BRIOS ¿Un experimento peligroso?.
La llamada nube informática, cloud computing, o computación en la nube, en sus diferentes alternativas de privada, pública, comunitaria, o híbrida, constituye una nueva modalidad de servicios y recursos informáticos que bajo sus diferentes tipos (SaaS, PaaS, IaaS) presenta como característica fundamental: la de la utilización de servicios telemáticos para el uso de recursos de almacenamiento, procesamiento, memoria, software y máquinas virtuales propios del proveedor de servicios de cloud computing y ajenos al cliente que demanda tales servicios.
En concreto, y en nubes del tipo SaaS, en las que se prestan servicios de software y almacenamiento, los datos del cliente o usuario se encuentran alojados en los servidores o plataformas informáticas del prestador de servicios de cloud computing. Los servicios y, de hecho, plataformas enteras de computación se transfieren a «la nube». En lugar de tener los datos almacenados en bases de datos propias de la empresa o en el propio PC del usuario, los datos están en plataformas o servidores del proveedor de tales servicios, los cuales pueden estar en cualquier parte del mundo. Y peor aún, los datos pueden trasladarse en un instante de un país a otro por razones de eficiencia. En efecto, los datos están en la nube. Esto plantea numerosos problemas técnicos de seguridad y vulnerabilidad de los datos, y jurídicos en materia de protección de datos, confidencialidad, propiedad intelectual etc.
Por ello la moda innovadora que el cloud computing representa y los riesgos y vulnerabilidad que en materia de seguridad ofrece hace que tenga tanto entusiastas como detractores.
Para algunos, la computación en nube es revolucionaria: «Estamos entrando en un mundo nuevo. Un mundo de aplicaciones de próxima generación y plataformas de próxima generación», mientras que otros son mucho más cautos: «Las nubes son vapor de agua. [”¦] Esto no es más que un ordenador conectado a una red.», dice Larry Ellison, de Oracle. Por su parte, el analista de empresas Gartner parece estar de acuerdo con esto último y afirma que la computación en nube está en la cima de las «expectativas infladas», y de camino al «valle de la desilusión».
El propio Instituto Nacional de Tecnologías de la Comunicación, dentro del Plan Avanza del Ministerio de Industria Turismo y Comercio, elaboró en marzo de 2011 un informe sobre los Riesgos y Amenazas en Cloud Computing , (ver enlace ) en el que recoge los informes elaborados por instituciones, organismos y expertos en la materia tales como la reciente publicación del NIST (National Institute of Standards and Technologies) “Guidelines on Security and Privacy in Public Cloud Computing”, o los informes recientes de la organización internacional CSA (Cloud Security Alliance) y de la consultora Gartner, con el propósito de facilitar una visión general de amenazas, riesgos y aspectos a considerar en la seguridad en cloud.
Especialmente interesante y significativo es el informe elaborado por la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) en enero de 2011 sobre Seguridad y resistencia en las nubes de la Administración Pública en el que se pone de manifiesto la prudencia y cautela con la que ha de actuarse a la hora de adoptar el modelo de servicio de computación en la nube dado que muchos organismos públicos no han creado aún un modelo de evaluación de los riesgos para su organización en relación con la seguridad y el control sobre los datos y las operaciones de TI, para garantizar el cumplimiento de la legislación y la normativa sobre su protección.
La propia Agencia Española de Protección de Datos se encuentra inmersa en el proceso de revisión de la Directiva 95/46/CE de Protección de Datos, proyecto impulsado por la Comisión Europea, al objeto de adaptar sus disposiciones al mundo de las nuevas tecnologías, y en especial a los servicios de cloud computing, fijando como uno de los objetivos del futuro marco legal europeo, reforzar el control de los ciudadanos sobre los propios datos, e introducir nuevos principios. Asimismo, la revisión de la directiva de protección de datos, contempla la extensión a otros sectores -como el financiero-, de la obligación de las empresas de telecomunicaciones (recogida en la Directiva 136/2009/CE), de notificar las brechas de seguridad a la autoridad nacional competente, así como a particulares y usuarios si la violación de datos personales pueda afectar negativamente a su intimidad.
Muestra de la preocupación por otorgar de seguridad jurídica a este tipo de relaciones comerciales tan “etéreas”, podemos observarla en manifestaciones como la realizada el pasado 18 de octubre de 2011 durante la celebración del IV Foro del Data Privacy Institute, por el Director de la AEPD, el cual afirmó que: “El Cloud Computing no se puede convertir en una vía para eludir la normativa de protección de datos”.
Aunque el cloud computing nació inicialmente para compartir archivos por uno o varios usuarios y en diferentes plataformas informáticas, lo cierto es que en la actualidad también se está empezando a utilizar para el almacenamiento fuera del entorno local de las copias de seguridad realizadas por las empresas de sus datos.
La realización de copias de seguridad o respaldo de los ficheros automatizados que contengan datos personales es una exigencia derivada, no sólo de la normal prudencia en la utilización de archivos informáticos, sino impuesta expresamente por la normativa de protección de datos. (artículo 9.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de carácter personal- LOPD, y artículos 89 y siguientes del Reglamento de desarrollo de la LOPD (RLOPD), aprobado por el Real Decreto 1720/2007, de 21 de diciembre, relativos a las medidas de seguridad aplicables a ficheros y tratamientos automatizados.).
De estos artículos resultan una serie de principios:
– Las medidas de seguridad exigibles a los ficheros y tratamientos de datos personales se clasifican en tres niveles: básico, medio y alto.
– Los ficheros de nivel básico y medio solo requieren una copia de respaldo semanal de los ficheros automatizados, salvo que en dicho período no se hubiera producido ninguna actualización de los datos. (art 94 RLOPD).
– Sólo en el caso de ficheros automatizados de nivel alto (Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual, los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas, o que contengan datos derivados de actos de violencia de género, artículo 81.3 RLOPD) deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan (artículo 102 RLOPD).
– El responsable de los ficheros, o sea el Registrador, responde en todo caso de la seguridad, fidelidad, custodia y confidencialidad de los datos (artículos 9 y 10 LOPD). La Resolución R/00243/2011 de 16 de febrero de la Agencia Española de Protección de Datos es muy clara al respecto.
Y si esto es así, por qué meterse en este proceloso, movedizo y gaseoso mundo de las nubes informáticas con tanta urgencia y precipitación, sin esperar a que por parte de los organismos nacionales e internacionales se clarifique la situación y se adopten e impulsen las medidas técnicas y jurídicas necesarias para ofrecer las debidas garantías a proyectos como el denominado BRIOS.
| Tweet |
|
