LegalToday

Por y para profesionales del Derecho

Portal jurídico de Aranzadi, por y para profesionales del Derecho

29/03/2024. 01:53:55

LegalToday

Por y para profesionales del Derecho

Blog ECIJA 2.0

Aspectos básicos a tener en cuenta en la migración al Cloud

asociado Senior del área de Privacidad y Compliance de ECIJA

Los recientes hechos acaecidos con los grandes proveedores de servicios internet y el escándalo Snowden no necesariamente deben hacernos pensar que la era del cloud ya dejó de ser relevante para siempre.

Una nube con dos flechas

Desde mucho antes del incidente Snowden se sospechaba que el programa Echelon podría haber servido para la filtración de secretos industriales http://news.bbc.co.uk/2/hi/europe/820352.stm : e información reservada, cuando compañías europeas perdieron concursos millonarios para el aprovisionamiento de aeronaves frente a sus homólogos estadounidenses, quienes aparentemente habrían accedido a información confidencial.

Es pronto para dimensionar ahora las consecuencias que acarreará el escándalo Snowden en las tendencias de computación global, de tal manera que sería apresurado decir que la era del cloud haya terminado para siempre, pero lo que es seguro es que servirá para concienciar de forma más crítica acerca del primer punto que siempre debió tomarse en consideración al sopesar soluciones en cloud, y es que la elección de un proveedor u otro tiene serias repercusiones en el resultado final que cabrá razonablemente esperar, y que ciertos núcleos de negocio no podrán ser nunca externalizados.

Una vez dicho esto, y teniendo siempre presente que la elección de proveedores comunitarios respecto de otros que puedan estar sometidos a leyes con alcance extraterritorial en la cadena de subcontrataciones es lo más importante, pasemos a examinar algunos de los aspectos a tener en cuenta cuando se ha optado por una solución de este tipo:

  • los principios de mínimo privilegio y segregación de funciones son también piedra angular en la nube. La información debe clasificarse y los accesos se asignarán con arreglo a criterios de need-to know.  Resulta también práctico instaurar un mensaje admonitorio en arranque de sesión, recordando al usuario que está accediendo a los sistemas corporativos, implicando que por la aceptación del checkbox de entrada se compromete a acatar la política de seguridad corporativa. Reforzar ese mensaje diariamente, junto con concisas "píldoras" de formación LOPD contribuye a concienciar al usuario de que su papel para la preservación de la seguridad de la información dentro de la compañía es clave, y que está accediendo a un entorno de computación que trata recursos corporativos, con independencia de la titularidad del terminal con que esté accediendo, en los casos de BYOD.
  • Inmail: normalmente la migración al cloud permitirá funcionalidades tales como la remisión automática de nómina por correo electrónico a todos los trabajadores. En grandes corporaciones con personal de oficina y flota de fábrica deberá valorarse qué usuarios reciben cuentas con privilegio de envío de mensajes fuera de la organización, y qué otros colectivos son dotados con un simple inmail, con privilegios de envío limitados a destinatarios internos de la compañía.
  • En un entorno cloud cobra también importancia la segregación de privilegios de copiado de archivos. No necesariamente todos los usuarios deben tener habilitado el permiso de copiado, o puede limitarse la capacidad de transporte en función del nivel de privilegio, con el objeto de prevenir la fuga de información. Pueden establecerse logs para monitorizar patrones anormales de conducta en este sentido.
  • El proveedor de cloud deberá asegurar la portabilidad de los datos al final del servicio sin costes adicionales o, cuando menos, sin costes desproporcionados que disuadan de la migración. Este punto tiene especial importancia para no generar cautividad con un único proveedor que estará tentado a plantear unilateralmente modificaciones sobrevenidas en su beneficio.
  • Continuidad: en el cloud hemos transferido el riesgo de operación a un tercero; pero precisamente, al hacerlo, nuestra continuidad de negocio es más vulnerable de un solo punto. Muchos recordarán los percances sufridos en compañías punteras del 2.0 dependientes de la infrastructura Amazon EC2 cuando se produjo una gran caída el2011 que llegó a copar las portadas del New York Times. Redundancia o continuidad as a service deberán considerarse para gestionar esta eventualidad.
  • Definición de plazos de conservación de archivos obsoletos.
  • La definición de indicadores de rastreo de uso anormal del sistema es básica para prevenir fugas de información. Asimismo, se debe tener en cuenta el uso de honeypots.
  • Login con aviso de última sesión: para dotar a la empresa de un mecanismo de alerta temprana en caso de vulneración de contraseñas es importante que al inicio de sesión se informe al usuario de la última hora de uso del sistema con su contraseña, y de ser posible generar avisos de alerta en casos de consulta desde ubicación inhabitual (los usuarios de servicios gmail estarán familiarizados con las notas informativas que aparecen en pantalla cuando uno accede al sistema desde otro país estando de viaje)
  • Por último, los planes de security as a service y pruebas de intrusión y formación continua a usuarios cierran el círculo de las categorías de ítems que deben tenerse en cuenta en el paso al cloud.

Valora este contenido.

Puntuación:

Sé el primero en puntuar este contenido.