Implantar en nuestra empresa el Cloud Computing, entendiendo por Cloud Computing a un modelo que permite obtener, desde cualquier lugar y bajo demanda, un cómodo acceso a través de una red, a un conjunto compartido de recursos informáticos configurables, el cual se puede conformar y suministrar rápidamente con un esfuerzo de gestión mínimo o con una interacción mínima con el proveedor de los servicios (NIST), supone para la empresa una ventaja al facilitar agilidad a la hora de implementar soluciones, reducir costes al optimizar y compartir recursos y confiabilidad.
Pero esta implantación o uso del Cloud Computing supone cambios en la empresa, y entre estos cambios se encuentran los que afectan a la seguridad, que obligarán a seguir manteniendo la confidencialidad, integridad y disponibilidad de la información, y no solo por el interés propio para la empresa de asegurar su información, sino también por la obligación de cumplir las exigencias legales cuando se traten datos de carácter personal.
El poner en marcha la computación en la nube supone revisar las medidas y procedimientos de seguridad implantados a los datos de carácter personal, con el fin de seguir cumpliendo con el principio de seguridad de la ley orgánica de protección de datos y con el Real Decreto 1720/2007, donde se aprueba el Reglamento que desarrolla la ley orgánica de protección de datos.
Debemos confirmar que estas herramientas e infraestructura del Cloud, ya sean desarrolladas, adquiridas o prestadas por terceros, cuenta con los elementos y mecanismos necesarios de seguridad para poder cumplir con las exigencias legales a la hora de tratar datos de carácter personal. Y proceder en el momento de implantar el Cloud Computing a revisar las medidas y procedimientos de seguridad que comentados brevemente a continuación.
Habrá que regularizar las relaciones con los proveedores que pueden estar proporcionando algún servicio o soporte a la hora de implantar o mantener el Cloud Computing, adecuando el contenido de los contratos y acuerdos, a los tratamientos de datos de carácter personal de nuestra responsabilidad que pueden estar realizando, así como las medidas de seguridad que tengan que implantar a los datos personales, pudiendo, en algunos casos, ser estos proveedores los únicos que tengan que implantar determinadas medidas de seguridad y no nosotros, al haber externalizado ciertos procesos en el manejo de los datos de carácter personal. Aparte, revisar otros aspectos desde el punto de vista legal, que también deberán tenerse en cuenta al suscribir los contratos de servicios del Cloud, como la capacitación de los proveedores contratados para tratar los datos con las garantías exigidas, las posibles transferencias internacionales de datos, las subcontratación de servicios, etc.
Se deberán revisar las delegaciones de autorizaciones que se tienen otorgadas por el responsable del fichero a las personas o departamentos que autorizan determinadas acciones en el manejo de los datos, como los trabajos fuera de los locales, los accesos lógicos y a soportes, la recuperación de datos, etc. Al cambiar con la computación en la nube los procesamientos de información y poder participar proveedores externos, estas autorizaciones se deben revisar para en su caso eliminar o ampliar.
En cuanto al documento de seguridad, a parte de actualizarse con los cambios en las medidas o procedimientos de seguridad que se llevarán a cabo al implantar el Cloud Computing, se deberá revisar también los permisos de acceso a dicho documento, al poder aparecer nuevos partícipes en cuanto a su cumplimiento y actualización, tanto internos como externos. Y en determinadas circunstancias, trasladar la responsabilidad de la llevanza del documento de seguridad al proveedor externo, según el tipo de servicios que suministre o realice.
Respecto a la relación de los recursos protegidos y el ámbito del documento de seguridad, también deberá actualizarse la descripción de la infraestructura y sistemas utilizados en el tratamiento de los datos tras la implantación del Cloud Computing. En cuanto a los sistemas de información habrá que tener en cuenta que con el Cloud Computing, ya no habrá una relación directa entre el tratamiento de los datos personales y los equipos o dispositivos utilizados para dicho tratamiento, sino que los usuarios podrán desde cualquier dispositivo realizar el tratamiento de datos de carácter personal. Esto puede suponer un cambio en cuanto a las medidas de seguridad implantadas, tendiendo a proteger más el acceso a la información que los equipos o dispositivos con los que se accede a la información.
Respecto a las funciones y obligaciones del personal que maneja los datos de carácter personal, con el Cloud Computing, variaran seguramente las funciones encomendadas a los usuarios, y sin lugar a duda las obligaciones, al cambiar el entorno o escenario en el que pueden manejar los datos de carácter personal. También deben actualizarse las autorizaciones, dado que al proveer la computación en la nube, se realizarán tratamientos de datos fuera de los locales del responsable del fichero y en su caso del encargado del tratamiento. Al cambiar estas obligaciones y autorizaciones también deberán actualizarse las responsabilidades o consecuencias por los incumplimientos de los usuarios. Deberán a parte revisarse las normas y políticas en cuanto al acceso de forma remota a la información, el uso de dispositivos electrónicos facilitados a los usuarios y la creación de soportes con datos de carácter personal, entre otros. No limitando la obligación del cumplimiento de estas normas y políticas al personal de la empresa, sino ampliarlas a terceros que puedan estar prestando los servicios de Cloud y traten con ello los datos personales.
