerce la vigilancia debida sobre los mismos (culpa invigilando). Por ello, resulta muy aconsejable que las empresas dispongan de sistemas de prevencin, medidas de vigilancia y control que permitan evitar o detectar la posible comisin de ilcitos penales. De este modo, la compaa estar en mejor posicin para acreditar la realizacin del debido control sobre sus empleados y por lo tanto atenuar la responsabilidad derivada de la nueva regulacin del CP. Estas actuaciones se debern implementar en las empresas a travs de un plan preventivo integral dirigido a identificar, prevenir y mitigar riesgos penales de origen corporativo. Para ello, se deber analizar y regularizar la documentacin jurdico-financiera de la empresa (tanto en soportes fsicos como digitales) y los procedimientos relacionados con la produccin, operaciones y administracin (calidad, ISO, procesos, productos, relaciones laborales, etc.). Y en el rea ms puramente tecnolgica, debern ponerse en prctica acciones conducentes a la elaboracin de: a) Cdigos ticos de buen gobierno corporativo. b) Programas de cumplimiento corporativo que garanticen el cumplimiento de la ley. c) Preparacin de un programa con contenido informtico forense que permita la trazabilidad y generacin de la prueba en los sistemas informticos.
63
d) Normas de organizacin interna en materia informtica y tecnolgica. e) E-discovery: Programas de revisin de la documentacin depositada en formato digital. f) Comits de vigilancia y supervisin tanto fsica cmo lgica del que deben formar parte consejeros independientes. Los prestadores de servicios en la nube, por tanto, pueden llevar a cabo conductas expresamente tipificadas como faltas o delitos en el Cdigo Penal, de las que pueden a su vez resultar afectados los destinatarios de tales servicios. En este sentido, y sin perjuicio de cualesquiera otros que pudieran resultar de aplicacin segn el supuesto concreto, procede aqu hacer mencin a un conjunto de artculos del Cdigo Penal Espaol. As, en los delitos relativos a la propiedad industrial, la intervencin penal relativa a la propiedad industrial se centra en dos sectores de la actividad mercantil, el que abarca las creaciones industriales, por un lado, y el relativo a los signos distintivos, por otro. En concreto, la intervencin punitiva va encauzada a la proteccin de las patentes, modelos de utilidad y la proteccin de las marcas (Art. 273 y 274 CP). En el delito de espionaje industrial (Art. 278 CP), la conducta tpica consiste en el descubrimiento de un secreto de empresa, apoderndose de datos, documentos escritos o electrnicos, soportes informticos u otros objetos y, adems, constituye un tipo agravado el apoderamiento seguido de la difusin. Lo dispuesto respecto a este delito es independiente de las penas que puedan corresponder por el apoderamiento o la destruccin de los soportes informticos (hurto, robo, etc.). La violacin de los deberes de reserva (Art. 279 CP) consiste en el descubrimiento de secretos por parte de quien ha tenido acceso a los mismos de forma legtima, pero viola las reglas que exigen el mantenimiento del mismo por tener legal o contractualmente obligacin de guardar reserva con respecto a l. La accin tpica consiste en difundir, revelar o ceder el secreto, diferencindose del caso anterior tan slo en la forma de acceder al mismo. En este sentido, el art. 279.2 CP contiene un tipo privilegiado que reduce la pena al sujeto que viola los deberes, no de reserva frente a terceros, sino de aprovechamiento personal del secreto frente a quien se lo ha facilitado legalmente. As, a modo de ejemplo, aquellos proveedores de servicios de computacin en la nube que se apoderen, utilicen o modifiquen, en perjuicio de un tercero, tanto datos de carcter personal como datos relacionados con las comunicaciones que se hallen registrados en ficheros o soportes informticos, electrnicos o telemticos podrn estar incurriendo en un delito de descubrimiento o revelacin de secretos tipificado por el cdigo Penal. A su vez, en caso de tratarse de datos de carcter personal, la pena se agravar si el infractor, en su calidad de encargado o responsable de los ficheros, difundiera, revelara o cediera a terceros los datos en cuestin. Con independencia del mayor detalle con que siempre podra abordarse esta cuestin, resulta -a los efectos que aqu interesan- significativo que el legislador penal es bien consciente de la posicin relevante que ostenta cualquiera que pudiera tener, de manera general, acceso a informacin de terceros45. En el rea de lo que se define con mayor precisin como el delito informtico, el art. 264 CP hace extensible la responsabilidad por este delito a las personas jurdicas, incurriendo con ello en penas de multa u
45
64
otras a juicio de los jueces y tribunales. La conducta tpica se produce cuando el objetivo de la actividad realizada es daar, alterar, suprimir o hacer inaccesible datos o programas electrnicos ajenos. En lo que se refiere al continente del objeto destruido, alterado, inutilizado o daado, los datos, programas o documentos electrnicos deben hallarse en redes, soportes o sistemas informticos. De la literalidad de la norma podemos inducir que el medio utilizado para cometer la accin puede ser cualquier medio. Con ello se engloba cualquier posibilidad, y por tanto, la norma jurdica iguala, por tanto, un acto de destruccin fsica a un acto de manejo de un ordenador. Sin que deba atenderse en absoluto que una empresa de computacin en la nube tenga por objeto la realizacin de las conductas a las que nos referiremos a continuacin, a travs de los medios de los que dispone un prestador de servicios en la nube pueden realizarse actividades fraudulentas consistentes -por ejemplo- en la creacin de ficheros informticos paralelos produciendo un error en el usuario que tendr la idea de estar actuando en un entorno distinto del real. Este tipo de actividades son, con frecuencia, ejecutadas con el fin de llevar a cabo transacciones fraudulentas, definidas en el Cdigo Penal (art. 248 CP) como aquellas que, utilizando engao bastante mediante manipulacin informtica o artificio semejante para la produccin de error en un tercero, induzca a ste a realizar actos de disposicin o transferencias no consentidas de activos patrimoniales en perjuicio propio o ajeno. Obviamente, a travs del modelo de computacin en la nube podran llegar a proliferar estafadores cuya actividad delictiva consista en la creacin de pginas web de Internet falsas cuya finalidad consistira en apropiarse indebidamente de informacin volcada por los usuarios, as como en realizar acciones tendentes a modificar o a sustituir el archivo del servidor de nombre de dominio, dando lugar a un cambio de la direccin IP legtima de una entidad e induciendo a que cuando el usuario escriba el nombre de dominio sobre la barra de direcciones, el navegador lo redirija a una direccin IP falsa. Una vez que se ha redireccionado al usuario a la pgina web de Internet fraudulenta, el estafador podra obtener aquellos datos personales pertenecientes a la vctima as como la informacin confidencial necesaria para realizar transacciones fraudulentas. Como decimos, la actividad que aqu se describe encontrara un encuadre en el tipo penal del fraude online, recogido en el artculo 248 del Cdigo Penal. En relacin con las posibles colisiones con los derechos de propiedad intelectual, la nube podra llegar a ser un entorno inseguro para poner a disposicin del pblico determinados contenidos sujetos a derechos de propiedad intelectual de consumo tpicamente lineal como pueden ser los libros electrnicos, las pelculas, msica, etc. Sin embargo, s puede ser un entorno seguro y atractivo para aquellos contenidos sujetos a derechos de propiedad intelectual de consumo interactivo como los videojuegos o el software que slo se pueden ejecutar en la nube, sin que se deba acceder al archivo que los contiene en un determinado servidor y sin que se deban llevarse a cabo copias o su instalacin en el terminal propio del usuario. El artculo 270 del Cdigo Penal es un precepto que contiene importantes elementos normativos que deben ser interpretados acudiendo a la legislacin reguladora mercantil y civil. En ese artculo se describen las acciones que resultan sancionables y establece la exigencia de un dolo especfico, esto es, obrar con nimo de lucro y en perjuicio de tercero. Esta frase implica que el delito se consuma con la realizacin de la conducta tpica sin que sea necesario que se llegue a producir de hecho un perjuicio en el titular de los derechos o que se logre el lucro perseguido. Sin embargo, no habr delito cuando falte el nimo de lucro, como es el caso, de quien realiza una copia privada sin autorizacin del titular. El elemento subjetivo
65
exigido, esto es, el nimo de lucro, no puede tener una interpretacin amplia o extensiva sino que ha de ser entendido sentido estricto de lucro comercial. Por ello, las conductas para la comunicacin u obtencin de obras protegidas en Internet o utilizando nuevas tecnologas de la informacin -como colocar en la red o bajar de Internet- no son oponibles si no concurre nimo de lucro comercial. Este artculo del cdigo Penal recoge en su texto cuatro conductas bsicas: la reproduccin, el plagio, la distribucin y la comunicacin pblica de las obras. Y en relacin con ellas, son tres las circunstancias necesarias que los hechos encuentren encajen en el tipo delictivo: Una accin de reproduccin, plagio, distribucin o comunicacin pblica de una obra literaria artstica o cientfica o de transformacin, interpretacin o ejecucin de las mismas en cualquier tipo de soporte o su comunicacin por cualquier medio; La carencia de autorizacin para cualquier clase de esas actividades por parte de los titulares de los correspondientes derechos de propiedad intelectual; La realizacin intencionada de esas conductas con la concurrencia de dolo especfico, esto es, nimo de lucro. En todo caso, en el modelo de computacin en la nube, las empresas clientes podran desear acceder y usar los servicios prestados de acuerdos con sus propias necesidades, beneficindose del acceso a los servicios, contenidos y software que proporciona la empresa proveedora. Sin embargo, en determinados casos las empresas clientes tambin perseguirn que los derechos de propiedad intelectual que ellas generen sobre sus propios contenidos o el nuevo software (original o derivado) creado o almacenado en la nube queden debidamente protegidos. Una de las soluciones que se imponen pasara por introducir en el contrato que rige la prestacin de servicios en la nube y en la poltica de uso o de acceso a la nube las clusulas tendentes a establecer el equilibrio necesario entre la responsabilidad debida por las empresas clientes al ejecutar y usar los contenidos, servicios y software ajenos desde la nube y las medidas de seguridad tendentes a proteger los derechos de propiedad intelectual que debern ser garantizados por la empresa prestadora de servicios. En esta misma lnea, conviene destacar que la utilizacin de las aplicaciones alojadas en la nube puede dar lugar a la generacin de creaciones intelectuales merecedoras de proteccin en materia de derechos de propiedad intelectual, por lo que resulta muy aconsejable incluir en el contrato clusulas dirigidas a establecer el rgimen de titularidad o de co-titularidad de los derechos de propiedad intelectual relativos a las creaciones intelectuales que pudieran generarse bajo el modelo de negocio de la nube. Existe, asimismo, la posibilidad de que las empresas clientes utilicen los servidores en la nube para almacenar contenidos o software ajenos como forma a su vez- de prestar servicios a terceros, de forma que queden alojadas copias de contenidos y de software en servidores de almacenamiento remoto desde los cuales que posteriormente puedan realizarse reproducciones. Cuando este tipo de servicios se prestan en la manera descrita, las empresas clientes ponen a las empresas proveedoras de estos servicios en la nube en riesgo de una responsabilidad jurdica en funcin de las potenciales infracciones de derechos de la propiedad intelectual que pudieran producirse. Si este fuese el caso, resulta necesario incluir en el contrato de servicios en la nube la asuncin expresa e inequvoca por parte de las empresas clientes de toda responsabilidad jurdica que pudiera surgir con motivo de estos actos potencialmente ilcitos, mediante la
66
incorporacin en el contrato y en la poltica de uso de los servicios en la nube de aquellas previsiones a travs de las cuales la empresa prestadora de servicios pueda reservarse a su favor la facultad tanto de hacer un seguimiento como de eliminar aquellos contenidos y software ajenos que los usuarios terceros puedan incluir en los servidores de la nube, establecindose para ellos determinados criterios como que puedan afectar a derechos de terceros, intereses u orden pblicos, etc.46 La deslocalizacin internacional caracterstica propia de la prestacin de servicios en la nube- puede dar lugar en ocasiones a la utilizacin del contenido ajeno, software ajeno o de servicios que se prestan desde jurisdicciones donde est prohibido su uso o el mismo no se encuentra autorizado. Por ello, se hace necesario contemplar en el contrato regulador de estos servicios las restricciones que deban regir respecto del uso de los servicios en la nube en relacin con aquellos territorios desde donde no resulta lcito su utilizacin, as como establecer los ms adecuados mecanismos de control tecnolgico de forma que ese contenido o software ajeno no pueda ser ejecutado en tales territorios. Otra solucin jurdica viable consistira en renegociar y ampliar las licencias firmadas entre los terceros proveedores de software, contenidos o servicios y la empresa proveedora de servicios en la nube para que las empresas clientes puedan utilizar lcitamente tales derechos desde cualquier jurisdiccin. En definitiva, puede entenderse que el entorno de Internet -en general- y el de los servicios de computacin en la nube -en particular- podran servir de medio para la realizacin de conductas delictivas, lo que, sin embargo, no debe constituir una seal de alarma mayor que la que pudiera entenderse en entornos no digitales.
67
Este protocolo debe tener su reflejo en la inclusin en el contrato laboral de aquellas condiciones contenidas en el mismo, de tal forma que su incumplimiento por parte del trabajador como, por ejemplo, la obligacin de secreto de la informacin a la que se tiene acceso- pueda resultar en la adopcin de las correspondientes acciones disciplinarias que en materia laboral sean de aplicacin. En todo caso, las medidas impuestas por parte de las empresas (tanto proveedoras de servicios en la nube como de empresas clientes de estos servicios) deben guardar una adecuada proporcionalidad con los objetivos que se persiguen, no implicar la utilizacin de medios intrusivos y deben estar debidamente justificadas en relacin con los propsitos perseguidos en el marco de la contratacin efectuada. En el protocolo se establecer el modo en el que se generarn las evidencias electrnicas as como su procedimiento de obtencin, conservacin y aportacin47. Asimismo, en dicho protocolo deber especificarse la persona responsable que en el seno de la propia empresa realizar el seguimiento y el control de la actividad en la nube por parte de los trabajadores -tanto en el mbito profesional como en privado, si fuese el caso- y cuyo alcance, lgicamente, depender de las caractersticas propias de las aplicaciones, infraestructuras o plataformas que sean objeto de contratacin por parte de las empresas.
47
68
6.1 Introduccin
El uso de la computacin en la nube supone un impacto significativo para los procesos de operacin y mantenimiento de sistemas de informacin con respecto a los modelos tradicionales, as como en la prestacin de servicios hacia el pblico objetivo al que se dirigen. Del mismo modo, el uso de la computacin en la nube afecta sustancialmente a los modelos de gestin de seguridad de la informacin. El objetivo de este captulo es proporcionar una serie de pautas para establecer, de forma prctica y eficaz, un adecuado Sistema de Gestin de Seguridad de la Informacin (en adelante, SGSI) por parte de aquellas empresas que deseen utilizarlo en el mbito de la computacin en la nube. Por tanto, es relevante para usuarios, clientes finales, as como para proveedores que deseen implantar un SGSI, en funcin de su rol en este mbito. Este apartado se centrar nicamente en aquellos aspectos del establecimiento de un SGSI que sean caractersticos de la computacin en la nube. Aquellos lectores interesados en obtener una visin general sobre SGSI debern referirse al estndar de referencia ISO/IEC 27001:2005 (en adelante ISO 27001). Es necesario destacar que las recomendaciones incluidas en este apartado hacen referencia frecuentemente a los controles del estndar ISO/IEC 27002 (en adelante ISO 27002), as como a los controles de la matriz desarrollada por CSA [CSA, diciembre 2010].
