La seguridad de los datos en la nube
Share
Por Andrea Vivanco, Subgerente de Tecnología de Chubb Seguros
Al contratar un servicio de nube administrado, es importante validar los parámetros de seguridad que tiene el proveedor considerando la disponibilidad, integridad, confidencialidad, trazabilidad, transparencia, aislamiento y portabilidad. Una buena práctica es seguir las recomendaciones de organismos especializados como la Global Privacy Assembly -GPA-2 en cuanto a la computación en la nube que sugiere algunas medidas como el análisis de riesgos y evaluaciones de impacto sobre protección de datos antes de contratar servicios de un tercero considerando aspectos regulatorios y técnicos.
En el análisis de riegos se evalúa el impacto de la seguridad del proveedor frente a lo que se tiene en la compañía. A nivel regulatorio, el proveedor deberá estar alineado a las regulaciones de seguridad de datos para cumplir tanto con los entes regulatorios y los clientes. A nivel técnico se deberá evaluar la topología de red y arquitectura del servicio, revisar la ISO/IEC 17789 te dará una guía de arquitectura para nube.
No hay que olvidar evaluar la seguridad de las instalaciones físicas, contar con el control de cámaras y controles de acceso a las instalaciones, así como las auditorías al tercero, utilizando programas de seguridad como Cloud Security Alliance STAR. El control perimetral, cifrado de datos, uso de MFA o multifactor de autenticación, logs de accesos y vulnerabilidades y respaldos seguros.
En cuando a la protección de datos se debe considerar que, al concluir el contrato de servicio, el proveedor asegure la eliminación de todos los datos alojados, debe prever mecanismos que garanticen el borrado seguro de los datos cuando lo solicite el cliente y, al finalizar el contrato.
Además, cuando se disuelva el contrato o a la terminación del servicio, tomar en cuenta la portabilidad, es decir la entrega de toda la información al cliente en el formato que se acuerde, de forma que éste pueda almacenarla en los centros de datos o se traslade a los de un nuevo proveedor en un formato que permita su utilización, en el plazo más corto posible, con total garantía de la integridad de la información y sin incurrir en costes adicionales.
Responsabilidad del manejo de datos
Con la Ley de Protección de Datos surgen nuevas inquietudes alrededor de la responsabilidad sobre el manejo de los datos, considerando que esta responsabilidad no se delega, los clientes corporativos que utilizan servicios de terceros deben asegurar la información de sus clientes finales.
A nivel corporativo una de las sugerencias es tratar a través de documentos legales la confidencialidad de la información, por lo cual se sugieren que estos sean firmados por el proveedor del servicio en la nube y la compañía contratante, esto generalmente sugiere marcos jurídicos donde el tercero se compromete a mantener la confidencialidad y seguridad de la información alojada en sus centros de datos y la no divulgación de esta. Es un documento que se debe tener listo al inicio de la evaluación de servicios, y previo a la firma de un contrato de servicio. Es importante que en estos documentos se mencione que el cliente contratante deberá estar informado previamente de los cambios de políticas de privacidad o condiciones del servicio. Cabe mencionar que esto refiere a un marco regulatorio y no contractual.
Las sanciones que impone la Ley de Protección de Datos de Ecuador por violar la normativa de protección de datos son altas y podrían ascender a una cuantía entre el 0.7% y el 1% calculada sobre el volumen de negocios, lo cual corresponde al ejercicio económico del año anterior al de la imposición de la multa.
Acuerdos de nivel de servicio y protección de datos
Los acuerdos de nivel de servicio se deben revisar desde dos frentes: el marco contractual y el regulatorio. Cuando hablamos de marco contractual será similar a un contrato de servicio externo o también llamado un “outsourcing de servicio”, y a esto le deberemos sumar la ubicación de los datos, accesibilidad, actualizaciones de infraestructura tanto a nivel de hardware y software, disponibilidad del servicio, atención a incidencias, atención a vulnerabilidades, tiempo de vigencia y precio.
A nivel regulatorio es importante que el contratante coloque todas sus regulaciones de cumplimiento para clientes y regulaciones del país, para que dentro de este marco se acuerden todos los temas de cumplimiento de la seguridad y protección de la información.
De acuerdo con la Ley de Protección de Datos de Ecuador esta nos fija un plazo de 3 días para notificar cualquier vulnerabilidad de seguridad a la Autoridad de Protección de Datos Personales, así como a la Agencia de Regulación y Control de Telecomunicaciones, y de igual manera la compañía proveedora del servicio está obligada a notificar al afectado directo, en este caso pudiendo ser un cliente, quien deberá ser notificado en el término de 5 días desde que se presenta la vulnerabilidad.
La participación del área legal es imprescindible por su conocimiento de los marcos regulatorios y privacidad de datos, la llamo una relación directa, y esto parte desde el marco regulatorio, evaluación del proveedor con la participación del área financiera, contratos y el área de seguridad de tecnología hasta llegar al marco contractual.
Seguridad de las aplicaciones en la nube
Al momento de definir qué aplicaciones irán a la nube se deberá evaluar la tipología de los datos a compartir, puede ir de menor a mayor sensibilidad y cubrir los aspectos de seguridad, disponibilidad y escalabilidad.
Hay negocios que crecen a gran escala, pero que al mismo tiempo necesitan garantizar que la información de sus clientes se encuentre alojada de manera segura y que esté disponible a la hora que el cliente la requiera. En estos casos, es necesario preguntarnos: ¿El tercero me brinda mayor seguridad y alta disponibilidad que al tenerla en mi centro de datos?