En cuanto al procedimiento de notificación y gestión de las incidencias, dado que los usuarios podrán procesar los datos con el Cloud Computing desde cualquier lugar, tendrá que tenerse en cuenta los canales de comunicación y reporte de las incidencias, para que sea eficiente la notificación. Por otro lado se deberán revisar los tipos o clasificación de las incidencias que puedan producirse y notificarse, con el fin de preverlas y tener los medios para solventarlas. También cambiará, seguramente, en el procedimiento de incidencias las personas o departamento encargado de recibir y resolver éstas, dado que si se provee el servicio Cloud por terceros externos a nuestra compañía, serán estos proveedores los únicos capacitados para solventar ciertas incidencias. Pudiendo, en su caso, ser estos proveedores del Cloud Computing, y no nosotros, los responsables de implantar y mantener el procedimiento de notificación y gestión de las incidencias derivadas del procesamiento en la nube.
En los procedimientos de control de acceso y la identificación y autentificación, habrá que tener en cuenta las autorizaciones de acceso, la administración de los usuarios y los niveles o perfiles de acceso de los usuarios. En cuanto a las autorizaciones de acceso, deberá revisarse que personas son las autorizadas a otorgar acceso y perfiles a los usuarios. En cuanto a la administración de la herramienta con la que se gestiona las altas y bajas de usuarios y perfiles, puede que con la implantación del Cloud Computing, esta labor esté encomendada a los proveedores del Cloud, teniendo entonces que acordarse las condiciones de este servicio, y en especial los requisitos a seguir para dar de alta nuevos usuarios o permisos. Respecto a los usuarios y niveles de acceso, con la computación en la nube, determinados perfiles asignados a los usuarios cambiaran, bien para aumentarse o reducirse, ya que al cambiar las herramientas y procesos también cambiaran las funciones y acciones a realizar con los datos personales, pudiendo verse afectados los permisos relativos a la copia, reproducción, impresión, transmisión, etc. También deberían revisarse los sistemas de identificación y autentificación utilizados hasta el momento, dado que la computación en la nube incrementará los riesgos de accesos no autorizados, teniendo por ejemplo que exigir contraseñas mas fuertes, incrementar los cambios de contraseñas, utilizar más de un factor para la autentificación, etc.
La gestión de los soportes que contengan los datos de carácter personal puede suponer un procedimiento de seguridad mucho más complejo de garantizar cuando se implante el Cloud Computing, por la deslocalización de los usuarios que puedan acceder a la información y la dificultad en controlar la creación de estos soportes. Para ello habrá que partir de una concienciación y responsabilización de los usuarios sobre la creación de soportes con información, a parte de implantar mecanismos que limiten esta creación de soportes con datos de carácter personal a quienes no estén autorizados, y registrar la creación de dichos soportes.
Respecto al procedimiento de realización de copias de seguridad y recuperación de datos, puede que sea el proveedor del Cloud Computing quien se encargue de este cometido, en tal caso deberán acordarse las condiciones de la realización de las copias de seguridad, y también los procesos de verificación de las copias realizadas y la recuperación de los datos, exigiendo al proveedor que cumpla como mínimo los plazos exigidos por el Reglamento para la realización de estas verificaciones.
En el caso de aplicar medidas de seguridad del nivel medio, cuando el tipo de datos tratados nos obligue a implantar este nivel de seguridad. Dado que se exige una auditoria de revisión de las medidas implantadas cada dos años, independientemente de si toca o no la realización de esta auditoria según la fecha de la última que se realizó, en el momento de implantar el Cloud Computing debería realizarse una nueva auditoría, ya dado que esta nueva infraestructura o entorno supone una modificación sustancial, que nos obliga a auditarlo. Por otro lado en cuanto a la obligación del nombramiento del responsable de seguridad, puede interesar que el proveedor del Cloud sea nombrado también responsable de seguridad, al tener seguramente que implantar o mantener dicho proveedor ciertas medidas de seguridad. En cuanto al control de acceso físico a los equipos que dan soporte a los sistemas de información, será una medida que seguramente tenga que implantar y mantener el proveedor del Cloud Computing, dado que si se externaliza el almacenamiento de los datos de carácter personal, no tendremos nosotros capacidad para implantar esta medida de seguridad.
Y en cuanto a la implantación de medidas de seguridad de nivel alto, en el momento de implantar el Cloud Computing, una de ellas será el cifrado de la transmisión de datos personales a través de redes públicas, dado que una pieza destacada del Cloud es la posibilidad de acceso a la información desde cualquier lugar a través de Internet. Por otro lado las herramientas que faciliten el Cloud deberán disponer de medios para registrar todos los accesos realizados así como la identificación del registro accedido, entre otra información.
Esta implantación del Cloud Computing conlleva la necesidad de la revisión de las medidas y procedimientos de seguridad, pero no solo con la idea de implantar las medidas de seguridad establecidas por el reglamento del desarrollo de la ley de protección de datos. Dado que estas medidas del reglamento son mínimos y el principio de seguridad de la ley de protección de datos exige establecer medidas de seguridad que eviten la alteración, perdida o tratamiento no autorizado, de acuerdo con el estado de la tecnología, los datos tratados y los riesgos. Como la computación en la nube incrementará estos riesgos sobre los datos personales, igual debemos ir más lejos y no quedarnos solo en las medidas exigidas reglamentariamente sino implantar otras que consigan la confidencialidad, integridad y disponibilidad de los datos personales.