70
En cada una de las fases se incluyen recomendaciones relativas a la implantacin de un SGSI considerando los diferentes modelos de despliegue de servicios en la nube (modelo SPI) y para los distintos actores (cliente o proveedor).
71
en la nube, as como la integracin de los indicadores especficos de gestin e integracin del posible SGSI del proveedor, la definicin de un correcto alcance, as como a las clusulas del contrato y los acuerdos de nivel de servicio con el proveedor49. Por otro lado, los proveedores de servicios en la nube debern focalizar sus esfuerzos en proporcionar los niveles de seguridad adecuados para cada cliente sobre la base de las normativas aplicables; as como en gestionar el cumplimiento de los niveles de servicio acordados. En cuanto al tipo de servicio, en el caso de SaaS el proveedor estar dotado de un mayor grado de responsabilidad con respecto a la ejecucin de controles que en el caso de PaaS y, a su vez, es mayor en el escenario PaaS que en el IaaS. Esto determinar el grado en que el cliente deber delegar la gestin de controles al proveedor, as como la forma de asegurar su correcto diseo y operacin50.
Presentacin Inicial
Activos
Definicin
Organizacin
Amenazas
Alcance
Poltica de Seguridad
Impactos
Seleccin de Controles
49
50
Este aspecto se tratar ms adelante en el Captulo 7 Efectos de la computacin en la nube sobre la contratacin de servicios TIC de este documento. Por ejemplo, mediante el uso de acuerdos y mtricas de nivel de servicio como veremos en el Captulo 7.
72
En el caso de computacin en la nube, es primordial involucrar a los proveedores desde el inicio para asegurar un grado de colaboracin adecuado durante todo el proceso. Cabe destacar que el ciclo de vida de un SGSI es indefinido y por tanto ser necesario asegurar un compromiso permanente por parte de stos. En el caso de nuevos proveedores, ser necesario formalizar dicho compromiso antes de iniciar la prestacin de servicios.
Las clusulas en los contratos se tratan en detalle en el Captulo 7 Efectos de la computacin en la nube sobre la contratacin de servicios TIC.
73
sistemas de informacin. El rea responsable de la implantacin del SGSI deber explorar la existencia de dichos casos y considerar su inclusin en el alcance. En cualquier caso, la contratacin de servicios debera ser planteada al Comit de Seguridad de la Organizacin para que evale los riesgos de dicha contratacin y considere su integracin y/o seguimiento en el SGSI.
Aspecto tremendamente importante como se ha podido comprobar durante el Captulo 4. Este aspecto se trata en detalle en el Captulo 8. La obtencin de evidencias digitales en la nube.
74
Considerar las amenazas y vulnerabilidades especficas de la nube; Estar alineada con el ciclo de vida de proyectos y desarrollo de servicios de computacin en la nube; Producir resultados comparables y reproducibles, independientemente del proveedor de servicios y del tipo de servicio contratado; es muy importante la adecuada eleccin de la metodologa utilizada ya que deber ser gestionada en los aos sucesivos para producir resultados comparables. Contener aquellas medidas de seguridad especficas para computacin en la nube en la lista o catlogo base de controles; Contemplar la dependencia con respecto al proveedor (y sus empresas subcontratadas) para los procesos de identificacin, tratamiento, monitorizacin y notificacin de riesgos. Cabe enfatizar que las actividades ejecutadas por proveedores de servicios en la nube tienen impacto sobre los activos de sus organizaciones usuarias y, por tanto, no pueden considerarse como riesgos transferidos ni pueden eliminarse del proceso de evaluacin. En el caso de proveedores de computacin en la nube que estn implantando un SGSI, debern validar que su metodologa de evaluacin de riesgos est alineada con las buenas prcticas, as como con las leyes y regulaciones aplicables para cada industria y territorio. Es indispensable que la metodologa seleccionada est bien documentada y pueda ser comunicada a los usuarios cuando estos lo requieran.
75
Adicionalmente, es importante conocer si los procesos del proveedor son gestionados por l mismo o si son subcontratados a otro proveedor de servicio. A continuacin se presenta, en formato de matriz RACI, una relacin no exhaustiva y a modo ilustrativo de procesos y activos de informacin que, a priori, son responsabilidad del cliente / proveedor para cada uno de los modelos de servicios en la nube (SaaS, PaaS, IaaS). No obstante, para la gestin de los activos de informacin debera establecerse en el contrato54 entre cliente y proveedor una matriz de responsabilidades al estilo de la incluida a continuacin.
R Responsable / A Aprobador / C Consultado / I - Informado I* Siempre que los cambios realizados no afecten a las condiciones contractuales y/o ANSs (Acuerdos de Nivel de Servicio), en cuyo caso el cliente deber ser consultado (C). A/R** El cliente y el proveedor sern responsables de las medidas de seguridad en funcin de su mbito de actuacin (es decir, el proveedor ser responsable de las medidas que afecten a la infraestructura compartida y el cliente del resto).
54
La contratacin de servicios se trata en detalle en el Captulo 7 Efectos de la computacin en la nube sobre la contratacin de servicios TIC.
76
Desde la perspectiva del proveedor se deber tener en cuenta que: Es importante contar con un proceso de gestin del riesgo que considere la situacin actual del riesgo de los servicios que ofrece a sus clientes. Para ello, es clave documentar, para cada servicio ofertado, los procesos que lo forman, as como sus activos de informacin y los riesgos a los que estn sometidos puesto que los mismos afectarn a los procesos de negocio del cliente. De esta forma, se podrn establecer diferentes categoras (por ejemplo: oro, plata, bronce) para los servicios ofertados en funcin del nivel de riesgo y del servicio prestado al cliente. Debe poder identificar aquellos activos que soportan, o han soportado en un momento dado, los servicios de cada uno de sus clientes, pudindose dar el caso de que un mismo activo sea compartido por varios clientes. Esta trazabilidad permitir realizar anlisis forenses en caso de ser necesario. Debe tener identificados todos aquellos procesos que hacen uso de activos de informacin de terceros e informar debidamente al cliente (en funcin de los compromisos establecidos con l). Es necesario tener en cuenta la ubicacin de las plataformas que oferta puesto que pueden encontrarse en diferentes ubicaciones geogrficas siendo la legislacin aplicable, las amenazas y sus probabilidades de ocurrencia dependientes de las mismas55. Por otro lado, el cliente, en relacin a la identificacin y valoracin de activos, debe ser consciente de que: Es importante conocer el valor de los procesos de negocio que van a ser soportados por servicios en la nube, ya que en funcin de su importancia estratgica, variarn los requisitos de seguridad a exigir, y por tanto, la categora de servicios a contratar (en cuanto al nivel de seguridad deseable). De esta forma, un cambio en los procesos de negocio que afecten a la valoracin de los mismos o de sus activos pueden conllevar la necesidad de modificar el tipo de servicios contratados para que proporcionen el nivel de seguridad adecuado al nuevo nivel de riesgo. Los inventarios de activos de los clientes debera incluir activos que acojan servicios en la nube y que estn bajo el control de proveedor. Los planes de valoracin y clasificacin deberan ser acordes. Es importante conocer si el servicio ofertado por el proveedor ser soportado por procesos y activos de un tercero. En esos casos, ser necesario examinar la gestin del riesgo por parte de dichos terceros, y exigir unos niveles acordes a la categora contratada.
55
El efecto de la ubicacin fsica tambin es analizado en los Captulo 4, 7 y 8 en relacin a la privacidad, a los contratos y a las evidencias electrnicas en entornos de computacin en la nube.
77
De esta forma, se puede definir una amenaza en un entorno de computacin en la nube como la causa potencial de un incidente que puede causar daos en la informacin hospedada y procesada en ese entorno, o a algn elemento o conjunto de ellos que conforman el servicio. De cara a identificar las posibles amenazas que pueden incidir en un servicio en la nube es necesario contextualizar el servicio, clarificando las implicaciones de un suceso que puede afectar a los activos que conforman el servicio en detrimento de su valor para la organizacin. Esta contextualizacin permitir detectar problemas de aplicabilidad as como la identificacin de amenazas inherentes a los propios modelos de servicio en la nube y a los modelos de implantacin. Esta informacin se conforma de especial importancia como un primer elemento discriminante en la seleccin de tipologa de servicios por parte de un cliente y como una herramienta til en la elaboracin de anlisis de riesgos en dichos servicios. De esta forma, se sugieren los siguientes mecanismos para la identificacin de amenazas: Entrevistas con los propietarios de los activos, departamentos de sistemas, CIO Chief Information Officer, CISO Chief Information Security Officer y CSO Chief Security Officer. Listados y fuentes de informacin externas, de amplia difusin, provenientes de entidades internacionales con un amplio espectro (como, por ejemplo, CSA56, ENISA57, Computer Security Institute58). Listados y fuentes de informacin gubernamentales (como los CSIRTs/CERTs nacionales, NIST u otras fuentes que puedan existir a nivel nacional)59. En el presente documento se han reestructurado y complementado el listado de amenazas ms frecuentes en los entornos de computacin en la nube ya identificadas por organismos supranacionales en sus informes y trabajos colaborativos. Se han tomado principalmente dos fuentes: Cloud Computing Information Assurance Framework [ENISA, 2009] Top Threats to Cloud Computing v1.0 [CSA, marzo 2010] Teniendo en cuenta que los diversos modelos de servicio e implementacin en la nube conllevan unos riesgos inherentes, independientemente de su naturaleza, es conveniente definir la aplicabilidad para valorar el potencial de una amenaza. En este sentido, a continuacin se presenta un modelo o matriz de amenazas que introduce otro criterio como es la categora de la amenaza (organizativa, tcnica y legal), dejando a un lado aquellos aspectos o riesgos no especficos de la nube (el Anexo I incluye un anlisis ms detallado de las amenazas tcnicas):
56 57 58 59
www.cloudsecurityalliance.org www.enisa.europa.eu www.gocsi.eu Tanto en www.first.org como en www.terena.org se puede obtener una lista de CSIRTs
78
[2]
Tcnica
x x x x x x x
x x
x x
x x x
x x
x x x x x x x x x
x x x x
x x x x
x x x x
x x x x
x x x x
[1] [ENISA, 2009] [2] [CSA, marzo 2010] 6. Sistemas de Gestin de la Seguridad de la Informacin en la nube 79
Como en cualquier entorno, para la identificacin y valoracin de amenazas es recomendable realizar agrupaciones funcionales de las que compartan caractersticas comunes (por su origen, por su motivacin), definir su aplicabilidad y la dimensin de la seguridad que se puede ver afectada y tener en cuenta que varan en funcin del tipo de organizacin y estado del arte. Adicionalmente, de cara a afrontar una identificacin efectiva de las amenazas dentro de un entorno de computacin en la nube, tanto desde una perspectiva de un cliente como del lado del proveedor, se sugieren las siguientes recomendaciones que facilitarn dicha labor: Partir de un listado de amenazas predefinidas por fuentes externas reconocidas (como las mencionadas anteriormente), teniendo en cuenta que no todas las amenazas afectan a todos los activos (lo que conlleva una simplificacin del anlisis). Tener en cuenta que las amenazas legales dependen no slo del pas de origen/residencia del cliente sino tambin de la localizacin geogrfica de la infraestructura desde la cual el proveedor le presta los servicios en la nube60. Tomar en consideracin que las amenazas varan en funcin del modelo de servicio y del modelo de implementacin.
El efecto de la aplicacin geogrfica en la contratacin se estudia en el Apartado 7.9. Ley aplicable y jurisdiccin. Del trmino en ingls, lock in. 62 Estos aspectos son analizados ms detalladamente en los Captulos 4, 5 y 7.
60 61
80
Aunque no es un requerimiento del estndar ISO 27001, es habitual que las organizaciones se apoyen en herramientas de gestin que proporcionen soporte, tanto para el establecimiento como para el mantenimiento continuado del SGSI. En el caso de la computacin en la nube, dicha herramienta puede contribuir a automatizar el intercambio de informacin con los proveedores como, por ejemplo, la relativa a incidentes de seguridad, seguimientos de acuerdos de nivel de servicio, etc. En caso de que se vaya a utilizar una herramienta de este tipo, su instalacin conviene que sea realizada durante esta fase de la implantacin del SGSI para contar desde el inicio con su asistencia y establecerse como principal herramienta gestora de forma intuitiva.
81
En el caso de computacin en la nube, dicho Plan de Accin deber de ser sincronizado entre la empresa proveedora y su cliente para conseguir una adecuada evolucin e implantacin de los controles, que de otra manera no se podra realizar. Es fundamental establecer hitos de seguimiento y revisin por cada proyecto realizado para comprobar que, durante todo el flujo de informacin entre las dos partes, se respetan escrupulosamente las medidas de controles establecidas en el documento de aplicabilidad de los controles. El plan de Accin resultante de una compaa usuaria de servicios en la nube deber considerar a su proveedor para evitar caer en posibles contradicciones o retrasos en la implantacin de las medidas de control seleccionadas.
82
Procedimiento de gestin de licencias de software. En el entorno de computacin en la nube y dado que es fundamental aclarar dichos aspectos por contrato, es fundamental definir claramente los procedimientos de gestin de licencias63. Identificacin de la legislacin/normativa vigente aplicable. En funcin del tipo de servicio en la nube contratado, el sector en el que se ubica la Organizacin demandante y el mbito geogrfico es necesario identificar todos aquellos marcos regulatorios aplicables, as como los procedimientos de identificacin establecidos para la identificacin de los nuevos64. Plan de Recuperacin de Desastres y de Continuidad de Negocio.
6.6 Fase III. Seguimiento y mejora del SGSI 6.6.1 Desarrollo e implantacin de la normativa
El desarrollo normativo consistir, como en cualquier SGSI, en una serie de documentos exhaustivos con las especificaciones tcnicas de los controles de seguridad necesarios para la Organizacin sobre la base de la Declaracin de Aplicabilidad aprobada. Esta fase se representa de forma independiente al Desarrollo Normativo Bsico (apartado 6.5.3) para simbolizar la continuacin de la implantacin de controles, as como a la definicin de indicadores para la valoracin de su estado de implantacin y efectividad. Dicha implantacin estar planificada, segn se especifique en el Plan de Accin.
63
64
Este aspecto es uno de los analizados con detalle en el Captulo 7. Efectos de la computacin en la nube sobre la contratacin de servicios TIC. Los aspectos relacionados con el cumplimiento normativo se han analizado en los Captulos 4 y 5 previos.
