Cuando hablamos de “Servicios cloud” o “Servicios en la nube” nos referimos a servicios que se utilizan a través de internet.

Los programas informáticos no están instalados en el ordenador del usuario, sino que se alojan en un servidor y son accesibles desde cualquier dispositivo, siempre y cuando tengan conexión a internet.

El concepto nube lo utilizamos principalmente para referirnos al almacenamiento de datos fuera de nuestros dispositivos, lo que conlleva la firma (con el proveedor de almacenamiento) del correspondiente contrato de Encargado del Tratamiento, toda vez que realizará un tratamiento de datos personales por cuenta del Responsable, esto es el almacenamiento.

Ventajas e Inconvenientes:

VENTAJAS

Acceso permanente desde cualquier lugar y en cualquier momento a la información. Únicamente necesitamos estar conectados a internet.

Escalabilidad y flexibilidad que económicamente puede resultar muy interesante.
Posibilidad de obtener los recursos que necesitamos en un momento determinado y el pago por el uso de esos recursos en concreto.

Supervisión del servicio, en la mayoría de los casos, por el proveedor, quien se encargará de mantener los sistemas y arquitecturas.

En caso de problema o incidente los proveedores suelen alojar sus sistemas en varias ubicaciones, de esta manera garantizan la disponibilidad de la información.

Los recursos y la tecnología utilizada, estará siempre actualizada dado que el proveedor se encargará de ello.

INCONVENIENTES

Los datos de la organización (personales, económicos…) al estar alojados en los servidores del proveedor, en caso de fallo técnico o de seguridad, la información podría verse comprometida.

Es necesario leer con detalle el contrato de suministro (ubicación, disponibilidad, responsabilidades…) toda vez que nuestra información estará en manos del proveedor.

Existe la posibilidad de que los servicios no estén disponibles por cualquier problema que surja, lo que repercutiría negativamente en nuestro negocio.

Es indispensable tener conexión a internet para acceder al servicio.

Modelos de Contratación y Responsabilidades:

Actualmente existen los 3 categorías o tipos de contratación de los Servicios cloud, que se exponen a continuación:

SaaS

Software as a Service, el más sencillo para el usuario final, comprende servicios como correo, suite ofimática, juegos, etc.

RESPONSABILIDAD

En términos de ciberseguridad, la responsabilidad de que los sistemas se encuentre actualizados recae sobre el proveedor.

PaaS

Platform as a Service, para actividades concretas de desarrollo o despliegue de aplicaciones como servidores web, herramientas, bases de datos, etc.

Se suele usar este modelo en aquellas empresas que desarrollan o tienen aplicaciones propias y necesitan una plataforma para instalarlas, despreocupándose del hardware y del sistema operativo (servidores de aplicaciones (web y otros), servicio de propagación de contenido…).

RESPONSABILIDAD

En términos de ciberseguridad, la responsabilidad es compartida, el proveedor garantiza la seguridad de la plataforma y arquitectura que lo soporta, pero es el cliente quien se encarga de mantener actualizadas y securizadas las aplicaciones que instala.

IaaS

Infraestructure as a Service, en éste se adquiere la arquitectura y está destinada a personal técnico y avanzado que quiere construir servicios sobre las plataformas que contrata.

Se suele usar este modelo en empresas que se dedican a desplegar centros de proceso de datos virtuales u otro tipo de grandes centros de computación para diversos fines (alquiler de servidores dedicados).

RESPONSABILIDAD

En términos de ciberseguridad, la responsabilidad es compartida, el proveedor garantiza la seguridad de las instalaciones en las que se encuentran los servidores, pero es el cliente quien se encargad de mantener actualizados y securizados tanto los sistemas como las aplicaciones que despliega en ellos.

De todos ellos el más utilizado es el primero (SaaS), en el cual, todo lo relacionado con mantenimiento, soporte y disponibilidad es manejado por el proveedor, quien, tal y como adelantábamos al inicio del presente artículo será el Encargado del Tratamiento, con el cual será necesario firmar el correspondiente contrato de Encargado.

Independientemente del modelo de contratación empleado, se deberá estar, a la hora de elegir el concreto proveedor, a lo siguiente:

  • Seguridad, privacidad y disponibilidad de los servicios que ofrece el proveedor (la personalización suele llevar un sobrecoste).
  • Cumplimiento de lo establecido en el RGPD (contrato de Encargado del Tratamiento).

Amenazas a las que Están Expuestos:

Los Servicios Cloud están expuestos a amenazas de diversa índole, pudiendo destacar las siguientes:

Amenazas internas

Insiders dentro de la organización. Hay que dar de baja a los usuarios cuando cesen la actividad en nuestra organización, habrá que notificar al proveedor cloud para que inhabilite o elimine las cuentas.

Control de acceso

Será necesario tomar las precauciones necesarias (credenciales y en la medida de lo posible un segundo factor de autenticación).

Uso compartido

Existe la posibilidad de que, por un fallo de seguridad o una vulnerabilidad, otras empresas o usuarios puedan acceder a nuestra información.

Fuga de información

Por los mismos motivos que en el apartado anterior, además si no se usan protocolos de cifrado para las comunicaciones, es posible que podamos ser espiados.

Ataques por ciberdelincuentes

Existe la posibilidad de ataque tanto a nuestro personal, como al proveedor, pudiendo el ciberdelincuente acceder a nuestra información en caso de éxito.

Localización y separación de datos

Para cumplir con el RGPD, el proveedor deberá tener los servidores dentro del Espacio Económico Europeo (EEE), o en caso contrario cumplir con las garantías establecidas.

Además, mediante ANS (Acuerdos de Nivel de Servicio) tenemos que garantizar que los datos, en caso de infraestructura compartida, no se mezclen con los de otra empresa.

Cumplimiento normativo

Si el proveedor no cumple, nuestra empresa podría enfrentarse a una sanción.

Recuperación y posibilidad de auditoría

Es necesario que el proveedor cuente con sistemas de respaldo y saber cuánto tiempo tardará en responder el servicio y que nos permita investigar el caso si se materializa un incidente, esto servirá en caso de tomar acciones legales o investigar el caso.

Conclusiones:

A la hora de contratar Servicios Cloud, la principal cuestión a tener en cuenta será el cumplimiento del RGPD por parte del potencial proveedor, toda vez que el RGPD establece en su artículo 28 que “Cuando se vaya a realizar un tratamiento por cuenta de un responsable del tratamiento, este elegirá únicamente un encargado que ofrezca garantías suficientes para aplicar medidas técnicas y organizativas apropiadas, de manera que el tratamiento sea conforme con los requisitos del presente Reglamento y garantice la protección de los derechos del interesado.”.

Leer más: ¿Es acorde a la normativa de protección de datos el reconocimiento facial?