Preguntas sobre protección de datos y proveedores cloud
Cuatro preguntas sobre protección de datos que deben hacerse las pymes al contratar a un proveedor cloud.
Coincidiendo con el Día Internacional de la Protección de Datos que se celebra cada 28 de enero desde el 2006, el equipo de expertos de seguridad de acens Part of Telefónica Tech, ha querido compartir sus recomendaciones para que las Pymes eviten poner en riesgo la protección de sus datos al contratar servicios en la nube.
Según explica Pedro Vignau (Jefe del Departamento Legal en acens): "El cliente como responsable del tratamiento necesita por parte de los proveedores un ejercicio de transparencia relativo a los servicios que ofrece. Por ello, de manera previa a la contratación, los proveedores deben informar al cliente sobre qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos para la prestación del servicio". Con esta información el cliente debe ser capaz de hacer la evaluación de riesgos correspondiente y establecer los controles adecuados según el resultado, apoyándose en el proveedor para establecer las medidas de seguridad necesarias. Por ello, desde acens recomiendan que a la hora de evaluar un proveedor de servicios cloud los clientes tengan en cuenta los siguientes aspectos clave:
1. ¿Qué tipo de datos voy a alojar en la nube del proveedor? El tipo de dato determina el riesgo asociado y los controles a implantar para su correcta gestión. Asimismo, se debe analizar la actividad propia del cliente para ponderar la relevancia de esos datos.
2. ¿Quién va a tratar mis datos además del proveedor cloud? Se debe valorar si hay subcontratación en la prestación del servicio y por lo tanto hay otros encargados del tratamiento.
3. ¿Desde dónde se tratarán los datos? El tratamiento de datos desde fuera del Espacio Económico Europeo es considerado una transferencia internacional, debiendo revisarse las garantías aplicables al tratamiento.
4. ¿Qué medidas de seguridad ofrece el proveedor del servicio? Una vez establecido el riesgo del tratamiento, el cliente debe evaluar si las medidas que el proveedor aplica al servicio son suficientes o si debe aplicar unas diferentes o complementarias, determinando cómo se deben tratar los datos por su parte. Las certificaciones en materia de seguridad como la ISO 27001 garantizan al cliente que el proveedor cumple con unos estándares de seguridad adecuados.
Para Fernando Serrano (Responsable de Seguridad Corporativa en acens): "Se debería tener en cuenta, antes de utilizar servicios en la nube, que todos los proveedores se rigen por un esquema de corresponsabilidad en materia de seguridad de la información. De tal manera que, en general y según el tipo de servicio contratado, el proveedor debe velar por las medidas de seguridad utilizadas para proteger las infraestructuras donde se ubica la nube (seguridad física, suministro eléctrico, climatización, comunicaciones, protección de hipervisores, etc.) y los clientes deben responsabilizarse de las medidas de seguridad de lo que allí almacenan o despliegan, porque son los responsables de esa información, ya sean o no sistemas administrados por el proveedor".
Este esquema cambia según el tipo de servicio contratado, ya que en servicios de tipo Software como Servicio (SaaS), la mayor parte de la responsabilidad en cuanto a medidas de seguridad recae en los proveedores, pero en el otro extremo donde el proveedor solo proporciona la infraestructura para que los clientes desplieguen sus sistemas (IaaS), la responsabilidad del cliente sobre las medidas de seguridad a implementar aumenta.