83
Certificacin
Seguimiento y monitorizacin
Mejora continua
Comunicacin y divulgacin
84
Las auditorias son especialmente relevantes en el caso de computacin en la nube (sea cual sea su tipo, SaaS, IaaS o PaaS) debido al papel que desempean como garanta independiente para clientes usuarios. Adems de la ejecucin de auditoras, el cliente deber asegurar una adecuada colaboracin con el proveedor y la correccin de las no conformidades detectadas. Para ello resulta fundamental la relacin contractual entre ambas partes65.
6.7 Conclusiones
A modo de conclusiones generales de este captulo en el que hemos tratado las particularidades de la implantacin de un SGSI en un entorno de computacin en la nube, podramos decir que el establecimiento de un SGSI, tal y como establece el estndar ISO 27001, est basado en el principio PDCA de mejora continua. Y que este principio sigue siendo aplicable en el caso de la computacin en la nube, as como el modelo general para el establecimiento, implementacin, operacin, supervisin, revisin, mantenimiento y mejora de un SGSI definidos en dicho estndar. Por tanto, si debiramos resaltar algo respecto a los SGSIs en los entornos de computacin en la nube sera que no cambian en el fondo, pero s en la forma: Es imprescindible establecer mecanismos de comunicacin fluidos entre cliente y proveedor, as como, definir un lenguaje comn en el que entender dichas comunicaciones. Esta comunicacin afecta desde el comienzo de la definicin del SGSI y contina a lo largo de toda la implantacin y operacin posterior. El ejemplo ms claro lo tendramos en el caso de SGSIs encapsulados en los que los sistemas de gestin de una de las partes est incluido en el sistema de gestin de la otra a modo de envoltorio.
65
Para un anlisis detallado de este tema consultar el Captulo 7. Efectos de la computacin en la nube sobre la contratacin de servicios TIC.
85
Los alcances certificados cobran una importancia extraordinaria pues son la forma en la que el proveedor informa al cliente sobre el o los entornos en los que aplicar el mencionado sistema de gestin. La definicin clara de responsabilidades y roles en lo relativo al SGSI, considerando que puede aplicar a usuarios de distintas organizaciones es bsico que se aborde lo ms temprano posible durante el proceso de definicin del SGSI. En lo relativo a todas las etapas necesarias para realizar un anlisis de riesgos, la comunicacin tambin es pieza clave, pues permite a las partes tener un lenguaje comn en el que entenderse y definir los niveles de riesgos globales. Los aspectos que podramos considerar ms diferentes respecto a sistemas tradicionales seran los relacionados con: La valoracin de activos y de amenazas, puesto que son responsabilidad de distintos propietarios que deben coordinarse y entenderse. Normalmente, el cliente deber conocer los niveles de riesgo que est dispuesto a asumir en funcin de la relevancia del activo y, por otra parte, el proveedor, debe conocer los niveles de riesgo que su operacin de las tecnologas de la informacin y las comunicaciones (TIC) supone para sus clientes. Cierto tipo de amenazas muy caractersticas de la computacin en la nube que implican nuevos riesgos en este tipo de entornos. El seguimiento, la monitorizacin y la auditora, puesto que lo que antes se realizaba, con mayor o menor dificultad, dentro de la organizacin, ahora hay que ser capaz de seguir haciendo pero, considerando que probablemente, los activos y los procesos de negocio ya no pertenecen a la misma organizacin y es necesario entenderse con un tercero independiente de mi SGSI.
86
7.1 Introduccin
La computacin en la nube es un modelo de provisin de servicios de TIC cuya configuracin por las partes en una relacin B2B Business to Business, es en principio libre, en virtud de la autonoma de la voluntad que rige la contratacin. No obstante, dependiendo del tipo de organizacin contratante y de la informacin que se vea involucrada en el mbito de los servicios, es muy probable que existan requerimientos legales y regulatorios especficos, que deban ser tenidos en cuenta en el diseo del marco contractual que rija la relacin de prestacin de servicios. Estos requerimientos legales y regulatorios lgicamente variarn dependiendo de factores como la ubicacin geogrfica y el sector de actividad de la entidad contratante o usuaria, entre otros, o simplemente dependern de su participacin en un mercado concreto. Algunos ejemplos los encontramos en Sarbanes Oxley, HIPAA, GLBA, PCI DSS, Esquema Nacional de Seguridad, Basilea o Solvencia, entre otras. Asimismo, en caso de que los servicios en la nube impliquen el tratamiento de datos de carcter personal (lo cual sucede en la mayora de los casos) entran en juego las normas que regulan la privacidad y la proteccin de datos de carcter personal aplicables al cliente o usuario del servicio y/o al proveedor, y que varan en funcin de la jurisdiccin en la que se encuentren, respectivamente66. Como punto de partida para la contratacin, la organizacin contratante deber conocer muy bien sus obligaciones. Sin ello, no ser posible cumplirlas y menos an, trasladarlas a un proveedor de servicios en la nube mediante un contrato. Estas obligaciones pueden provenir de distintas fuentes, a saber: Externas (generales y obligatorias): Se refieren al derecho positivo de un pas y ataen al conjunto de normas jurdicas escritas que aplican a la entidad contratante, fundamentalmente, en virtud de su localizacin o de su sector de actividad. Internas: Normas y polticas corporativas de obligado cumplimiento para la organizacin (voluntarias). En muchos casos, estas normas y polticas ordenan la adopcin de estndares existentes (por ejemplo, ISO 27001). Obligaciones contractuales (particulares) adquiridas por la organizacin.
66
88
Como resultado del anlisis de los requisitos de cumplimiento a los que est sometida la organizacin, se podr determinar: La informacin susceptible de ser trasladada a la nube por no existir impedimento legal, normativo o contractual alguno para ello. El tipo de despliegue de servicios en la nube que se deber utilizar con relacin a cada tipo de informacin, o en su caso, qu tipo de despliegue conviene utilizar. Por ejemplo, si una entidad del sector sanitario establecida en territorio espaol desea tratar datos clnicos de sus pacientes en la nube, debera asegurarse de que el proveedor tenga la capacidad necesaria para cifrar el trfico de dichos datos. En algunos casos, puede que los costes de la implantacin de ciertas medidas o controles de seguridad exigidos por la normativa, minimice o elimine el beneficio de ahorro de costes que se asume como inherente a las soluciones de computacin en la nube. Finalmente, los requisitos que deber exigir al proveedor mediante contrato, en aras del cumplimiento de la organizacin en la nube. Una vez que el proveedor tenga determinadas sus obligaciones, deber analizar los riesgos especficos que supone dar el salto a la nube. En este sentido, es importante determinar la extensin geogrfica o en otras palabras, el lugar de la ubicacin de la infraestructura ya que la localizacin de los activos de informacin en determinadas jurisdicciones podra suponer un incremento de la carga regulatoria para la organizacin. As mismo, se debe evitar que los activos de informacin se alojen en pases con panoramas polticos o regulatorios inestables. Mientras que en las nubes privadas y comunitarias este problema es fcilmente abordable, el mayor reto se presenta con relacin a las nubes pblicas e hbridas. En el caso de las pblicas e hbridas, el cliente deber conocer, en primer lugar, dnde se podran tratar potencialmente los datos, es decir dnde estn los centros de proceso de datos del proveedor y, tras conocer del ambiente poltico y regulatorio existente u otras amenazas existentes (p.e. si es un lugar ssmico), deber analizar los riesgos que supondra la prestacin del servicio en esas condiciones. En cualquier caso, resulta fundamental establecer dnde se podrn tratar potencialmente los datos por parte del proveedor, determinando una lista blanca de pases autorizados. En otro orden de ideas, la organizacin debe tener garantas de que va a poder responder en tiempo y forma a los requerimientos de las autoridades administrativas y/o jurisdiccionales, que afecten a sus activos de informacin, por lo que es conveniente articular plazos y mecanismos de respuesta ante dichos requerimientos, que permitan al cliente cumplir con eventuales exigencias de dichas autoridades.
89
Estos aspectos se han agrupado dentro de un mismo apartado para facilitar su localizacin y consulta en el presente documento. Finalmente, se ha incluido tambin un apartado que resume las recomendaciones ms importantes de las proporcionadas en el anlisis de los aspectos mencionados.
Resolucin anticipada
Responsabilidad
Propiedad Intelectual
Contratacin
Auditabilidad
Confidencialidad
Seguridad
90
7.4 Confidencialidad
La contratacin en la nube exige en muchas ocasiones al prestador de servicios guardar la confidencialidad, no slo de los datos o contenidos que el cliente aloja en sus servidores o que desarrolla en dicho entorno, sino el hecho mismo de la contratacin. Dicha obligacin de confidencialidad debe vincular, adems de al propio prestador del servicio en la nube, tambin a sus empleados y/o colaboradores, respondiendo el proveedor de la actuacin negligente o dolosa de stos. En este sentido, es relevante que el acuerdo de prestacin de servicios que suscriba quien desea acceder a la nube incorpore esta previsin, haciendo expresa referencia a que el trmino Informacin Confidencial sea lo ms amplio posible, de tal manera que englobe toda la informacin referente al cliente, sus filiales o empresas de grupo, incluyendo los programas y las partes integrantes de dichos programas, sus procedimientos de desarrollo e implantacin, su know-how, estructura interna, organizacin empresarial, planes de negocios, informacin financiera, documentacin, diseos, invenciones, tecnologa, precios, ventas, y en general, toda la informacin a la que eventualmente pudiera tener acceso el prestador del servicio con causa en el contrato. De esta manera se cierran las eventuales salidas o vas de escape que el prestador del servicio pudiera tener en materia de responsabilidad en caso de incumplimiento. Otro de los puntos clave a tener en cuenta en materia de confidencialidad es la limitacin de los supuestos en los que el prestador del servicio podr revelar la informacin a terceros. Aunque la jurisdiccin especfica que vaya a regir el contrato podr contener previsiones especficas en este sentido, resulta conveniente limitar la revelacin de datos a efectos de cumplir obligaciones legales o de requerimientos de autoridades competentes. En todo caso, de proceder, la revelacin de datos o informacin ha de ser la mnima necesaria para cumplir con cualesquiera obligaciones legales o requerimientos. Igualmente, un dato a tener en cuenta en los supuestos en los que el tipo de informacin que se desea alojar en la nube sea extremadamente sensible para la organizacin es la posibilidad de exigir al proveedor del servicio que despliegue algn tipo de tecnologa que tenga como objetivo identificar, monitorizar y proteger los datos alojados, como, por ejemplo, sistemas de prevencin de fuga de datos o cualesquiera otros que cumplan tal fin. Asimismo, el establecimiento de medidas de seguridad en el acceso a datos por parte de empleados del prestador del servicio en la nube debe ser acotado y garantizado en funcin del tipo de informacin alojada, debiendo prever el contrato el control y trazabilidad en el acceso a informacin por aquellos.
91
Por ltimo, y en consideracin de los eventuales conflictos que pudiesen surgir, el cliente deber exigir al proveedor del servicio la incorporacin de una previsin que obligue a indemnizar al cliente por todos los daos de cualquier tipo causados, incluyendo los correspondientes gastos y costes y, de ser posible, la prefijacin de clusulas penales por tal concepto.
92
neracin del secreto de las comunicaciones en los supuestos en los que el servicio contratado en la nube tenga como contenido la provisin de comunicaciones entre usuarios. En este sentido, el contrato ha de reflejar que la propiedad intelectual sobre cualesquiera contenidos generados por el cliente o que ste pueda compartir en la nube (incluida documentacin comercial, cdigos, as como cualquier otro elemento relacionado o derivado de aqullos) pertenecer en todo momento al cliente, reteniendo ste la plena titularidad sobre los mismos, no estando facultado el proveedor para su utilizacin de ningn modo. Por tal motivo, el acuerdo no implicar en ningn caso la cesin de ningn derecho de propiedad intelectual a favor del proveedor, que ha de comprometerse a no copiar, plagiar, reproducir, ceder ni transmitir a terceros, parcialmente o en su totalidad, en ninguna forma ni por ningn medio.
7.6 Responsabilidad
Si existe un aspecto clave en todo contrato, adems del referido a las propias obligaciones asumidas por las partes, ste es el de la responsabilidad. Por este motivo, y a salvo de aquellas cuestiones que puedan quedar fuera del mbito de control o voluntad del prestador del servicio, ste ha de hacerse responsable frente al cliente de cualesquiera daos o perjuicios o de cualquier reclamacin que pudiera surgir o que traiga causa en la suscripcin del contrato. Por tal motivo, el prestador del servicio deber asumir y mantener indemne al cliente de cualquier dao o perjuicio sufrido. Uno de los puntos conflictivos en materia de responsabilidad es el referido a la concreta ley aplicable que rige el contrato. En caso de contratos sometidos a legislacin de corte anglosajn, son frecuentes las limitaciones de responsabilidad de los prestadores de servicio y, en particular, la determinacin de una cantidad econmica normalmente fijada en la cuanta desembolsada por el cliente en la contratacin de la prestacin del servicio-. Dichas previsiones son normalmente contrarias a las legislaciones de corte continental, las cuales permiten la limitacin por negligencia pero no por culpa o dolo. La incorporacin de una de estas previsiones en supuestos en los que el contrato est sometido a una legislacin de corte continental, devienen en nula dicha previsin.
67
93
Lo anterior es lo deseable, pero no siempre resulta posible. Por tal motivo, es recomendable asegurar que la resolucin anticipada del contrato sin causa no suponga un perjuicio econmico inasumible para el cliente en caso de que, por cualquier motivo, sea su deseo resolver anticipadamente el contrato. En este sentido, identificar cualquier penalizacin o exigencia de pago ntegro del servicio es crucial, a efectos de eliminarla del contrato cuando sea posible o, en caso contrario, asumir el riesgo implcito en ello. Sin perjuicio de lo anterior, en servicios en la nube, al objeto de garantizar la disponibilidad de acceso a la informacin por el cliente en todo momento, incluso en el momento de la extincin de la relacin, resultara necesario que el proveedor estuviese contractualmente obligado a cooperar en el marco de una migracin de datos a la nueva infraestructura que indique el cliente.
68
Este tema se aborda en este captulo de manera muy general puesto que ha sido analizado con detalle en el Captulo 4.
