Cloud computing riesgos y normativa


Gracias al desarrollo de las telecomunicaciones y la mayor velocidad en la transmisión de información se puede ofrecer, a los usuarios que manejan ordenadores y demás equipos informáticos, no solo datos almacenados en un servidor sino también aplicaciones, infraestructura y demás recursos. Así, los usuarios en el momento de manejar sus ordenadores o equipos, ya sean ordenadores de sobremesa, portátiles, PDAs, teléfonos móviles ya no tendrán que disponer de determinadas aplicaciones o recursos informáticos necesarios para visualizar o procesar los datos. Se puede suministrarse por medio de la conexión a un servidor estas aplicaciones y recurso informáticos necesarios para poder manejar la información, necesitando únicamente los usuarios una conexión a una red interna o externa, para acceder al servidor, y una aplicación o servicio web que permita el acceso a múltiples datos y servicios ofrecidos por el propio servidor.

Pues bien, este tipo de suministro de información, junto con las aplicaciones, infraestructura y demás recursos para poder acceder y operar con la información y los datos, contando para ello con una conexión a la red y una aplicación web, es el denominado Cloud Computing, computación en la nube. Este tipo de servicios denominados Cloud Computing pueden prestarse en un ámbito interno, mediante una intranet donde se acota la posibilidad de conexión, por ejemplo la red local de una entidad. O externo, mediante el acceso a una extranet que posibilita la conexión, desde cualquier punto y lugar por medio de Internet, a los datos, recursos y aplicaciones a través de un servicio web.

Una de las ventajas de proporcionar mediante Cloud Computinga, los datos e información, las aplicaciones, recursos e infraestructura, será el coste de los servicios. Si antes para proporcionar servicios mediante una aplicación cliente-servidor se necesitaba la instalación, mantenimiento y soporte de las aplicaciones y recursos en cada uno de los equipos de los usuarios que accediesen a la información, utilizando el Cloud Computing para prestar los servicios ya no habrá un coste adicional por cada usuario, dado que una vez puesto a disposición este servicio a los usuarios, cualquiera con una conexión a la red y una aplicación web podrá acceder a estos servicios, sin depender de las aplicaciones, recursos e infraestructura con la que cuente su portátil, PDA o teléfono móvil.

 

Riesgos.

Pero esta nueva idea de ofrecer la información, software y recursos como un servicio, o Cloud Computing, no esta exenta de los riesgos actuales para los sistemas de información, algunos de ellos incrementados, y de otros nuevos riesgos que pueden surgir por las características propias del Cloud Computing.

 

Como consecuencia de facilitar el acceso a los datos, recursos y aplicaciones, por medio de una aplicación web, se deberán establecer mecanismos de identificación y autentificación que garanticen que terceros no autorizados puedan acceder a los servicios ofrecidos mediante el Cloud Computing. Por otro lado, para prestar estos servicios, se deberán conectar e interrelacionar las aplicaciones y sistemas existentes en la empresa o institución, con la plataforma o herramienta que proporcione los servicios mediante Cloud Computing, lo cual exigirá revisar los procedimientos y medidas de seguridad ya implantados en los sistemas propios de la empresa. En otros casos para prestar estos servicios quizá haga falta la intervención y participación de terceros que proporcionen soporte para poder desarrollar el Cloud Computing, ante esto ya no dependerá la empresa de si mismo, sino que el nivel de servicio que se preste a los usuarios estará relacionado con los servicios contratados a estos terceros proveedores del Cloud Computing.

 

Y por ultimo habrá que revisar los requisitos y exigencias legales que se venían cumpliendo en cuanto al manejo y tratamiento de la información, dados los cambios que se producirán en la empresa por prestar servicios por medio del Cloud Computing.

 

Normativa

En cuanto a la normativa que inicialmente debe tenerse en cuenta por la prestación de servicios por medio del Cloud Computing está la Ley 34/2002, de 11 de Julio, de servicios de la sociedad de la información y de comercio electrónico, por cuanto que se suministrará información y en algunos casos la posibilidad de realizar contratos electrónicos. Y también la Ley Orgánica 15/1999 de 13 de diciembre, de protección de datos de carácter personal, cuando por medio de estos servicios de Cloud Computing se manejen datos de carácter personal.

 

Cuando el servicio prestado mediante Cloud Comuting puede suponer la prestación de un servicio a distancia, por vía electrónica a petición individual, de forma oneroso o no, y constituya una actividad economía para quien lo presta, estaremos ante un servicio de la sociedad de la información regulado por la Ley 34/2002, de 11 de Julio, de servicios de la sociedad de la información y de comercio electrónico. Siendo alguno de estos servicios de la sociedad de la información prestados por medio de Cloud Computings el suministro de información por vía electrónica, la contratación de bienes o servicios por vía electrónica, el envío de comunicaciones comerciales, la gestión de subastas de mercados y el suministro de contenidos como video o música bajo demanda.

 

Deberán entonces, estos servicios prestados mediante Cloud Computing, cumplir con la Ley 34/2002, de 11 de Julio, de servicios de la sociedad de la información y de comercio electrónico, siendo algunas de las exigencia de la citada ley la de informar de la identidad de la empresa que presta los servicios y de las condiciones que regulan los servicios, recabar la aceptación de las condiciones del servicio, obtener consentimientos, etc.

 

Por otro lado, y cuando por medio de los servicios prestados mediante Cloud Computing se manejan datos de carácter personal, se deberán revisar las medidas y procedimientos implantados por la empresa para cumplir las exigencias en cuanto al tratamiento de protección de datos, dada que los servicios prestados mediante Cloud Computing modificarán la forma de recogida, grabación, modificación y demás procesos en el tratamiento de los datos personales.

 

Así por ejemplo, se deberá tener en cuenta quien accede a los datos de carácter personal, y las garantías para evitar que personas no autorizadas accedan a los datos personales, la posibilidad de que las personas que acceden a los datos personales puedan almacenar fuera del servicio prestadeconomizar y universalizar servicios, que no debe suponer mayores o nuevos riesgos, ni incumplimientos legales.