La vigésima edición del nuevo Congreso y Exposición asLAN2013 "Cloud&Network Future" reunió, en su segunda jornada, a expertos en seguridad y privacidad en torno al Cloud&Data Center. Bajo el título “La Seguridad y Privacidad en el outsourcing hacia Data Centers y prestación de servicios en Cloud”, miembros representantes del Data Privacy Institute y del capítulo español de Cloud Security Alliance abordaron las principales consideraciones de privacidad y seguridad en la contratación de servicios Cloud, para dar cuenta de las ventajas y los riesgos de la contratación de servicios en la Nube.

En este orden, Javier Carbayo, miembro del Comité Operativo del Data Privacy Institute (DPI) y Gerente de Governance, Risks & Compliance de Ecix Group, aportó su visión sobre los “requisitos futuros” que implica el borrador del nuevo Reglamento Europeo de Protección de Datos de la UE, y que el DPI pone de manifiesto en el Estudio impacto y comparativa con normativa española de la propuesta de Reglamento de Protección de Datos de la UE, en el que se muestra un análisis de la correspondencia entre los artículos de la normativa española y el borrador del Reglamento, poniendo de relieve las diferencias entre ambas regulaciones y evaluando el impacto que tendrán en las empresas. En este sentido, Carbayo destacó la importancia del nuevo Reglamento por cuanto afectará a la prestación de servicios Cloud: “En realidad las consideraciones de privacidad no afectan al cliente sino al proveedor del servicio, ya que deberá responder a un nivel de cumplimiento aceptable”.

Entre los principales puntos de la normativa, destacó los conceptos de “Accountability”, “Privacy by Design” y “Privacy by Assesstment”. El primero de ellos, Accountability, supone la necesidad de demostrar el cumplimiento de la normativa en el momento que se solicite, lo que implica que las empresas que ofrezcan servicios Cloud tendrán que aplicar la privacidad desde el diseño Privacy by Design y evaluar las consecuencias en el tratamiento de datos personales Privacy by Assesstment. Además, Carbayo puso de relieve los problemas derivados de la transferencia internacional de datos, ya que las empresas que contraten servicios Cloud " fuera de las fronteras de la UE deberán asegurarse del adecuado tratamiento de los datos.

La segunda intervención corrió a cargo de Mariano J. Benito, Coordinador del Comité Técnico Operativo del capítulo español de Cloud Security Alliance (CSA-ES) y Director de Seguridad/ CISO en GMV, quien presentó las “Guías de Seguridad en Áreas Críticas en Cloud Computing” de cuya traducción se ha encargado el CSA España con la colaboración de profesionales del sector. La CSAGUIDE, de la que ya se encuentra disponible su tercera versión, es la guía para hispano hablantes más completa sobre las medidas de seguridad y los aspectos a tener en cuenta para las organizaciones que quieran dar el paso hacia la Nube. Mariano destacó los tres bloques de contenido que comprende la guía: Arquitectura, Gobierno y Operaciones. El primero de ellos, esencial para comprender el resto de la guía, describe de manera introductoria el fenómeno Cloud focalizado en la perspectiva de los profesionales de seguridad y de redes TI. En el área de Gobierno, incluye temas como la gestión de riesgos, las cuestiones legales, la auditoría, la seguridad de datos y la interoperabilidad. “Esta área cuenta con gran valor para la toma de decisiones relativas a la contratación de servicios Cloud”, añadía Mariano. Por su parte, el área de Operaciones se articula en torno a temas relacionados con la gestión del servicio, como puedan ser la seguridad y la continuidad del negocio, la seguridad del CPD, la seguridad en aplicaciones, los elementos basados en el cifrado y las claves, la identidad y los accesos, la virtualización y la Seguridad como Servicio (SecaaS). Mariano destacó también el diseño “Use what you need” de la guía, de forma que permite apoyarse en ella en aspectos parciales si esta estrategia es la más conveniente.

Para terminar, Mariano recordó a los asistentes que Cloud Security Alliance España cuenta con la primera certificación en castellano sobre seguridad de la información en Cloud Computing, CCSK (Certification of Cloud Security Knowledge), que se apoya en los contenidos de la CSAGUIDE 3.0.

En tercer lugar, continuando con las aportaciones del CSA al sector, Beatriz Blanco, Miembro del capítulo español de Cloud Security Alliance (CSA-ES) y Senior de IT Advisory – Seguridad. KPMG, presentó la recién publicada versión española del Cloud Controls Matrix (CCM), cuyo objetivo es impulsar la adopción de servicios de Cloud en España, permitiendo tanto el cumplimiento normativo como la seguridad efectiva de los datos. Beatriz destacó que “cada vez la penetración del Cloud es mayor, por lo que es necesario contar con una guía que permita a las empresas conocer cómo se va a asegurar su información”. En esta línea, el CCM es una guía que recoge 98 controles de referencia para la seguridad Cloud, tomando como base los principios publicados por Cloud Security Alliance Global en el Cloud Controls Matrix (CCM) y los requisitos de la normativa española más importantes en la materia (Reglamento de la Ley Orgánica de Protección de Datos, (RLOPD), y el Esquema Nacional de Seguridad, (ENS). La guía contempla 11 ámbitos que recogen controles relacionados con el cumplimiento, la seguridad de la información, la resiliencia o la arquitectura de seguridad, entre otros.