Las empresas acuden al cloud por su seguridad
Carlos Borrás es director general de CB Consulting
En este particular debate entendemos que todos los lectores están suficientemente familiarizados con el cloud computing, por lo que no consideramos necesario acudir a las definiciones. Eso sí, recordaremos los tipos básicos de este modelo (SaaS, PaaS e IaaS), así como recordar sus formas de cloud público, privado y mixto. De esta forma enmarcamos el debate en esta tribuna. Por otra parte, CB Consulting ha investigado recientemente el estado actual del cloud computing en España, así como las tendencias a medio plazo, una vez determinado que el concepto de la nube en nuestro país resulta sobradamente conocido por las empresas españolas. Casi la mitad de la empresas españolas están utilizando actualmente algún tipo de cloud, porcentaje que sube hasta más superar el 80% en las empresas de mayor tamaño, las de más de 500 empleados. Pero es que el dato de las pymes es también importante, ya que alrededor de un 38% de las mismas utilizan alguna solución de estas características.
Las dos principales razones por las que las empresas eligen entrar en la nube son ‘un uso más eficiente del sistema’, y ‘la mejora del servicio que se produce’. De esta forma, vemos que, entre otras razones, las empresas acuden al uso del cloud computing por su seguridad, por extraño que pueda parecer a muchos, cosa que corrobora el hecho de que, hablando sectorialmente, sean precisamente los sectores de la Banca/Finanzas y el Sector Público los que más utilizan la nube, y la naturaleza de estos sectores les obligan a contemplar la máxima seguridad en ambos casos.
Y es que la normativa para las empresas que prestan este tipo de servicios en la nube son muy estrictas, dado que las empresas clientes se ponen en manos de los proveedores de estos servicios su funcionamiento cotidiano y sus medidas de seguridad y backup que, por razones de la estricta normativa, garantizan una seguridad mayor que las que la inmensa mayoría de las empresas clientes tenían antes de acceder al cloud computing. Por ejemplo, el compromiso del contrato a nivel de servicio de Amazon EC2 es de una disponibilidad del 99,95% en cada región de Amazon EC2. Y esto lo decimos incluso recordando que las pasadas navidades Amazon Web Services tuvo un problema en un nodo de servidores que produjo un fallo en el servicio, de una duración no excesiva. Pero aun con estos fallos, escasos por otra parte, el tiempo de falta de servicio para la empresa no supera los tiempos medios de caídas de servicio en las empresas clientes.
Problemas legales del cloud computing
Rafael Beneyto es asociado de Allen & Overy
Existen múltiples cuestiones legales que deben tenerse en cuenta a la hora de implantar soluciones de cloud computing en el ámbito empresarial. Muchas de ellas merecen un estudio detallado que, por razones de espacio, no puede realizarse en este artículo. Así, nos limitaremos a enunciar y analizar brevemente los problemas legales más relevantes. a) Protección de Datos: Cuando los datos alojados en la nube tengan la consideración de datos personales y la prestación del servicio sea realizado por un tercero deberá suscribirse un acuerdo con dicho tercero (encargado del tratamiento) en el cual se incluyan garantías sobre el tratamiento de los datos personales.
No obstante, dichas garantías que se regulan en el artículo 12 de la Ley 15/1999, de Protección de Datos en algunos casos plantean problemas en la práctica que deberán subsanarse (e.g. inspección de las medidas de seguridad implementadas). Asimismo, resultará muy relevante analizar dónde se alojan los datos personales a los efectos de determinar si existe una transferencia internacional de datos que puede requerir de la autorización del Director de la Agencia Española de Protección de Datos. b) Propiedad Intelectual: Las licencias de uso de software suelen limitar el uso que se hace del aplicativo. Así, si una licencia establece que el material debe ser utilizado en un determinado país, en un único equipo, o sólo por los empleados de la institución, si las bases de datos y/o software van a ser alojados en la nube, las licencias tendrán que ser renegociadas. c) Cuestiones penales: Los ilícitos que pueden ser cometidos por un proveedor de servicios en la en la nube suelen estar relacionados con los activos de información de los que es responsable el cliente (revelación de secretos, violación del secreto de las comunicaciones, delitos contra la propiedad intelectual e industrial). d) Seguridad: Desde un punto de vista contractual debe tomarse en consideración que las soluciones en la nube pueden derivar en numerosos problemas de seguridad de la información. Por ello, las empresas clientes deberán cubrir estos riesgos de una manera exhaustiva en el contrato a suscribir con el proveedor de servicios.
Desde el punto de vista del proveedor de servicios, los prestadores de servicios de la Sociedad de la Información como son los servicios de alojamiento de datos en la nube y acceso a Internet, deben cumplir con los requisitos establecidos en la Ley 34/2002. En particular, los proveedores de servicios establecidos en España están obligados a informar a sus clientes de forma permanente, fácil, directa y gratuita sobre su identidad y la forma en que son prestados los servicios.