En los capítulos anteriores aprendimos a diferenciar los tipos de datos que requieren de una protección legislativa del resto e igualmente vimos las medidas de seguridad requeridas por la ley para ciertos datos. En este capítulo vamos a intentar comprender qué es el Cloud y cómo garantiza las medidas de seguridad que requieren la norma o las corporaciones.
Cloud computing
Cloud computing es una estrategia de computación en la que una empresa ofrece servicios de tratamiento de la información a clientes con los caracteres de flexibilidad, optimización en la asignación, reducción de coste de los recursos y desaparición del riesgo inversor. Es por tanto un especialista en tratamiento de información quien ofrece sus recursos a sus clientes que a través de Internet acceden a estos para proceder a sus necesidades de tratamiento.
La empresa prestadora a su vez, y como especialista en el tratamiento, con el objetivo de optimizar sus costes puede subcontratar a terceros todo o parte de la infraestructura requerida o incrementar su margen deslocalizando, compartiendo recursos o realizando subcontrataciones adicionales.
Al final el ahorro de costes generado por la empresa que ofrece servicios Cloud es trasladado al cliente y al margen. No obstante este ahorro se genera mediante la compartición dinámica de infraestructura entre muchos clientes, la distribución geográfica de esta infraestructura y su acceso a través de redes públicas y todo esto significa pérdida de control por parte del cliente.
Aun esa pérdida de control la ventaja que obtiene el cliente es clara al conseguir una infraestructura cuando y mientras la necesita, bajo su demanda y pagando por ello sólo cuando la utiliza. ¿Pero son suficientes tales beneficios ante la pérdida de control?
El Cloud computing no se ofrece como modelo único. En el tiempo el primero en aparecer fue el denominado Cloud privado en el que la entidad prestadora ofrecía la gestión de sus servicios sólo a determinados clientes sin la posibilidad de que entidades externas accedieran a los recursos y manteniendo el cliente cierto control sobre la infraestructura. Por el contrario, el Cloud público supuso una verdadera revolución cuando el prestador del servicio abrió sus recursos a entidades heterogéneas sin conexión entre sí. Entre ambos extremos nos encontramos con los denominados Cloud híbridos en la que determinados servicios son ofrecidos de forma pública y otros de forma privada o están bajo control exclusivo del cliente.
El modelo también es distinto respecto de lo que se ofrece. Aunque normalmente el ofrecimiento del proveedor de una solución en concreto se diluye entre varias soluciones heterogéneas podemos clasificar estas ofertas en tres básicas: Infraestructura como Servicio (IaaS), dónde el proveedor ofrece simplemente capacidades de almacenamiento y proceso en bruto siendo el cliente el que sobre esa infraestructura construya toda la solución incluida la instalación de los sistemas operativos que la soporten; Software como Servicio (SaaS), donde el proveedor ofrece una solución final que implementa directamente los procesos requeridos por el cliente; y Plataforma como Servicio (PaaS), como solución intermedia en la que el proveedor, no ofreciendo una solución final, si ofrece utilidades básicas para la construcción de aplicaciones como entornos de programación o bases de datos que permiten una construcción más rápida y flexible de la solución requerida por el cliente.
El nivel de control por parte del cliente de la solución final será mayor cuanta menor intervención precise del Proveedor y así una solución de IaaS ofrecerá, a priori, más control que una solución PaaS mientras que en una solución SaaS el control del cliente será casi nulo.
Este control es importante a efectos, primero, de portabilidad de la información, esto es, la capacidad que tenga el Responsable del fichero de recuperar la información y su tratamiento ante el fin de la relación con el proveedor -Aunque en las soluciones IaaS y PaaS esto se puede dar por descontado no siempre es así en las soluciones SaaS dónde determinadas estrategias comerciales se dirigen a cautivar al cliente- y, segundo, a efectos de transparencia del proveedor en sus procesos, lo que permite aumentar el control al Responsable del fichero.
Como podemos sospechar el beneficio del proveedor de Cloud computing vendrá por un lado del volumen de clientes que pueda mantener para cubrir los costes que le suponen la inversión en infraestructura -a mayor ocupación y predictibilidad de uso podrá mejorar los márgenes de beneficio- y por otro lado de su eficiencia, cuanto más eficiente sea en el uso de los recursos mayor margen de beneficio obtendrá al necesitar menor inversión. Esta eficiencia implica en cierto sentido concentración de los recursos en grandes centros de datos y deslocalizaciones que permiten abaratar sus inversiones. La localización de la infraestructura física resultará importante no sólo para el proveedor sino también para el cliente debido a los sometimientos que las diferentes legislaciones le puede imponer atendiendo a éstas. Estas imposiciones se pueden realizar tanto para garantizar el imperium del Estado donde los datos físicamente se encuentran como los derechos y obligaciones exigibles por el Estado donde se generan.
Establecido lo anterior llegamos a la conclusión de que el proveedor tendrá que ser capaz de cumplir las medidas de seguridad que sus clientes, por necesidades legislativas o corporativas, le requieran pero como hemos dicho antes el entorno en su datacenter será heterogéneo con miles de empresas pidiéndole medidas totalmente diferentes, la solución como siempre en estos casos es ofrecer los máximos posibles que cubran las necesidades de la mayoría de sus clientes.
Evidentemente el cliente querrá una seguridad en el cumplimiento de esas medidas y ante esto el proveedor certifica y homologa sus procesos de seguridad permitiendo auditorías que acrediten su cumplimiento ante sus clientes. Si observamos a los grandes proveedores de Cloud público la cantidad de certificaciones que son capaces de ofrecer es abrumadora respecto de lo que podríamos tener en nuestro datacenter corporativo, así tanto AWS como Azure ofrecen la certificación de las principales normas de seguridad que se incluyen en el mercado.
Evidentemente lo anterior no tiene porqué ser suficiente para el cliente ya que este es, al fin y al cabo, el último responsable ante cualquier quiebra que se produzca. Ante esto los proveedores ofrecen en sus modelos de contratación cláusulas de aseguramiento, indemnización, solidaridad o exoneración ante la quiebra de las mencionadas medidas que limitan en parte la responsabilidad del primero. A efectos de la Unión Europea es importante advertir la necesidad de que estos modelos de contratación se correspondan con las cláusulas contractuales tipo definidas en la Decisión 2004/915/CE.
En cualquier caso ¿es suficiente el compromiso contractual para asegurar el cumplimiento de las medidas de seguridad exigidas por la corporación o la legislación? ¿Cómo afecta la legislación propia del Estado donde se encuentran los datos físicamente?¿Cómo afecta la nacionalidad del propio proveedor aun cuando ofrezca sus servicios en un territorio extranjero? ¿Puede el compromiso contractual ser no aplicable por una legislación aplicable al proveedor?
En el próximo capítulo nos internaremos en la problemática de dar respuesta a todas esas preguntas derivadas de la extraterritorialidad de las normas que pueden anular el compromiso contractual de suministradores Cloud incluso en aquellos Datacenter deslocalizados.
Si queréis comentarnos lo que sea podéis hacerlo en info@kabel.es
