> España es el segundo país de Europa (por detrás de Francia) en el que más Pymes utilizan ‘la nube’.

> En la cruz de este modelo de Cloud Computing se encuentran los riesgos sobre la seguridad y la privacidad de los datos.

La quinta mesa redonda que se desarrollará dentro de la XV Jornada Internacional del ISMS Forum Spain, abordará la "Seguridad en el ámbito de las Apps basadas en el Cloud Computing". El debate contará con la intervención de expertos en el sector como Federico Dios, Security Analyst de Akamai; Jesús Milán Lobo, Head of IT Risk & Security business Services de Telefónica España; Ángel Márquez, Socio de Necsia; y Luis Buezo, Chairman de Cloud Security Alliance España e IT Infrastructure and Cloud Consulting Director EMEA de HP.

El concepto del ‘Cloud Computing’ fue mencionado por primera vez en 2006. En el año 2011, las grandes telecos ya pronosticaban el crecimiento del 44% del tráfico en la nube en los próximos cinco años. A día de hoy, España es el segundo país europeo en que más Pymes utilizan la Nube (sólo por detrás de Francia). El 49% de las pymes están convencidas de que aumentarán el gasto en servicios cloud en los próximos 12 meses. 

Y es que son múltiples las ventajas que ofrece este modelo. El borrador de la ‘Guía de Seguridad de las TIC. Seguridad en entornos Cloud’ (con fecha de abril de 2014) publicado por el Centro Criptológico Nacional (CCN), dependiente del Ministerio de Hacienda y Administraciones Públicas, fija en tres las características definitorias del Cloud Computing que constituyen, al mismo tiempo, su mayor valor:

1. Accesibilidad de la información, al facilitar el acceso, con independencia del lugar o el tipo de dispositivo que se emplee, con sólo tener acceso a la red.
2. Ahorro económico con respecto al modelo de servicio y alojamiento tradicional (gracias al ahorro de recursos dedicados internamente a hardware, mantenimiento, personal dedicado, suministros, espacio e instalaciones).
3. Deslocalización de datos, lo que se traduce en una clara ventaja a la hora de que el cliente puede llevar los datos y los procesos al lugar más conveniente para la organización, además de mantener el control de acceso estén donde estén estos datos.

También lo demuestra el ‘Estudio del Estado de la Seguridad en la Cloud Computing’, llevado a cabo por Cloud Security Alliance España a lo largo de todo el año 2013, con la participación de empresas y particulares mayoritariamente de España, pero también de Latinoamérica y Europa, que concluye que el 77% de las organizaciones y particulares del mercado hispano emplea servicios de Cloud Computing. El almacenamiento es el servicio más demandado por los usuarios del mercado hispano (un 62% de ellos reconoce emplearlo), seguido de los servicios web (38%) y el correo electrónico (33%).

Un estudio realizado por el Cloud Security Alliance inmediatamente después de que saltará a la luz pública el caso PRISM (que revelaba el hecho de que la NSA y el FBI de Estados Unidos podrían haber tenido acceso directo durante los últimos años a los servidores de compañías de servicios y fabricantes importantes, como Google, Facebook, Apple o Microsoft), y en el que participaron 456 profesionales (de los cuales 234 de origen estadounidense), concluyó que el 56% de los encuestados mostraba su negativa a contratar servicios cloud tras el escándalo PRISM, y hasta un 10% de los encuestados manifestaba haber cancelado servicios de proveedores cloud ubicados en EE UU. Asimismo, la encuesta revelaba la falta de transparencia percibida y la disconformidad con la regulación americana.

Si bien no existe una regulación específica sobre computación en la Nube, diversas autoridades regulatorias han tratado de dar respuesta a algunos de los retos que suscita el Cloud Computing. En relación con la privacidad de los datos de carácter personal en entornos Cloud, destacan los emitidos por el Grupo de Protección de Datos del Artículo 29 y la Agencia Española de Protección de Datos (AEPD).

Así, según la ‘Guía para clientes que contraten servicios de Cloud Computing’ de la AEPD, en España y aunque el modelo de cloud computing hace posible que tanto los proveedores de servicios como los datos almacenados en la nube se encuentren ubicados en cualquier punto del planeta, “el cliente que contrata servicios de Cloud Computing sigue siendo responsable del tratamiento de los datos por lo que la normativa aplicable al cliente y al prestador del servicio es la legislación española sobre protección de datos (Ley Orgánica 15/1999, de 13 de diciembre y Reglamento de desarrollo –RLOPD- aprobado por R.D. 1720/2007)”. Esta guía sigue indicando que, además, “la legislación española no puede modificarse contractualmente y que aunque el cliente sea informado de que los datos personales están disociados, no cambia la ley aplicable ni la responsabilidad del cliente y del prestador del servicio”.

Por su parte, y en aras de contribuir a la seguridad de entornos cloud, Cloud Security Alliance Global, en colaboración con BSI Group, ha creado unesquema de certificación en entornos Cloud denominado STAR y  desarrollado para facilitar y posibilitar un entorno de confianza en la adopción de servicios en la nube. STAR se configura así como una certificación que, acreditada por los proveedores de servicios cloud, constituye una garantía de seguridad para sus clientes. El Sistema de Gestión de Seguridad de la Información ISO 27001 y su marco de controles estándar ISO 27002 respaldan la Certificación STAR.

Sin duda, la tendencia hacia el Cloud Computing es ya imparable pero no hay que dejar de lado los también evidentes riesgos a la seguridad que esta tendencia plantea. Los representantes de las empresas mencionadas al principio, componentes de esta cuarta mesa redonda, revisarán los modelos de servicio ya establecidos, los riesgos en materia de seguridad que entrañan y las nuevas necesidades de gestión. 

XV Jornada Internacional de ISMS Forum Spain

La Sociedad Digital entre Confianza y Ciber-riesgos

28 de mayo de 2014, de 09.00 a 18.30 h.

Salón de Actos de la Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información del Ministerio de Industria, Energía y Turismo (C/ Capitán Haya, 41 Madrid)