94
verse ampliadas en caso de que los centros de proceso de datos empleados por el proveedor de servicios en la nube se encuentren situados en el extranjero; y ello porque es habitual que las legislaciones de proteccin de datos incluyan restricciones a las transferencias internacionales de datos personales. Ante la imposibilidad de analizar todos los regmenes jurdicos vigentes, se analizar a continuacin el caso de la legislacin espaola, una de las ms detalladas, que regula el contenido mnimo del contrato en la LOPD, y en concreto en su artculo 12; as como en los artculos 21 y 22 de su Reglamento de desarrollo: Debe establecer que el proveedor de servicios en la nube, nicamente tratar los datos siguiendo las instrucciones del responsable del tratamiento. Debe recoger las finalidades del tratamiento de datos (que, como regla general, coincidirn con el objeto del contrato), y que no se aplicarn ni utilizarn los datos para ninguna finalidad distinta a la prevista. Debe figurar el nivel de seguridad aplicable a los ficheros, conforme a la clasificacin prevista en el artculo 81 del Reglamento de desarrollo de la LOPD; as como las medidas de seguridad que lleva aparejadas, que sern de obligada implementacin para el proveedor de servicios en la nube. Debe aclarar que no se comunicarn los datos a otras personas, ni siquiera para su conservacin. Sin perjuicio de lo anterior, y teniendo en cuenta que en la prestacin de estos servicios se utilizan servidores alquilados (hosting) o ubicados en instalaciones de terceros (housing), es altamente recomendable que la clusula incluya un apartado en el que se especifique: o Que la informacin puede ser almacenada y procesada en servidores que pertenezcan a o que estn ubicados en terceras empresas, nicamente por motivos tcnicos. o Que el tratamiento realizado por dichas terceras empresas se ajustar en todo caso a las instrucciones del responsable del fichero. o Que el proveedor de servicios de computacin en la nube se compromete a formalizar contratos con todas las terceras empresas que presten servicios conforme al artculo 12 de la LOPD. Debe dejarse constancia, finalmente, que en caso de que se rescinda el contrato, por cualquier causa, los datos de carcter personal debern ser destruidos o devueltos al responsable del tratamiento, salvo en aquellos casos en los que una previsin legal exija o permita su conservacin, en cuyo caso se conservarn debidamente bloqueados. Sin embargo, la firma de una clusula que incluya todos los contenidos anteriormente citados no resulta suficiente en la prctica para evitar posibles sanciones. El responsable del tratamiento, igualmente, deber velar por que el encargado del tratamiento rena las garantas para el cumplimiento de la legislacin vigente, lo que se traduce en una doble obligacin: elegir un proveedor de servicios adecuado, y asegu-
95
rarse de que cumple con la ley. Teniendo en cuenta la dificultad que esto entraa en la prctica, se hace recomendable aadir dos apartados ms a la clusula que nos ocupa: Uno en el que el proveedor de servicios declare reunir las garantas suficientes para cumplir la legislacin vigente en materia de proteccin de datos y, en especial, en relacin con las medidas de seguridad tcnicas y organizativas aplicables a los tratamientos a efectuar. Otro en el que se prevea la posibilidad de que el responsable de seguridad verifique el cumplimiento de la legislacin, y que se debe poner en relacin con la clusula relativa a auditabilidad, que veremos ms adelante. Por otra parte, y en el probable caso de que todos o parte de los servidores utilizados por el proveedor de servicios de computacin en la nube se encuentren ubicados fsicamente en Estados ajenos al Espacio Econmico Europeo, deber tenerse en cuenta el rgimen de transferencias internacionales de datos previsto en los artculos 33 y siguientes de la LOPD. Si adems, el Estado de destino no est reconocido como adecuado por la Comisin Europea o por la Agencia Espaola de Proteccin de Datos, puede ser necesaria la solicitud de una autorizacin al Director de dicha Agencia. Un proceso que, dependiendo de las circunstancias, puede llegar a ser largo y tedioso, a pesar de la existencia de una serie de clusulas contractuales tipo aprobadas por la Comisin Europea que han contribuido a su simplificacin. Por ltimo, y como apartado adicional, y en caso de que las partes acuerden que sea el proveedor de servicios en la nube quien realice la llevanza del documento de seguridad al que obliga el citado RLOPD, esta circunstancia se tendra que hacer constar igualmente en el contrato.
96
Lo que resulta recomendable, en todo caso, es hacer que los tribunales competentes estn siempre sometidos a la ley aplicable. Por ejemplo, carecera de sentido afirmar que la legislacin a aplicar es la del estado de Washington, pero que los conflictos deben ser dirimidos por los juzgados de Zaragoza, puesto que sera realmente complicado que el rgano espaol pudiese juzgar (y sobre todo, ejecutar la sentencia) en base a la legislacin norteamericana. Finalmente, debe tenerse en cuenta que esta clusula ser complementaria con la de resolucin de conflictos, a la que nos hemos referido con anterioridad, por lo que ambas deben redactarse con especial cuidado para evitar contradicciones.
7.10 Auditabilidad
Dentro de los factores relevantes a la hora de configurar la contratacin de servicios de computacin en la nube, uno de los que ha tenido entrada ms tarda, y probablemente menor atencin hasta hace poco, ha sido la auditabilidad, entendida como la capacidad por parte del cliente que contrata los servicios para auditar la actividad del proveedor. Expresado en estos trminos, se trata de un concepto de gran amplitud, y que puede alcanzar una elevada complejidad de puesta en prctica, por lo que se debe personalizar en cada caso y en cada contrato de servicios en la nube. Antes de entrar en la proposicin de parmetros de configuracin de la clusula de auditabilidad, hay que indicar que es importante que se configure de modo que no se solape o contradiga con el contenido del correspondiente Acuerdo de Nivel de Servicio. Entrando en la configuracin de la clusula, en primer lugar, los tipos de auditoras que se pueden incorporar a la correspondiente clusula seran las siguientes (Ilustracin 8):
1. Auditora de cumplimiento normativo. Aquella dirigida al cumplimiento de una obligacin legal que establezca la necesidad de realizar una auditora sobre un determinado mbito, alcance, controles, periodo, etc. 2. Auditora de cumplimiento de estndares, buenas prcticas y otras normas no legales. Aquella dirigida al cumplimiento de un requisito establecido en una norma de carcter no legal pero que el cliente ha decidido cumplir (por ejemplo, para obtener o mantener una certificacin).
97
3. Auditora de cumplimiento de las polticas propias del cliente. En muchas ocasiones, el cliente de computacin en la nube tiene un cuerpo normativo propio, que igualmente son objeto de auditora. (por ejemplo, normas de uso de correo, controles asociados al Cdigo tico, etc.). Por tanto, los proveedores de servicios en la nube debern tener la capacidad de responder a necesidades de auditora derivadas de cuerpos normativos internos del cliente. 4. Auditora sobre puntos de control establecidos en el propio contrato. En el propio de servicios en la nube se pueden incorporar necesidades especficas de auditora, en funcin del acuerdo entre las partes. No obstante, se deber verificar que no hay solapamientos ni contradicciones con el Acuerdo de Nivel de Servicio correspondiente. En segundo trmino, se pueden sealar una serie de factores crticos a valorar en la configuracin de la clusula de auditabilidad, que van a influir en el xito de la misma (Ilustracin 9):
Auditora a subcontratados
Factores crticos
Gastos generados
Alcance geogrfico
Resultados de la auditora
1. Alcance geogrfico. Se deben delimitar las ubicaciones fsicas del proveedor de servicios en la nube (por ejemplo, centros de procesos de datos) que en definitiva estn detrs de la nube y que se pretende auditar. 2. Capacidad de auditar a los subcontratistas del proveedor. Tan importante o ms, en ocasiones, que la capacidad de auditar al proveedor de servicios en la nube, puede ser el disponer de la capacidad para extender la auditora a sus proveedores crticos que tengan un impacto efectivo en dichos servicios.
98
3. Acceso a otras auditoras. En muchas ocasiones, el proveedor de servicios en la nube va a tener que realizar sus propias auditoras (por obligacin legal, estndares, poltica interna), por lo que se debe establecer si su cliente puede acceder a los resultados de tales auditoras. 4. Quin puede realizar la auditora (por s o por terceros). Si para el proveedor de servicios en la nube puede ser difcil de asimilar que su cliente le audite, ms lo puede ser el permitir que sea un externo contratado por el cliente quien lo haga, considerando incluso posibles vnculos con competidores. 5. Gastos generados. Quin asume los gastos que para el proveedor tiene la auditora exigida por su cliente? 6. Resultados de la auditora. En este sentido, se debe delimitar si el proveedor va a tener acceso al resultado de la auditora y si sta va a tener algn efecto sobre el contrato de computacin en la nube.
7.11 Seguridad
El planteamiento de base de la seguridad como parte de un servicio de computacin en la nube debera ser que no debe haber ningn sacrificio, menosprecio, minoracin, diferenciacin o desestimacin del concepto de seguridad por el hecho de que los servicios sobre los que se establece se presten en modo servicio en la nube. Una buena forma de afrontar la seguridad en un contrato de computacin en la nube puede ser tomar como punto de partida, previo a la configuracin y puesta en explotacin del servicio, la realizacin de un Anlisis de Riesgos que permita identificar aquellos riesgos prioritarios o ms relevantes para la organizacin antes de poner en prctica una estrategia de computacin en la nube69. De ese modo, se podrn incorporar al contrato de adquisicin de servicios en la nube aquellas medidas que permitan al cliente del servicio reducir los riesgos identificados hasta alcanzar el umbral de riesgo asumible que se haya fijado (teniendo en cuenta que cada organizacin tiene un perfil de riesgo diferente). En este sentido, la incorporacin de los factores relativos a seguridad en el contrato de computacin en la nube puede estructurarse, entre otras muchas formas, en base a los criterios de seguridad ACIDA70. A modo de ejemplo, se proponen como factores a incorporar:
69
70
Los anlisis de riesgos han sido analizados en relacin a la computacin en la nube en el Captulo 6. Sistemas de Gestin de la Seguridad de la Informacin en la nube. Acrnimo de las cinco dimensiones consideradas: A Autenticidad, C Confidencialidad, I Integridad, D Disponibilidad y A Auditabilidad.
99
Autenticidad
Confidencialidad
Integridad
Disponibilidad
De manera aadida, e introduciendo un concepto de gran inters desde hace un tiempo en el mbito de la privacidad, se podra aadir como un aspecto adicional (aunque sin considerarlo una dimensin de la seguridad), el principio de responsabilidad71. Este principio y su significado no tiene una relacin, ms all de la nominal, con la responsabilidad que se analizaba en un punto anterior, como se podr apreciar de la definicin conceptual que se recoge a continuacin. Y ello por cuanto que este principio vendra a suponer que quienes estn tratando o procesando informacin, tanto de datos personales como cualquier otra informacin sometida o afectada por algn tipo de normativa, debern aplicar medidas adecuadas y eficaces para poner en prctica los principios y obligaciones que establecera la normativa aplicable, y demostrar tal cumplimiento cuando as le sea exigido. En definitiva, el principio de responsabilidad incorpora dos elementos principales:
71
En ingls, accountability.
100
a necesidad de que el responsable de la informacin o del procesamiento de la misma adopte L medidas adecuadas y eficaces para cumplir los principios que se establezcan en la normativa aplicable a tales datos o a su tratamiento o procesamiento; a necesidad de demostrar, si as se requiere, que se han adoptado medidas adecuadas y L eficaces; as pues, el responsable de la informacin o del procesamiento de la misma deber generar pruebas de lo indicado en el punto anterior.
ANS
Indicadores
Mtrica
Penalizaciones / bonificaciones
101
Indicadores. Parmetros por los cules se va a medir el desempeo del servicio en la nube. Mtrica. Modo de representacin de los resultados obtenidos de los indicadores, teniendo en cuenta que un mismo indicador (por ejemplo, tiempo de indisponibilidad del servicio), puede contrastarse contra muchas referencias, dando lugar a diferentes mtricas (periodo temporal, criticidad del periodo en el que ocurre, servicios afectados, comparacin con la competencia, etc.). Penalizaciones / bonificaciones. Son aquellos efectos que se producen en el caso de que las mtricas alcancen determinados valores acordados por las partes, y que normalmente se traducen en un perjuicio / beneficio econmico para el proveedor. En cuanto a la eleccin de los indicadores que se pueden incorporar a un ANS, pueden ser tantos como servicios en la nube son posibles, teniendo en cuenta adems que, para un mismo servicio, puede haber diferentes indicadores, en funcin de las necesidades y expectativas de cada cliente (siempre que sea posible negociar los indicadores a utilizar, claro est). En todo caso, existen ciertos parmetros que pueden tener en cuenta en la seleccin de indicadores, de modo que los indicadores sean: Especficos. Cuanto ms especficos sean, ms se reduce el riesgo de conflicto. Medibles. Es fundamental que el modo de medir sea objetivo, para evitar discrepancias e incluso facilitar la auditabilidad por terceros. Alcanzables. Realmente pocos proveedores de servicios en la nube van a permitir indicadores no alcanzables si pueden conllevar penalizaciones. Realistas. Se debe tener en cuenta que los indicadores responden a expectativas, por lo que sern estas las que, en primer trmino, sean efectivamente realistas.
7.13 Recomendaciones
Como resumen, y a modo de recomendaciones del presente captulo, podramos considerar las siguientes: Confidencialidad: En materia de confidencialidad, es absolutamente relevante que el acuerdo de prestacin de servicios que suscriba quien desea acceder a la nube incorpore una previsin de confidencialidad, previendo que el trmino informacin confidencial sea lo ms amplio posible y salvaguarde al mximo los intereses de quien contrata. Asimismo, debe acordarse expresamente la limitacin de los supuestos en los que el prestador del servicio podr revelar la informacin a terceros. Propiedad Intelectual: En lo que a propiedad intelectual se refiere, el contrato ha de reflejar que la propiedad intelectual sobre cualesquiera contenidos generados por el cliente o que ste pueda compartir en la nube (incluida documentacin comercial, cdigos, as como cualquier otro elemento relacionado o derivado de aqullos) pertenecer en todo momento al cliente, reteniendo ste la plena titularidad sobre los mismos, y no estando facultado el proveedor para su utilizacin de ningn modo.
102
Responsabilidad: En materia de responsabilidad, y a salvo de aquellas cuestiones que puedan quedar fuera del mbito de control del prestador del servicio, ste ha de hacerse responsable frente al cliente de cualesquiera daos o perjuicios o de cualquier reclamacin que pudiera surgir o que traiga causa en la suscripcin del contrato, debiendo el prestador del servicio asumir y mantener indemne al cliente de cualquier dao o perjuicio sufrido. Resolucin anticipada: En lo relativo a resolucin anticipada, es recomendable que el cliente tenga una salida en el contrato que le permita salirse del mismo sin necesidad de alegar justa causa, mediante un simple preaviso. Esta previsin es absolutamente relevante en contratos que tienen como sustento la tecnologa porque lo que en una fecha puede ser apto para las necesidades del cliente, puede no serlo tanto en un futuro cercano. Privacidad y proteccin de datos: Se trata ste de uno de los mbitos ms delicados de la contratacin a la nube. El cliente de computacin en la nube debe analizar la legislacin aplicable al tratamiento de datos que realice, y comprobar si est legitimado para contratar el servicio. Para ello, deber identificar previamente su condicin de responsable o encargado del tratamiento. Exigir igualmente al proveedor de servicios en la nube garantas de su capacidad de cumplir con la legislacin y, adems, el contrato har constar que los datos sern tratados por cuenta del cliente y siguiendo sus instrucciones. Y ello, sin perjuicio de otros condicionantes fijados en la legislacin nacional, y de la obtencin las autorizaciones de transferencias internacionales que resulten necesarias. Ley aplicable y jurisdiccin: Partiendo de la base de que toda compaa debe aspirar a establecer como ley aplicable y jurisdiccin las que ms le convengan, que habitualmente sern aqullas ms cercanas a su sede, y que no siempre contar con capacidad de negociacin para lograrlo... cuando menos, deber velarse por que la ley aplicable y la jurisdiccin sean coincidentes. Auditabilidad: Este concepto se refiere a la capacidad por parte del cliente de servicios en la nube para auditar la actividad del proveedor. Es importante que se configure de modo que no se solape o contradiga con el ANS. Puede haber diferentes tipos de auditora (de cumplimiento normativo, de cumplimiento de estndares o buenas prcticas, etc.), y en su configuracin se han de considerar aspectos como el geogrfico, o la capacidad de auditar a los subcontratistas del proveedor. Seguridad: La contratacin de servicios en la nube no debe suponer sacrificio, menosprecio, minoracin, diferenciacin o desestimacin del concepto de seguridad. En este sentido, la incorporacin de los factores relativos a la seguridad en el contrato de computacin en la nube puede estructurarse, entre otras muchas formas, en base a los criterios de seguridad ACIDA. Acuerdo de Nivel de Servicio: Es fundamental tener en cuenta que el ANS viene a reflejar, sea negociado o no negociado, las expectativas del cliente en cuanto a qu espera del servicio en la nube que ha contratado. Es por ello que, tanto el cliente como el proveedor del servicio de computacin en la nube, deben de tener muy claro que entienden del mismo modo los indicadores, mtricas y penalizaciones / bonificaciones incorporadas al ANS.
