Confianza en la nube
Con la consolidación de la computación en la nube (cloud computing), los centros de datos se están convirtiendo en un elemento central de la economía digital. Sin embargo, a raíz de las recientes revelaciones sobre espionaje político y empresarial, la seguridad de los datos está más que nunca entre las preocupaciones principales de los ejecutivos.
Para muchos proveedores de SaaS (Software-as-a-Service), el centro de datos es el corazón de la cadena de valor. La selección del sitio y el proveedor de la nube es una opción estratégica que impacta directamente en el negocio de estas empresas. Los criterios de selección incluyen niveles de disponibilidad, de seguridad y niveles de certificación (por ejemplo ISO 27.001); la conectividad, el rendimiento y el estado de madurez de los servicios prestados mediante servidores virtualizados; la estabilidad financiera del proveedor de alojamiento; y la ubicación física de los datos y el cumplimiento de la legislación en materia de protección de los mismos.
Hoy en día, las garantías y los niveles de servicio ofrecidos por los mejores operadores en el mercado permiten a las empresas y administraciones alojar sus datos más sensibles en la nube de forma segura. Sin embargo, el cumplimiento de la legislación europea sobre protección de datos a menudo se descuida, a pesar de que constituye un potencial riesgo legal y financiero para las empresas y sus directivos.
La seguridad de los datos, por lo general, se contempla desde dos perspectivas: la sensibilidad estratégica (datos sensibles o confidenciales) y de seguridad física (corrupción de bases de datos, capacidad de rastrear una copia de seguridad tan pronto como sea posible, etcétera). El centro de datos está directamente involucrado en la seguridad de los activos de información, debiendo garantizar la disponibilidad, integridad y confidencialidad de los datos en todo momento.
Casos recientes ayudan a educar al mercado sobre estos temas. Por ejemplo, el caso Snowden ha sacado a la luz la ley Patriot Act de EE UU, que concede a la NSA (National Security Agency) acceso ilimitado a datos hospedados o gestionados por empresas americanas y los datos en la nube de sus filiales en el extranjero, sin necesidad que sus clientes sean informados.
Es decir, si un proveedor de SaaS es una empresa o filial de una empresa de EE UU, independientemente de la ubicación física del alojamiento de los datos, en la UE o fuera de ella, la NSA tiene el derecho de exigir el acceso a los datos alojados y el proveedor tiene prohibido informar a sus clientes que lo soliciten. Esta obligación legal choca frontalmente con las normas de la UE sobre protección de datos. El cliente está, a menudo sin saberlo, legal y financieramente expuesto, ya que no puede garantizar que se cumple con la legislación sobre protección de datos. El puerto seguro que la UE mantiene con EE UU. ha quedado obsoleto por la Ley Patriot Act. Esta situación está haciendo perder mucho dinero a compañías norteamericanas por la fuga de clientes que no quieren exponerse innecesariamente a que sus datos sean compartidos sin ni siquiera ser informados.
En este complejo contexto, y con una legislación bastante homogénea y cada vez más restrictiva en los diferentes países de la Unión Europea, se deben tener en cuenta varios criterios en los contratos con proveedores SaaS que pueden evitar potenciales riesgos: la localización del alojamiento de los datos, copias de seguridad y dispositivos para el DRP (Disaster Recovery Plan) en la Unión Europea; la presencia exclusiva en la cadena, de empresas de servicios en la nube sometidas a la legislación europea y que puedan demostrar que no están sujetas a la ley de EE UU; el manejo explícito del derecho a la transferencia de datos a un tercero, con el requisito de la aprobación previa por parte del cliente.
Las empresas tienen valiosas herramientas contractuales para garantizar que sus proveedores de servicios en la nube no se exponen legal y financieramente, sin su conocimiento, en el tema de protección de datos. Todavía hay mucha necesidad de educar y sensibilizar en este tema y, para ello, es clave la transparencia que deben ofrecer los proveedores de servicios en la nube.
Eduardo Martínez es director General de EasyVista España.