103
8.1 Introduccin
Para aquellos profesionales del sector legal o de la informtica forense, la mera definicin del concepto de prueba electrnica o evidencia electrnica ya supone todo un debate, sobre todo por las consecuencias jurdicas que dicha definicin conlleva. Con el objetivo de evitar cualquier debate que pudiera distraernos del objetivo de nuestro estudio y con el fin de estandarizar los conceptos que trataremos en este apartado, definiremos la prueba electrnica como cualquier dato almacenado o transmitido en forma digital y que por sus caractersticas pudiera ser utilizado para probar algn hecho en un procedimiento judicial. Si bien es cierto que la computacin en la nube no es nicamente una plataforma de almacenamiento de informacin y archivos sino tambin un nuevo modelo de prestacin de servicios de negocio y tecnologa, a la hora de analizar el procedimiento de gestin de pruebas electrnicas de computacin en la nube, este documento se centrar bsicamente en la informacin y datos almacenados en este entorno y no como prestador de servicios, pues es del anlisis de los datos de donde obtendremos un conjunto de indicios que reconstruirn la cadena de acontecimientos constituyendo pruebas electrnicas. La informtica forense, cuyo objetivo es la aplicacin de tcnicas y metodologas que permitan identificar, extraer, preservar y analizar datos en formato electrnico que sean admisibles en un procedimiento legal, es un sector que cuenta con una ya reconocida madurez (sin referirnos a los aspectos jurdicos de la materia). Existen numerosas herramientas y metodologas en el mercado que facilitan cada una de las tareas relacionadas con la gestin de pruebas electrnicas. Aunque si bien, y dejando fuera de momento los aspectos jurdicos de la materia, las herramientas existentes facilitan de gran manera el trabajo a realizar, siempre existe un componente de complejidad atado al medio o repositorio tecnolgico en donde se encuentra la prueba electrnica. Esto es, la dificultad de extraer, de forma forense, un fichero del disco duro de un porttil no es la misma que extraer el registro de una base de datos de diversos terabytes que a su vez se encuentra almacenada en una arquitectura de almacenamiento del tipo RAID. Sin duda alguna, es este ltimo aspecto el que nos lleva a desarrollar este apartado, la dificultad que conlleva trabajar con pruebas electrnicas ubicadas en entornos de computacin en la nube est definida en su mayor parte por los retos que supone trabajar con las arquitecturas que permiten que nuestras soluciones o servicios en la nube sean escalables, econmicos, eficaces, etc.
105
Finalmente, el ltimo apartado del captulo presenta un resumen de las principales recomendaciones identificadas a lo largo de todo el captulo presente.
Responsabilidad compartida
Arquitecturas
Evidencias
Multiposesiin
Distribucin geogrfica
Finalmente, se incluye como Anexo III, el tratamiento que recibe la prueba electrnica en el marco legal Espaol.
8.3 La problemtica
Las caractersticas del diseo que nos permiten acceder a las ventajas tpicas de los entornos de computacin en la nube se convierten, a su vez, en los grandes retos tecnolgicos a afrontar en la obtencin de pruebas electrnicas en este tipo de arquitecturas. Aunque si bien dichos retos se han ido afrontando a lo largo de los aos, en arquitecturas similares, mediante la variacin de tcnicas utilizadas en la informtica forense tradicional, an existen retos que se acentan con la adopcin masiva de la computacin en la nube.
Por otro lado, el modelo de computacin en la nube pasa a ser un modelo compartido, en el que los datos siguen siendo propiedad de los clientes pero las aplicaciones o servicios que gestionan estos datos pueden ser propiedad del proveedor y por tanto: Es ms difcil determinar cmo o con quien debe contactarse en caso de que se produzca una incidencia de seguridad o cualquier otro evento que requiera una investigacin forense. Ser ms complicado implantar metodologas de forensic readiness que permitan establecer el sistema de respuesta a incidentes que ms se adecue a nuestra organizacin. Es probable que existan problemas de jurisdiccin en cuanto a la ubicacin geogrfica en la que se almacenan los datos y que por tanto pudieran convertirse en impedimentos para la garanta de la cadena de custodia. Adicionalmente, la facilidad de contratar servicios on-the-go de varios proveedores de computacin en la nube puede significar que en algn momento los clientes se encuentren utilizando servicios de algn proveedor desconocido y que, por tanto, se complique la toma de contacto con el mismo en caso de algn incidente.
8.3.2 Multiposesin
Uno de los procedimientos ms eficaces y comnmente utilizados para la gestin de pruebas electrnicas en entornos tradicionales es la copia forense del o de los discos duros que almacenan aquellos datos que pueden convertirse en pruebas digitales. Una vez se dispone de la copia del dispositivo, y siempre siguiendo las metodologas que permitirn garantizar la admisibilidad de la prueba, el analista poda proceder con calma a realizar el anlisis en todo el disco para poder as localizar las pruebas ms adecuadas para la investigacin (offline forensic). Este tipo de anlisis tiene como objetivo, no solo identificar las pruebas electrnicas ms relevantes para la investigacin, sino tambin adquirir aquellas pruebas electrnicas de entorno que permitirn ratificar, si fuese necesario, la veracidad o autenticidad de la prueba principal. Evidentemente, el escenario ideal es aquel en el que el investigador tiene acceso total al disco o dispositivo en donde se encuentran todos los datos relevantes para la investigacin. Sin embargo, dada la caracterstica de multi-posesin que suelen tener casi todos los servicios en la nube, es muy probable que en una misma infraestructura se encuentren datos de distintos clientes y que no cuenten con garantas absolutas de aislamiento. Es por esto que, dado que el proveedor tendr la necesidad de garantizar la privacidad y seguridad de sus clientes, la posibilidad de que el proveedor nos permita un acceso completo a la arquitectura que almacena nuestros datos es muy poco probable.
107
de computacin en la nube. Una vez que los datos salen de la infraestructura del cliente, y a no ser que se haya estipulado previamente, el cliente pierde parcial o completamente la trazabilidad sobre la ubicacin de su informacin con las siguientes consecuencias: Si no se conoce la ubicacin de las pruebas, no se pueden establecer las metodologas adecuadas para adquirirlas. Es posible que se omitan, por desconocimiento de su existencia, pruebas que estn distribuidas y que por tanto su identificacin sea imposible.
108
109
La mitigacin de la materializacin de este riesgo pasa, nuevamente, por minimizar la dependencia del consumidor con la infraestructura de servicios y subsistemas en la nube. Cuanto ms opaco sea nuestro servicio a los ojos del proveedor menor ser este riesgo derivado de la migracin a un entorno en la nube. El cliente no debe olvidar, no obstante, que es mejor depender de los subsistemas del proveedor de servicios en la nube cuando no se disponen de soluciones maduras y robustas internamente. De lo contrario, el riesgo se materializara por carencias en nuestros propios subsistemas.
110
La mitigacin de este riesgo inherente al modelo de computacin en la nube pasa por incorporar, por parte del consumidor, unos niveles mnimos de trazabilidad en las capas de aplicacin y negocio acordes al servicio desplegado en la infraestructura de computacin en la nube. Lgicamente, esto va en contra de la facilidad de uso y la reduccin de costes que promete el modelo de computacin en la nube. Por ello, el consumidor debe valorar todas las iniciativas en este aspecto que su proveedor ofrezca.
8.5 Recomendaciones
Como resumen de lo mencionado anteriormente en relacin a las evidencias electrnicas en entornos de computacin en la nube, cabra destacar las siguientes recomendaciones desde la perspectiva del cliente: Requiera al proveedor la aplicacin de un protocolo de respuesta. Asegrese de que su proveedor es capaz de congelar la prueba, conservando ntegramente el cien por cien. Requiera al proveedor que los registros de uso de las APIs en entornos distribuidos se realicen con fuentes de tiempo confiables y sincronizadas. Prepare con el proveedor de computacin en la nube la posibilidad de disponer de un protocolo de entrega a sus clientes de una copia de esas imgenes para su investigacin. Asegrese de que el proveedor cuenta internamente con equipos de respuesta a incidentes y prevencin del fraude. Revise los ANS para blindarse ante la prdida de datos. Los clientes y proveedores de computacin en la nube deben comprender mutuamente las funciones y responsabilidades de cada uno en relacin con la gestin de pruebas electrnicas, incluyendo actividades como la preservacin de documentos debido a litigio, bsquedas de descubrimiento, quin presta testimonio experto, etc. El proveedor de servicios en la nube y el cliente deberan disponer de un proceso unificado para responder a citaciones, emplazamientos y otras solicitudes legales. Aunque el proveedor disponga de un nivel de trazabilidad excelente, el cliente pocas veces tiene acceso y el proveedor que s lo tiene, pocas veces tiene la motivacin necesaria para invertir recursos en el anlisis de dichos registros. Se recomienda el anlisis de la oferta del mercado de cara a identificar posibles soluciones de terceros de confianza que permitan a los clientes obtener la trazabilidad mnima e indispensable. Los clientes y proveedores debern conocer los procedimientos ms elementales concernientes a la gestin de pruebas electrnicas desde la etapa de identificacin, recoleccin y anlisis de las pruebas hasta su potencial presentacin en un posible litigio.
111
9.1 Introduccin
Las auditoras generalmente se enfocan en proveer garantas, lo que normalmente involucra evaluar la efectividad de los controles que revelan informacin acerca de la conducta de uno o ms procesos de negocio. Todas las compaas cotizadas deben realizar auditoras internas para garantizar la efectividad de sus controles para los propsitos de subsecuentes auditoras financieras o de revisin de polticas internas. Sin embargo, el entorno de provisin de servicios TIC a travs de la nube presenta caractersticas especficas diferenciales frente a otros entornos de provisin de servicios TIC. Estas diferencias sugieren la necesidad de revisar la forma en que la funcin auditora puede cumplir sus fines en este nuevo entorno, as como la de adaptar la operativa concreta aplicable al mismo: herramientas, metodologas, responsabilidades, colaboraciones, etc. Estas caractersticas diferenciales estn estrechamente ligadas con los modelos de nube definidas por la Cloud Security Alliance (Pblica, Privada, Hbrida o Compartida) [CSA, 2009]. A efectos de la funcin de auditora se pueden listar las siguientes caractersticas diferenciales de los entornos de computacin en la nube respecto a los que no lo son: 1. Los elementos incluidos en el programa de auditora pueden estar fsicamente ubicados en una o ms instalaciones, incluso separadas geogrficamente entre s. De esta forma, la posibilidad de que un equipo auditor realice su labor presencialmente requiere de mayor esfuerzo, complejidad y por consiguiente en mayores costes. 2. Debido a la distribucin geogrfica de los recursos de la nube, la accin auditora deber seleccionar cules de aqullos marcos jurdicos involucrados deben ser considerados. 3. Debido a que los elementos fsicos incluidos en el programa de auditora no son propiedad del cliente auditado (ni su uso es privativo por l), en entornos compartidos como es la nube (multi-inquilino), existirn recursos lgicos de otros clientes que queden excluidos del alcance de la accin auditora. En general, los auditores internos y externos para la nube buscarn las suficientes garantas basadas en el riesgo evaluado de los controles operacionales en toda la cadena de proveedores. Por ejemplo, los auditores internos y externos para un proveedor SaaS que a su vez utiliza un IaaS requerirn las suficientes garantas de este ltimo en controles tales como la continuidad del negocio o los procesos de seguridad. Adicionalmente, hay otros elementos que, si bien forman parte del modelo de computacin en la nube, no resultan diferenciales sobre otros ecosistemas TIC existentes. Para estos, son aplicables las metodologas tradicionales de auditora:
113
Prestacin de servicios TIC a travs de un tercero, modelado mediante un Acuerdo de Nivel de Servicio (ANS). Incluyendo: o Gestin y resolucin de conflictos entre proveedor y clientes, o Albergado de datos, servicios y recursos TIC en instalaciones de un tercero (considerado individualmente, un tercero y uno cualquiera de los Centros de Procesamiento de Datos de un servidor de computacin en la nube). o Responsabilidad del prestador del servicio por deficiencias en el mismo. o Seguimiento del cumplimiento del ANS, y aplicacin de medidas correctivas o compensatorias en su caso. o Finalizacin de los contratos. Acceso a datos propios por terceros, incluyendo personal y proveedores del proveedor del cliente. Exportacin / importacin de datos de carcter personal entre pases. Riesgos reputacionales o de fraude por dependencias de terceros. Es importante resaltar que el resto de esta seccin no pretende dar un cuestionario o lista de verificacin para realizar una auditora de servicios en la nube, sino mostrar las diferentes metodologas y tecnologas existentes o que se estn desarrollando actualmente e indicar mejores prcticas de auditora en el nuevo entorno. En este cambio de paradigma, las TIC ya no se encuentran en el lmite fsico de las organizaciones, sino que estn dispersas en muchos casos en diversos territorios, cada uno con legislaciones especficas ms o menos restrictivas en trminos de manejo de privacidad, polticas de gobernabilidad de informacin, etc.
114
Eleccin de marco
Ejecucin de pruebas
Recomendaciones
Difusin de resultados
Tabla 4. Necesidad de metodologas y tecnologas de auditora diferenciadas por el modelo de computacin en la nube.
Nube Pblica Auditora fsica de las ubicaciones Aplicacin de marcos jurdicos transnacionales Uso compartido de sistemas TIC por otros clientes Acceso a servicios a travs de Internet Jurisdiccin aplicable para conflictos. Capacidad negociadora entre las partes ++ = Necesario, + = Opcional, NO = No necesario 9. Auditora de entornos de computacin en la nube 115 ++ ++ ++ ++ ++ + Nube Privada NO NO NO + NO NO Nube Hbrida + + NO + + NO Nube Comunitaria ++ ++ + + + NO
Partiendo de la tabla anterior, se puede comentar adicionalmente que las principales reas a auditar en un modelo de computacin en la nube son las siguientes: Gobernanza de las TIC Cumplimiento (Normativo y Contractual)72 Privacidad 73 Seguridad de TIC74 Gestin de operaciones (Red) Plan de contingencia En el Anexo IV se incluye un anlisis pormenorizado de las metodologas y tecnologas diferenciadas que pueden utilizarse para la computacin en la nube, tomando en cuenta sus principales ventajas e inconvenientes desde una perspectiva prctica. Estas metodologas o programas de auditora pueden ser utilizadas indistintamente por clientes y proveedores de servicios en la nube. Asimismo, se observa que son lo suficientemente genricas para los distintos modelos de servicio y de aprovisionamiento, de forma que no es necesario hacer distinciones para su utilizacin entre estos. Los auditores internos y externos para la computacin en la nube buscarn las suficientes garantas evaluando el riesgo de los controles operacionales en toda la cadena de proveedores. Por ejemplo, los auditores internos y externos para un proveedor SaaS que a su vez utiliza un IaaS requerirn las suficientes garantas de este ltimo en controles tales como la continuidad del negocio y los procesos de seguridad. Regularmente para un proveedor IaaS es costoso (tiempo y dinero) el llevar a cabo estas labores de auditora, por lo cual puede optar por elegir alguna otra opcin para proveer las garantas pertinentes sin tener que dar respuesta a todas y cada una de las peticiones individuales de auditora. En este punto surgen las Public Auditing Services (PAS)75 y Third Party Auditors (TPA)76 que es una forma de auditora que ha surgido para garantizar la seguridad de los servicios en la nube -y en particular, la relacionada con los datos almacenados y los procesos que se ejecutan en estos sistemas-. Sus principales ventajas y desventajas se muestran en la Tabla 5.
Desventajas
- Por su naturaleza misma, los PAS y TPA pueden representar en si un riesgo para los datos personales de los clientes almacenados en el proveedor que auditan. - Posibilidad de carencia de independencia en el caso de que sean contratados o tengan alguna relacin directa con el proveedor.
76
72 73
74 75
116
9.4 Recomendaciones
Esta seccin recoge una serie de recomendaciones y mejores prcticas sobre metodologas y tecnologas de auditora para la computacin en la nube, esperando servir de gua no solamente para los clientes, sino tambin para los proveedores mismos. Estas recomendaciones se ordenan en tres lneas de actuacin diferenciadas, tal y como se muestra en la ilustracin a continuacin. Cabe resaltar que dichas lneas de actuacin son aplicables tanto a los modelos de servicio como de aprovisionamiento de computacin en la nube.
77 78
Estos aspectos se tratan en mayor detalle en el Captulo 4 destinado a la privacidad. Los Acuerdos de Nivel de Servicio se analizan en detalle en el apartado 7.12.
117
El auditor deber verificar la existencia y el uso de herramientas que protejan la integridad y completitud de ficheros de registros utilizados por el proveedor de servicios en la nube, para prevenir y/o detectar cualquier intento de manipulacin. Al hacer sus valoraciones, el auditor debe evaluar toda la cadena de confianza que va desde la fuente (creacin) de la informacin de los registros, pasando por la medidas de proteccin utilizadas en la transmisin de dicha informacin (HTTPS, TLS, etc.) hasta el tipo de proteccin de integridad (criptogrfica o de otro tipo) utilizada y la cronologa de dichos ficheros. En el mbito de colaboracin con el proveedor de servicios en la nube, y buscando minimizar el impacto en recursos y operaciones del proveedor que pueden suponer las distintas acciones auditoras por parte de sus distintos clientes, el equipo auditor se adaptar a los calendarios y ventanas de auditora que establezca el proveedor de forma que sus distintos clientes puedan compartir para sus diversos fines los resultados de actividades auditoras realizadas en dicho calendario.
118
Glosario
Acuerdo de Nivel de Servicio (ANS) Contrato escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho servicio. El ANS es una herramienta que ayuda a ambas partes a llegar a un consenso en trminos del nivel de calidad del servicio, en aspectos tales como tiempo de respuesta, disponibilidad horaria, documentacin disponible, personal asignado al servicio, etc. Auditabilidad Entendida como la capacidad por parte del cliente que contrata los servicios en la nube para auditar la actividad del proveedor. Binding Corporate Rules Ver Normas Corporativas Vinculantes. IaaS (Infrastructure as a Service) Modelo de computacin en la nube en el que la infraestructura se utiliza como servicio. ISAE 3402
Forensic readiness Habilidad de una organizacin para maximizar su potencial para usar evidencias digitales minimizando los costes de la investigacin. Matriz RACI Herramienta que identifica tareas a realizar en una materia y asigna a los roles pertinentes que se definan en la organizacin una funcin sobre esa tarea. El nombre de la herramienta deriva de las iniciales en ingls de los tipos de funciones que se asignan: R Responsible, A Accountable, C Consulted, I Informed. En ocasiones, se utiliza la variante RASCI, que incluye el rol de soporte (S Supported). Modelo SPI Tipificacin de modelos generales de implantacin de servicios en la nube en tres categoras que dan nombre al modelo: SaaS Software as a Service, PaaS Platform as a Service, IaaS Infrastructure as a Service. Multi-inquilino
Ver la definicin de SAS70. Evidencia electrnica Cualquier dato almacenado o transmitido en forma digital y que por sus caractersticas pudiera ser utilizado para probar algn hecho en un procedimiento judicial. Propiedad de la computacin en la nube que consiste en la existencia de varios clientes en un mismo sistema (del ingls, multi-tenant).
10. Glosario
120
Normas Corporativas Vinculantes Desarrolladas por el Grupo de Trabajo del Artculo 29, permiten a corporaciones multinacionales realizar transferencias internacionales intracompaa de datos de carcter personal cumpliendo con la legislacin a. Notarizacin digital Sistema que permite dar fe de algn aspecto de manera electrnica. PaaS (Platform as a Service) Modelo de computacin en la nube en el que la plataforma se utiliza como servicio. Prueba electrnica Cualquier dato almacenado o transmitido en forma digital y que por sus caractersticas pudiera ser utilizado para probar algn hecho en un procedimiento judicial. SaaS (Software as a Service) Modelo de computacin en la nube en el que los programas, el software se utiliza como servicio.
SAS 70 Statement on Auditing Standards No.70: Service Organizations. Proporciona gua a los auditores cuando estn evaluando los controles internos de un proveedor de servicios y emitiendo un informe en consecuencia. Sellado de tiempo Protocolo on-line descrito en el RFC 3161 que permite demostrar que una serie de datos han existido y no han sido alterados desde un instante especfico en el tiempo. Trusted Computing Base (TCB) Conjunto de componentes hardware, middleware y/o software crticos para la seguridad del sistema. VA Aplicativos Virtuales diseados para ejecutarse en plataformas virtualizadas. VM Mquinas virtuales. Instalacin de un sistema operativo aislado en el sistema operativo normal.
10. Glosario
121
Referencias
[CSA, 2009] Cloud Security Alliance, diciembre 2009. Security Guidance for Critical Areas of Focus in Cloud Computing v2.1. [CSA, marzo 2010] Cloud Security Alliance, marzo 2010. Top Threats to Cloud Computing v1.0 [CSA, diciembre 2010] Cloud Security Alliance, diciembre 2010. Cloud Security Alliance launches Cloud Controls Matrix (CCM) 1.1. [Directiva 1995] Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la proteccin de las personas fsicas en lo que respecta al tratamiento de datos personales y a la libre circulacin de estos datos. [ENISA, 2009] European Network and Information Security Agency, noviembre 2009. Cloud Computing Information Assurance Framework. [ENISA, 2011] European Network and Information Security Agency, 2011. Cloud Computing Information Assurance Framework. [Inteco, 2011] INTECO-CERT, marzo 2011. Riesgos y Amenazas en Cloud Computing.
[ISACA, 2010] ISACA, 2010. Cloud Computing Management Audit/Assurance Program. [ISO 27001] International Organizacin for Standardization, octubre 2005. ISO/IEC 27001:2005 Information technology -- Security techniques -- Information security management systems Requirements. [ISO 27002] International Organizacin for Standardization, junio 2005. ISO/IEC 27002:2005 Information technology -- Security techniques -- Code of practice for information security management. [NIST, 2011] National Institute of Standards and Technology, enero 2011. Guidelines on Security and Privacy in Public Cloud Computing. [RLOPD] Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgnica 15/1999, de 13 de diciembre, de proteccin de datos de carcter personal. [WPF, 2009] World Privacy Forum, febrero 2009. Privacy in the Clouds: Risks to Privacy and Confidentiality from Cloud Computing.
11. Referencias
123
Anexos
12. Anexos
125
Soluciones Integradas: Adems de estas tecnologas, existen otras especficas que se integran con el hipervisor y lo protegen frente a ataques de rootkits que inyectan malware en el hipervisor. Soluciones Simplificadas (Redefinicin, Reingeniera): Otros enfoques estn orientados hacia la simplificacin/inhabilitacin de componentes a priori innecesarios que pueden mejorar la seguridad de los hipervisores reduciendo la tasa de riesgo a travs de la denominada Trusted Computing Base (TCB). Precisamente, debido a la carga de cdigo innecesario en la TCB, los hipervisores pueden verse expuestos a distintos ataques: o Ataques desde mquinas virtuales invitadas. o Ataques fsicos. taques procedentes de la subcontratacin de terceros (proveedores de servicios en la nube). A Las tecnologas que mitigan los riesgos introducidos por hipervisor reducen el mbito del ataque a la TCB minimizando la interfaz entre la TCB y la mquina virtual invitada. Incluso si la vulnerabilidad existe dentro de la TCB, el sistema sigue siendo seguro, siempre y cuando el atacante no pueda explotarla. Implica re-pensar el diseo del hipervisor para escenarios en la nube, eliminando dispositivos virtuales innecesarios.
12. Anexos
126
Nombre de la amenaza
Aunque no es una amenaza exclusiva de entornos de computacin en la nube, si adquiere en stos particular relevancia.
Al estar los servicios IaaS basados en la virtualizacin sobre sistemas operativos estndar, el lock In, aunque existente, es fcil de migrar la aplicacin y sus datos a otro proveedor con una complejidad similar al cambiar de mquina fsica. En consecuencia, la necesidad de conocimiento de las herramientas de gestin, es asimilable al cambio de fabricante de HW. Se ha de evaluar qu funcionalidades especficas del proveedor sean fcilmente sustituibles por otras de otros proveedores. Por ejemplo, los balanceadores de carga. En SaaS, los datos y la aplicacin estn en un formato En los PaaS, cada uno ofrece definido por el proveedor, un lenguaje ms o menos el cambio a otro proveedor especifico, por tanto, cambiar de implicara el mismo esfuerzo PaaS puede implicar reescribir que el cambio de aplicativos por completo la aplicacin en en modelos tradicionales caso de incompatibilidad o (otro modelo de ERP / CRM / hacer cambios menores para etc.) Cuanto ms estndar sea adaptarse a las especificidades nuestra necesidad cubierta por de cada proveedor. el servicio SaaS, ms fcil ser reubicarlo en otro proveedor. Procurar utilizar operativas mediante lenguajes estndar y controlar los aspectos especficos del proveedor, abstrayndolos en lo posible.
Bloqueo en el proveedor
Asegurar que existen sistemas de exportacin de todos los datos importantes a formatos interoperables.
Prdida de gobierno
Esta amenaza tiene mayor incidencia en la evaluacin de riesgo respecto al modelo tradicional debido a que cedemos parte de la gestin a otras compaas que tendrn sus propios estndares de gobierno.
La prdida de control afecta a la infraestructura y los datos. La prdida de control afecta a la infraestructura, el servidor de aplicaciones y los datos. La prdida de control afecta a la infraestructura, el servidor de aplicaciones, la propia la aplicacin y los datos.
Asegurar, va contrato, que se establecen medios de gobierno compatibles con los de tu compaa y trabajar como si no se estuvieran cumpliendo en activos de impacto alto.
12. Anexos
127
Esta amenaza existe siempre, pero en entornos de computacin en la nube tenemos que asegurar mediante contrato que hemos obrado correctamente. Incumplimientos normativos
La mayora de proveedores permiten conocer dnde estn los datos y qu procesos usan, pero el entorno aumenta la complejidad de las auditorias por terceras partes debido a la existencia de nuevos actores. Cifrar los datos almacenados de forma que el proveedor no pueda acceder a ellos. Lgicamente, se deber controlar la clave privada. Es ms complicado auditar cmo se guardan los datos y dnde, an as, la aplicacin desarrollada debera incorporar contramedidas. Nos basamos en el grado de cumplimiento del proveedor y en los controles que, como usuarios de aplicacin, podamos establecer. Aunque solo se tenga acceso a la administracin de la aplicacin, se debern establecer las medidas que se puedan a este nivel y asegurar el resto mediante contrato y revisin peridica.
Implantar las contramedidas en la aplicacin a desarrollar para evitar incumplir alguna norma, aunque el proveedor tenga algn incidente de seguridad.
Al compartir infraestructura con otros, sus actividades pueden afectarnos. De igual forma que los vecinos de nuestro lugar de trabajo, de alguna forma, afectan a la reputacin del negocio.
Aunque el servicio solo sea a nivel de infraestructura, puede producirse, por ejemplo, al compartir infraestructura con otro cliente que realice actividades de spammer puesto que podra afectar a nuestras tasas de entrega de correo y por revelacin de datos.
Lo mismo puede ocurrir si lo que se comparte es el servidor de aplicaciones y por revelacin de datos.
Existe una gran dependencia del servicio concreto, pero, en cualquier caso, hemos de asegurar que el proveedor no tolere comportamientos que consideremos inadecuados mediante correctas polticas de acceso y requerimientos de buen uso controlados.
La adquisicin no tiene por qu ser perjudicial en s misma, pero se ha de evaluar el grado de trasparencia para los clientes hospedados. En caso de que se entienda que aumenta significativamente los niveles de riesgo evaluados con el antiguo propietario, deberemos actuar como en el caso de fallo o cierre.
Si el bloqueo (lock in) con el proveedor lo mantenemos a niveles controlados, el riesgo sera que fallara o cesara su actividad sin darnos tiempo a ejecutar las contramedidas necesarias para mover los procesos all alojados a otro proveedor. Disponer de los datos en formato neutro de proveedor en un almacenamiento local o de un tercero independiente, por ejemplo, fuera del centro de procesamiento de datos/proveedor donde tenemos el servicio.
12. Anexos
128
La adquisicin no tiene por qu ser perjudicial en s misma, pero se ha de evaluar el grado de trasparencia para los clientes hospedados. En caso de que se entienda que aumenta significativamente los niveles de riesgo evaluados con el antiguo propietario, deberemos actuar como en el caso de fallo o cierre.
Si el bloqueo (lock in) con el proveedor lo mantenemos a niveles controlados, el riesgo sera que fallara o cesara su actividad sin darnos tiempo a ejecutar las contramedidas necesarias para mover los procesos all alojados a otro proveedor. En cualquier caso tenemos que tener habilitados estos procesos que acten de contramedida, en especial la realizacin de una correcta Due Dilligence en el proceso de seleccin del proveedor. Disponer de los datos en formato neutro de proveedor en un almacenamiento local o de un tercero independiente, por ejemplo, fuera del centro de procesamiento de datos/proveedor donde tenemos el servicio. Existe una gran dependencia del servicio concreto, pero, en cualquier caso, hemos de asegurar que el proveedor no tolere comportamientos que consideremos inadecuados mediante correctas polticas de acceso y requerimientos de buen uso controlados.
Si el proveedor subcontrata determinadas tareas a terceros, la seguridad total es la del elemento ms dbil.
En IaaS, se ha de mantener controlada nuestra infraestructura por si hay elementos maliciosos en el proveedor. En PaaS, no solo se han de tener en cuenta los elementos de IaaS, sino todas las dependencias que existan en la aplicacin. Planificar para el fallo y validar la integridad de las mismas y los datos. En SaaS, aunque subyacen las consideraciones de PaaS e IaaS, generalmente estamos limitados a lo que soporta el proveedor.
Asegurar contractualmente que todas las subcontrataciones, al menos, mantendrn el nivel de seguridad.
Al compartir infraestructura con otros, sus actividades pueden afectarnos. Si el control de recursos no es adecuado, algunos usuarios pueden copar su uso.
Podemos encontrarnos con que se reduce el rendimiento de los servidores o, en caso de cada, que no puedan reiniciarse. El efecto habitual sera la reduccin del rendimiento de la aplicacin. El efecto sera la reduccin del rendimiento del servicio. Asegurar, va contrato, la utilizacin y adhesin a mtricas de rendimiento a nivel de experiencia de usuario. Por ejemplo, en el 95% de las ocasiones, la carga de un pedido tarda menos de 2 segundos.
Asegurar, va contrato, la utilizacin y adhesin a mtricas de rendimiento y de capacidad adicional. Por ejemplo, reserva adicional del 10% comprometido.
12. Anexos
129
El modelo de computacin en la nube incrementa este riesgo ya que, potencialmente, existen ms actores que pueden tener acceso al repositorio de los datos, adems de difuminar el permetro de proteccin. Prdida o fuga de datos
Perdemos control sobre los mtodos de baja de servicio o control de acceso a los APIs. Lo recomendable sera cifrar todos los datos, en trnsito y almacenados, asegurar procedimientos fiables de desprovisin de servicio, utilizar mtodos de autenticacin seguros e impedir el uso de mecanismos dbiles de autenticacin. Adems de lo comentado para IaaS, debemos controlar cmo escribimos los datos y validar que el cdigo que se ejecuta es el nuestro. Perdemos control sobre las formas de almacenaje y/o cdigo para acceder, debemos asegurar por contrato/auditoria que se establecen las prcticas adecuadas. Todos los datos que el servicio permita que sean opacos, los podemos cifrar y, para el acceso, deshabilitar los sistemas dbiles de autenticacin, dejando nicamente activos los robustos.
Se debera firmar el cdigo y comprobar la firma en ejecucin para tener una cierta garanta de que nadie ha tocado nuestro cdigo para acceder a los datos ya protegidos.
Para todos nuestros servicios pblicos en Internet, los servicios de computacin en la nube reducen el riesgo de afectacin ya que podemos dimensionar la capacidad de forma mucho ms gil y minimizar el impacto de los ataques DDoS.
Para los servicios IaaS, si son pblicos, nos puede afectar a nosotros, y si son privados aunque en infraestructura pblica, nos pueden afectar tambin los posibles ataques a nuestros vecinos que agoten los recursos del proveedor. Evitar en lo posible exposiciones del servicio a la red pblica, ya sea con VPN o redes dedicadas hasta el proveedor de servicio. En el modo PaaS, donde se dimensionan los recursos en base a demanda, el riesgo lo tenemos en la sobresuscripcin que pueda haber hecho el proveedor. Va contrato asegurar una garanta de rendimiento que nos independice de los posibles ataques a los vecinos. Por modelo de negocio, los proveedores SaaS publican el servicio mediante Internet, as que un ataque exitoso nos afectar si afecta al servicio del proveedor. Exigir al proveedor que disponga de mtodos de mitigacin de ataques y tenga en la lista blanca de IPs a nuestras sedes.
Al ser uno de los principios de computacin en la nube que sea ofrecido con autoprovisin y autogestin, si un ente malicioso obtiene acceso a nuestras credenciales puede realizar cualquier accin que podamos hacer nosotros.
Aunque se proveen servicios de infraestructura, se pueden borrar datos, parar mquinas o implantar malware que no detectemos a tiempo. Utilizar mtodos fuertes de autenticacin, comunicaciones cifradas, e implantar medidas para comprobar la integridad de nuestros servicios. En un PaaS a parte de obtener los datos, pueden modificar el cdigo para obtener nuevas credenciales o realizar otras acciones. Utilizar mtodos fuertes de autenticacin, utilizar comunicaciones cifradas e implantar medidas para comprobar la integridad de nuestro cdigo. Obtienen acceso a los datos y pueden realizar acciones que afecten al negocio. Por ejemplo enviar un correo en nombre de un empleado a un cliente. Utilizar mtodos fuertes de autenticacin y utilizar comunicaciones cifradas.
12. Anexos
130
Al externalizar parte o toda la gestin a un tercero, perdemos el control de qu equipos ofrecen el servicio, versiones de software, controles de acceso, etc
En este caso, al ser el problema el desconocimiento, lo tenemos en todos los escenarios SPI en mayor o menor medida. Con objeto de mitigarlo, lo nico que podemos hacer es disminuir los mbitos de desconocimiento. Realizar una correcta due dilligence en el proceso de contratacin del proveedor con objeto de reducir los mbitos de desconocimiento. Asegurar que el proveedor avise en caso de detectar alguna anomala con efectos en mbitos de seguridad, manteniendo unos contenidos y flujos de informacin giles y preestablecidos.
Al externalizar parte o toda la gestin a un tercero, perdemos el control de qu equipos ofrecen el servicio y donde estn, con lo que algunas legislaciones de la que no tengamos constancia pueden obligar a nuestro proveedor a ofrecer datos o entregar los equipos, provocando un fuga de datos o denegacin de servicio.
En este caso, al ser el problema la legislacin, lo tenemos en todos los escenarios SPI en mayor o menor medida. Para mitigarlo, debemos conocer las legislaciones que pueden aplicar, solicitando al proveedor que no mueva los servicios a ubicaciones y/o sistemas que no cumplan nuestros requisitos. A todos los efectos, debemos sumar las consideraciones de los casos en que el proveedor deja de dar servicio y prdida de datos. Aqu no sera por motivos tcnicos o maliciosos sino por imperativo legal, pero el resultado sera similar. Los contratos firmados han de determinar las responsabilidades derivadas del cumplimiento normativo aplicable de forma explcita.
Fallos del aislamiento de servicios Uso indebido y nefasto del cloud computing
Al estar en plataforma compartida, si un vecino es vulnerable, pueden afectar a nuestro entorno. En entornos privados, los fallos de aislamiento son ms fciles de controlar ya que todos los vectores estn bajo nuestro control o del proveedor.
Aqu el proveedor, sea IaaS, PaaS o SaaS nos debe dar las garantas necesarias para confiar en que tienen estos aspectos completamente en cuenta. Ya sea por normas y procesos de calidad de cdigo, diseo y operacin o aplicacin de parches. La mejor forma de mitigar el riesgo es considerar que nuestro servicio en s es vulnerable y aplicar cifrados y controles de integridad, mitigando el riesgo de compromiso de datos al minimizar el tiempo en que estos son accesibles en claro.
Los usuarios maliciosos aprovechan las ventajas de computacin en la nube para lanzar ataques (en especial, a proveedores).
Normalmente, el usuario malicioso usar una tarjeta de crdito o cuentas comprometidas y despus de un gran uso de recursos, el proveedor no podr recibir compensacin. Con objeto de mitigarlo, debemos encontrar el compromiso entre facilidad de activacin de servicio y garantas de pago y buen uso del servicio. Se debe poder analizar el trfico por si se estn lanzando ataques desde nuestra infraestructura, validar que el cliente es quien dice ser, monitorizar la reputacin de nuestros bloques de red, etc
12. Anexos
131
Si una de las caractersticas de la computacin en la nube es la autoprovisin y gestin del servicio, dichas interfaces y APIs deben permitir el acceso desde Internet.
Al permitir acceso remoto a herramientas de gestin, debemos poder autenticar y autorizar debidamente al ente (usuario o programa) que est realizando la peticin. Un fallo puede afectar al servicio del cliente o comprometer su infraestructura (especial relevancia en entornos PaaS). Para mitigarlo, debemos habilitar y exigir los sistemas de autenticacin adecuados para el servicio ofrecido. Por ejemplo, la comunicacin cifrada, autenticacin mediante certificados y/o contraseas de un solo uso, etc El proveedor debe poder ofrecer mtodos seguros de autenticacin y adems supervisar la actividad para detectar posibles malos usos.
En los entornos tradicionales, ya es muy conocido el riesgo de usuarios maliciosos internos, pero al externalizar los servicios, podemos encontrarnos con usuarios del proveedor que tengan ms derechos que el propio usuario.
Deberamos exigir al proveedor conocer cmo se dan derechos a los usuarios, qu auditoria existe y qu tipo de supervisin y procesos tienen implantados para reducir la posibilidad de tener usuarios internos maliciosos. Para mitigarlo, debemos considerar que estamos en un entorno hostil y, para proteger nuestra informacin, cifrar y validar la integridad de la misma. De esta forma, un usuario malicioso podra afectar a la disponibilidad, pero no tanto a la integridad y confidencialidad.
La computacin en la nube se basa en la comparticin de infraestructura para poder mejorar eficiencias y aprovechar economas de escala, as que problemas en la tecnologa compartida, pueden afectar a nuestro servicio.
El proveedor debe poder asegurarnos agilidad en la aplicacin de los parches que solucionen vulnerabilidades y herramientas de gestin y supervisin para identificar comportamientos no esperados. Por ejemplo, trfico destinado a un cliente es visible por otro servidor, un usuario del cliente X est accediendo a datos del cliente Y, etc Para mitigarlo y proteger nuestra informacin, debemos cifrar y validar la integridad de la misma. De esta forma, un fallo en la tecnologa compartida podra afectar a la disponibilidad, pero no tanto a la integridad y confidencialidad.
12. Anexos
132
Anexo III. La prueba electrnica en el marco legal Espaol Definicin de Prueba electrnica
Prueba: Justificacin de la verdad de los hechos controvertidos en un juicio, hecha por los medios que autoriza y reconoce por eficaces la ley (DICCIONARIO DE LA LENGUA ESPAOLA - Vigsimosegunda edicin) El concepto de prueba electrnica, como herramienta procesal probatoria de los acontecimientos ocurridos en la nube, evoca lo intangible. La volatilidad est en la propia naturaleza de la prueba electrnica, y por lo tanto, esa tendencia inevitable a la alteracin de dicho soporte probatorio exige actuar con mucha caucin y diligencia. Son datos de inestimable valor para todo presunto fraude digital, electrnico, virtual o en la nube que se est investigando, pues sirve para adquirir convencimiento de la certeza de un hecho. Estas caractersticas intrnsecas de la prueba electrnica llevan a implementar unas medidas garantistas en el momento de la obtencin de los indicios, la informacin o los datos contenidos en estos entornos que podrn generar prueba si son debidamente capturados. Los principios bsicos acerca de las garantas de integridad de la informacin a tener en consideracin para conseguir convertir el indicio en prueba son: los datos o la informacin almacenada y que quiere ser obtenida no puede ser alterada o manipulada, la persona que realiza la investigacin debe tener autorizacin para llevarla a cabo, y todo el proceso seguido debe quedar registrado o auditado por un fedatario pblico de tal forma que un tercero pueda llevar a cabo el mismo proceso alcanzando la misma conclusin. A pesar de que las garantas de integridad de la prueba electrnica sean generales para todo tipo de pruebas, a la hora de abordar el marco jurdico aplicable sobre cmo obtener indicios electrnicos de estas plataformas de gestin remota de la informacin de los usuarios, dnde stos vuelcan grandes volmenes de informacin eventualmente sensible en servidores pertenecientes a terceros, debemos diferenciar claramente el procedimiento legal a seguir para la obtencin de pruebas electrnicas obtenidas de entornos distribuidos de los procedimientos que se siguen para obtener pruebas de entornos controlados como se hace en la mayora de situaciones actualmente. Es importante destacar que las consideraciones jurdicas que se hagan en relacin a las pruebas electrnicas obtenidas de la computacin en la nube deben ser necesariamente analizadas desde parmetros anlogos a los realizados para el tratamiento jurdico de las pruebas obtenidas de Internet, debido a su similitud y a la falta de una regulacin especfica para esta tecnologa tan especfica.
Situacin Actual
A pesar de que es responsabilidad del investigador en la nube asegurar el cumplimiento con la legislacin y estar seguro de que los procedimientos adoptados en la obtencin de pruebas electrnicas son llevados a cabo segn los procedimientos adecuados y la jurisprudencia aplicable al caso concreto, esta labor se complica debido a las lagunas legales existentes en estos temas. La escasez de una regulacin especfica en nuestra legislacin nacional acerca de la prueba electrnica, ya sea de entornos distribuidos o de entornos controlados, hace que las normas generales relativas a la prueba apliquen de la misma forma a las pruebas electrnicas obtenidas de dispositivos electrnicos o entornos virtuales como a las pruebas que provengan de otro tipo de fuentes. 12. Anexos 133
Por otro lado, si bien es cierto que actualmente en los Tribunales espaoles se presentan y utilizan pruebas electrnicas desde hace aos para alegar, o refutar, una hiptesis, tambin es cierto que se carece an de una jurisprudencia uniforme y concreta para dicha materia. Esta incertidumbre en torno a la prueba electrnica sea en un entorno controlado o distribuido traspasa las fronteras del Estado espaol, ya que la obtencin, anlisis, presentacin y admisibilidad de estas pruebas ante los tribunales se efecta de una manera distinta en cada Estado de la Unin Europea, y no existen apenas referentes legislativos, cuestin que agrava ms an el panorama. Por lo tanto, desde el punto de vista jurdico, sin perjuicio de que no existe normativa expresa en el Ordenamiento Jurdico relativa a las pruebas electrnicas, resulta posible su aportacin a un procedimiento, ya sea como prueba documental (ej.: almacenamiento de un archivo existente en la nube) o como informe pericial (ej.: ciberinvestigacin sobre informacin subida a la nube). En efecto, los arts. 299-2 y 384-2 de la Ley de Enjuiciamiento Civil establecen que se admitirn, como medios de prueba, los medios de reproduccin de la palabra, el sonido y la imagen, as como los instrumentos que permiten archivar y conocer o reproducir palabras, datos, cifras y operaciones matemticas llevadas a cabo con fines contables o de otra clase, relevantes para el proceso. El Legislador ha intentado ser lo ms amplio posible a la hora de regular para poder aceptar cualquier medio de prueba que se pueda llevar a cabo en la sociedad y as pueda ser presentado en juicio, por muy novedoso que sea, aplicndose por lo tanto directamente a nuestro campo de estudio: la computacin en la nube. En el artculo 812-1-1 de la Ley de Enjuiciamiento Civil se regula los documentos para acceder al proceso Monitorio diciendo que cualquiera que sea su forma y clase o el soporte fsico en que se encuentren, que aparezcan firmados por el deudor o con su sello, impronta o marca o con cualquier otra seal, fsica o electrnica, proveniente del deudor, haciendo referencia, en este caso, a la prueba electrnica. Para que la prueba electrnica sea admitida en juicio, no debemos olvidar los principios de pertinencia, utilidad y legalidad establecidos en el artculo 283 de la Ley de Enjuiciamiento Civil, ni los requisitos establecidos por el artculo 256 de la misma normativa. Por lo tanto, no ser admitida ninguna prueba electrnica que haya sido obtenida vulnerando derechos fundamentales o su contenido sea una actividad prohibida por la ley. Es importante tener en consideracin a la hora de obtener pruebas electrnicas -para que stas posteriormente sean vlidas en juicio- los requisitos materiales basados en el principio de proporcionalidad, que se dividen en tres juicios: el juicio de idoneidad, el de necesidad y el de proporcionalidad. La Ley 24/2001, de 27 de diciembre, que establece modificaciones a la Ley del Notariado en su artculo 17 bis equipara la prueba electrnica a la prueba documental, igual que el artculo 24-2 de la Ley de Servicios de la Sociedad de la Informacin (LISI), que establece que el soporte electrnico en que conste un contrato celebrado por va electrnica ser admisible en juicio como prueba documental. El artculo 3-8 de la Ley 59/2003 sobre Firma Electrnica, en la versin dada por la Ley 56/2007, de 28 de diciembre, de Medidas de Impulso de la Sociedad de la Informacin establece a su vez que el soporte en que se hallen los datos firmados electrnicamente ser admisible como prueba documental en juicio. Tambin en la Exposicin de Motivos de la misma Ley se afirma que se incluye dentro de la modalidad de prueba documental el soporten en el que figuran los datos firmados electrnicamente, dando mayor seguridad jurdica al empleo de la firma electrnica al someterla a las reglas de eficacia en juicio de la prueba documental.
12. Anexos
134
En los procesos penales, el art. 26 del Cdigo Penal dispone que se considera documento todo soporte material que exprese o incorpore datos, hechos o narraciones con eficacia probatoria o cualquier otro tipo de relevancia jurdica. Por su parte, los arts. 32 y 33 de la Ley de Arbitraje ratifican los principios de libertad y flexibilidad que presiden la fase probatoria del arbitraje, de forma que permiten que se pueda aportar como prueba, una prueba electrnica en los mismos trminos que podra aportarse en un procedimiento judicial. Aunque no es propiamente objeto de nuestro estudio, no podemos dejar de mencionar la importancia que tienen en esta materia la Ley 34/2002, de Servicios de la Sociedad de la Informacin y del Comercio Electrnico (LSSI), la Ley Orgnica 15/1999, de Proteccin de Datos de Carcter Personal y la Ley de Medidas de Impulso de la Sociedad de la Informacin, que establece las obligaciones de los prestadores de servicios de la sociedad de la informacin sobre las medidas de seguridad a implementar ante posibles amenazas; y tambin la Ley 32/2003 General de Telecomunicaciones, que vela por el cumplimiento de las obligaciones en el secreto de las comunicaciones y proteccin de datos personales, as como de los derechos y obligaciones de carcter pblico vinculados con las redes y servicios de comunicaciones electrnicas, imponiendo las correspondientes sanciones por su incumplimiento. En consecuencia, segn veremos a continuacin, los presupuestos jurdicos y los protocolos utilizados para la obtencin, almacenamiento y documentacin de las pruebas electrnicas en la nube deben replicar los marcados para los mismos procedimientos preestablecidos para las pruebas electrnicas obtenidas de Internet y la problemtica jurdica radica en determinar la forma y requisitos que deben tenerse en cuenta a la hora de obtener las pruebas electrnicas que, a falta de normativa, ha de extraerse de la escasa jurisprudencia dictada por los tribunales, segn veremos a continuacin.
12. Anexos
135
esta forma, se posibilita la intervencin de las comunicaciones en aplicacin de la doctrina de la Sala II del Tribunal Supremo, que establece los siguientes requisitos: a) Debe ser autorizada por la Autoridad Judicial b) Finalidad exclusivamente probatoria c) Excepcionalidad de la medida d) Proporcionalidad de la medida e) Limitacin temporal de la utilizacin de la medida f) Especialidad del hecho delictivo g) La medida recaer nicamente sobre personas indiciariamente implicadas h) Existencia previa de procedimiento de investigacin penal i) Existencia previa de indicios de la comisin del delito, y no de meras sospechas o conjeturas j) Exigencia de control judicial en la ordenacin, desarrollo y cese de la medida k) Que la resolucin judicial acordando la intervencin de las comunicaciones se halle suficientemente motivada, riguroso requisito para el sacrificio y derogacin en casos concretos de derechos fundamentales reconocidos en la Constitucin Espaola; y l) Adems, para la validez como prueba del contenido de las comunicaciones intervenidas se precisa la entrega al rgano jurisdiccional de los soportes originales donde consten las conversaciones detectadas, sin consentirse la previa manipulacin.
12. Anexos
136
Tambin establece dicha Sentencia que, en aquellos casos en que la empresa no disponga de un protocolo informtico, lo que suele ser habitual, ha de tenerse en cuenta que, en el momento de obtener y analizar los documentos o datos contenidos en la nube se debern tener en consideracin los requisitos formales establecidos en el artculo 18 del Estatuto de los Trabajadores, que aplica por asimilacin el registro de la taquilla del trabajador con el anlisis de los datos contenidos en la nube. Aplicando este precepto por analoga, los registros debern realizarse en el centro de trabajo y durante el horario laboral, con la asistencia del trabajador y, en su defecto, de un representante legal de los trabajadores, o, si no hubiere, de otros trabajadores (a ser posible, con una categora profesional parecida a la del trabajador afectado).
12. Anexos
137
Tabla 6. Resumen de las principales metodologas y tecnologas de auditora para la computacin en la nube
Origen
Cloud Security Alliance. Basada en la Security Guidance for critical Areas of focus in Cloud Computing V2
Descripcin
Programa de auditoria enfocado en evaluar los requisitos fundamentales de seguridad en la nube. Framework que permiten evaluar el riesgo de la adopcin de servicios en la nube en base un conjunto de criterios de seguridad.
Ventajas
- Muy estructurado: 11 dominios y 108 objetivos de control. - Muy especfico para seguridad. - Ofrece una terminologa de la seguridad aplicada a la nube. - Enfocado en la toma de decisin de adoptar un servicio de computacin en la nube. - Aade aspectos fuera del mbito de la seguridad. - Basada en un framework consolidado y muy reconocido (CObIT). - Aborda la planificacin y alcance de la auditoria hasta la auditoria operativa y el gobierno de la nube. -Dispone de mtricas. - 5 Dominios -Dispone de mtricas. - Incorpora las mejores prcticas del mercado. - La existencia de mtricas facilita la comparacin entre proveedores de computacin en la nube.
Inconvenientes
- No define ninguna mtrica. - No incorpora aspectos fuera de la seguridad.
ENISA
- Requiere un mayor grado de adopcin por parte de los proveedores. - Posibles problemas de interoperabilidad con respecto a otras metodologas.
ENISA. Basada en CMM, Cloud Computing Information Assurance Framework, ISO 27001,
- Requiere un mayor grado de adopcin por parte de los proveedores. - Posibles problemas de interoperabilidad con respecto a otras metodologas.
12. Anexos
138
Origen
Descripcin
Ventajas
- Es una autoridad reconocida para proveer los medios que permiten lograr las certezas acerca de terceras organizaciones. - SOC3 es una evolucin del AICPA/Canadian Institute of Chartered Accountants (CICA) Trust Services Principle - Se ha diseado especialmente para proveer certezas acerca de la confianza en los control de empresas orientadas a servicios, por lo cual su aplicacin a la nube es clara.
Inconvenientes
AICPA
Se trata de una gua para proveer un examen altamente especializado de los controles internos de una organizacin. Los reportes obtenidos son aplicables a los modelos de servicio de la nube.
ISO/IEC 27001
Especifica formalmente a un sistema de gestin, cuyo propsito es implementar la seguridad de la informacin basndose en controles explcitos y especficos. Los proveedores de servicios en la nube que dicen haber adoptado la ISO/ IEC 27001 pueden ser formalmente auditados, y certificados como que cumplen con el estndar. Esta certificacin ofrece garantas sobre la seguridad de la informacin a los clientes de la nube.
- Internacionalmente reconocida. - Posee una lista muy completa de controles. - El mbito de la certificacin, as como algunos datos sobre la organizacin auditora se hacen pblicos.
- El mbito de la certificacin podra llegar a ser inapropiado. - La certificacin es posible aunque existan riesgos significativos.
12. Anexos
139
A la par de las metodologas de auditora que han sido creadas especficamente para la computacin en la nube, tambin han ido surgiendo una serie de tecnologas y/o herramientas automatizadas (CAATS) que permiten auditar este tipo de sistemas. Las ms representativas se resumen en la tabla siguiente.
Tabla 7. Resumen de las principales herramientas de automatizacin de auditoras para la computacin en la nube
Tecnologa Descripcin Caractersticas
- Tiene como objetivo dar mayor transparencia a los proveedores de servicios en la nube mediante la creacin de una interfaz comn y un espacio de nombres -namespaceque permitan la automatizacin de las auditoras, aserciones, asesoramiento y garantas que ofrecen los ambientes de computacin en la nube. - Es escalable, ha sido diseado de forma que su funcionalidad pueda extenderse de acuerdo a las necesidades de los clientes. - Para que sea viable requiere de un mayor grado de adopcin por parte de los proveedores. -En su primer versin CloudAudit utiliza el modo de solo lectura (nicamente permite obtener informacin pre-generada por el proveedor), pero futuras versiones implementarn la opcin de escritura (p. ej. para solicitar un network-scan bajo demanda). - Es posible mostrar de forma irrefutable que existe un grado de cumplimiento con las polticas o legislaciones aplicables. - Esta tecnologa ha sido avalada con reconocimientos como el de The Markle Foundation Task Force on National Security in the Information Age. - Provee una certeza matemtica sobre la integridad del contenido. - Registra una secuencia inmutable de eventos que han ocurrido sobre los datos. - No se altera el contenido protegido, y sigue reteniendo su formato nativo. - Bajo overhead (por ejemplo, comparado con el uso de firmas electrnicas para cada evento). - Es posible tener una solucin solo-software de forma que provea flexibilidad, escalabilidad e interoperabilidad. - En una segunda fase, los eventos que han sido registrados se vuelven inmutables, de forma que se haga evidente cualquier modificacin no autorizada y, sea posible crear la evidencia relacionada con las modificaciones autorizadas que se hayan realizado.
CloudAudit. (anteriormente conocida como A6 - The Automated Audit, Assertion, Assessment, and Assurance API)
Define una API para facilitar los procesos de auditora en la nube, y para que los clientes puedan verificar el nivel de seguridad de su proveedor.
Es una tecnologa diseada para grabar todos aquellos eventos que tienen lugar en cualquier aplicacin o ambiente que requiera compartir informacin.
12. Anexos
140
Cargo
Subdirector General de Registro de Ficheros y Consultora Manager Auditor Consultor Gerente en la Direccin de Marketing de Infraestructuras Director de Gestin Interna e Identidades Tcnico de Cumplimiento Normativo Director de Seguridad / CISO Director Tecnolgico Marketing Director Director EMEA IT Assurance VP de Product Strategy Manager Strategy Consulting Tcnico de Seguridad en la Direccion de Riesgos Tecnologicos y Seguridad Informatica Ingeniero de Sistemas y Computacin Gerente de Governance, Risk & Compliance Asociado Senior del rea de Governance, Risk & Compliance Responsable del Grupo de Seguridad. Departamento de Preventa IT Governance Auditor Chief Information Security Officer (CISO) Ingeniero Superior en Informatica | ISO 27001 Lead Auditor Abogado. Socio Director del Departamento de Derecho de las Tecnologas de la Informacin Subdirector de Programas Seguridad de Sistemas Directora de desarrollo estratgico Director Regional de Seguridad RMED IT Assurance Senior Project Manager, HP Technology Consulting Director Servicios TI y Seguridad Director de Calidad
Empresa
Agencia de Proteccin de Datos de la Comunidad de Madrid PwC PricewaterhouseCoopers Auditores, S.L. CEPSA Telefonica Grandes Clientes Novacaixagalicia CatalunyaCaixa GMV Soluciones Globales Internet CFLabs Kinamik HP Technology Services Kinamik Grupo SIA Bankinter Universidad de Los Andes Bogot, Colombia Ecija Ecija Oracle Ibrica Atmosferia Projects, S.L. Grupo FCC
Cremades & Calvo-Sotelo / Abogados Instituto Nacional de Tecnologas de la Comunicacin (INTECO) Mutua Madrilea CFLabs Ericsson Hewlett-Packard Company Intermark Tecnologas Nexica
141
Nombre
Javier Lpez Gutierrez Dr. Jess Luna Garca Mara Elena Maestre Garca Jess Miln Ramn Miralles Lpez Sergi Morales Surribas Manuel Muiz Somoza Jos Leandro Nez Garca Alfredo Oblanca Garca Laia Porcar Antonio Ramos Nathaly Rey Arenas Mario Reyes de los Mozos Mara Luisa Rodrguez Julio San Jos Snchez Carlos Alberto Siz Pea Esmeralda Saracbar Serradilla Alvaro Sastre Rodolfo Tesone Mendizabal Alejandro Tourio Vctor A. Villagr
Cargo
Socio Director de Litigation & Forensic Services Investigador Socio de Riesgos Tecnolgicos Director de Riesgos Tecnolgicos y Seguridad Informtica Coordinador de Auditoria y Seguridad de la Informacin CTO IT Security Manager Abogado Gerente de auditora y seguridad de la informacin IT Project Leader Managing Partner Directora General Investigador senior Security R&D Business Manager. | Contratacin, Evidencias Electrnicas y Auditoria en la Nube Gerente Seguridad Socio responsable del rea de GRC Governance, Risk y Compliance Gerente del rea de Governance, Risk & Compliance Planificacin y Normalizacin Director del rea Jurdico-Tecnolgica Asociado Senior del rea de Information Technology Profesor Titular de Universidad. Dpto. Ingeniera Telemtica en la E.T.S.I. Telecomunicacin
Empresa
Ecija Technische Universitt Darmstadt (Alemania) PricewaterhouseCoopers Auditores S.L. Bankinter Autoridad Catalana de Proteccin de Datos Expertos en TI Axpe Consulting
BDO ING Belgium n+1 Intelligence & Research ISMS Forum Spain Barcelona Digital Centre Tecnolgic Bankinter Ecija Ecija ONO ITGLOBAL Ecija Universidad Politcnica de Madrid (UPM)
142