El pasado 1 de julio se publicaba la opinión 05/2012 del grupo de trabajo del artículo 29 relativo a la informática en la nube (pdf). Nos ha parecido interesante analizarla en detalle desde nuestra perspectiva de agencia de calificacion dada la importancia de estas opiniones y la relevancia de sus conclusiones, sobre todo, el respaldo indudable que supone para servicios de confianza de terceros, como es la calificación de seguridad que ofrecemos desde leet security.

Hemos dividido en cinco el contenido del documento de opinión:

1. Riesgos de protección de datos

Se consideran dos tipos de riesgos principalmente: la falta de control sobre los datos personales y la insuficiente información sobre el procesamiento de los datos.

Aportación de la calificación: Como ya hemos comentado anteriormente, al tratarse, básicamente de un mecanismo de transparencia, la calificación ayuda con el segundo de los riesgos identificados, aportando información al cliente (data controller) sobre la seguridad implantada en los procesos del proveedor (data processor).

2. 'Drivers' claves

 El documento identifica tres drivers principales: Seguridad, Transparencia y Certeza legal.

Aportación de la calificación: La utilización de un sistema de calificación como el propuesto por leet security contribuye a la explotación de las ventajas en materia de seguridad y transparencia que supone la informática en la nube.

3. Requisitos de protección de datos

 Los requisitos se clasifican en tres tipos:

  1. Cumplimiento con principios básicos
  2. Salvaguardas contractuales
  3. Medidas técnicas y organizativas

Aportación de la calificación: Como podéis ver en el mapa mental previo, la calificación permite adaptarse a los requisitos relativos a medidas técnicas y organizativas y a muchas de las salvaguardas contractuales. Concretamente, el uso de la calificación permite:

  • Especificar las medidas de seguridad (en función del riesgo y el tipo de datos) - Considerando que en el contrato se puede indicar una calificación mínima y que dicha calificación implica adoptar ciertas medidas, hace que no sea necesario enumerar exhaustivamente todas las medidas a cumplir, simplemente indicando la calificación se puede cumplir con dicha especificación.
  • Asegurar la existencia de clausula de confidencialidad, derecho a monitorizar registros y auditoría de los procesos relevantes - Estas medidas forman parte de los compromisos que el proveedor asume para poder incluir la calificación especial de cumplimiento (marcada con un signo más '+').
  • Existencia de mecanismos para notificar al cliente en caso de una fuga de datos y de cambios en el servicio - Las condiciones del servicio de calificación incluyen la notificación a la agencia de cualquier situación que pueda afectar al nivel otorgado en cada momento, lo que incluye las situaciones anteriores.
  • Dar garantías de cumplimiento en la organización interna y en los acuerdos firmados - Por una parte, la agencia tutela que un servicio tiene un determinado nivel de calificación y, por otro, dado que para tener un nivel es necesario que los servicios subcontratados tengan al menos, ese nivel, los acuerdos adoptados por el proveedor deben cumplir con los requisitos de un nivel.
  • Finalmente, en cuanto a las medidas técnicas y organizativas, la guía de calificación elaborada incluye las medidas que deben cumplirse para realizar tratamientos para cada uno de los niveles (las medidas de nivel bajo se han incluido la calificación 'D' de la dimensión de confidencialidad, las de nivel medio en la calificación 'C' y las de nivel alto en la 'B').

4. Obligaciones y responsabilidades

Como es lógico, el documento incluye obligaciones y responsabilidades tanto para el cliente como para el proveedor.

Aportación de la calificación: Según recoge el documento, el cliente debe elegir un proveedor que garantice el cumplimiento con la legislación en materia de protección de datos. En este sentido, el sistema que hemos diseñado incluye, como ya se ha mencionado, las medidas necesarias para realizar tratamientos de distintos niveles y los requisitos exigidos por la legislación vigente. De esta manera, si en la dimensión de confidencialidad, tenemos una calificación:

  • 'D+' el servicio es adecuado para realizar tratamientos de datos personales de nivel bajo.
  • 'C+' idem para datos de nivel medio.
  • 'B+' o 'A+' que serían adecuados para datos de nivel alto.
Como ya se ha mencionado antes, para tener estas calificaciones, las medidas que el proveedor debe cumplir están alineadas con la legislación vigente ("adoptar medidas de seguridad en línea con la legislación europea") y los servicios que utilicen debe tener, al menos, la misma calificación ("garantizar que los subcontratados cumplen con la Directiva Europea de privacidad").

5. Conclusiones

Las conclusiones proporcionadas por el documento se podrían agrupar de la siguiente manera:

  • Una primera conclusión general: "Las organizaciones que quieran usar informática en la nube deberían realizar, como primer paso, un análisis de riesgos exhaustivo".
  • Directrices para clientes y proveedores.
  • Certificaciones de protección de datos por terceras partes.
  • Desarrollos futuros.

Aportación de la calificación: En relación a la conclusión general, como ya hemos comentado en otras ocasiones, la calificación permite a los potenciales usuarios de servicios en la nube elegir entre los que tienen unas medidas adecuadas al nivel de riesgo de su proceso de negocio. De esta forma, simplifica ese proceso previo y, por ende, la contratación de servicios en la nube.

En cuanto a las directrices para clientes y proveedores, el uso de la calificación permite adherirse a la práctica totalidad de recomendaciones realizadas por el grupo de trabajo (ver las marcadas en verde en el mapa mental previo) y que se corresponden, fundamentalmente, con las mencionadas en el apartado 3 previo (Requisitos de protección de datos).

Para finalizar, el aspecto más relevante para nosotros, como es lógico, es el relacionado con las certificaciones de protección de datos por terceros. El documento reconoce que:

  • la participación de un tercero con reputación es un medio creíble para demostrar el cumplimiento del proveedor con sus obligaciones.
  • puede utilizarse a un tercero como medio de ejercer el derecho del cliente de auditar al proveedor.
  • la adopción de estándares es una buena manera de establecer una relación de confianza entre las partes.
  • los estándares utilizados deben incluir tanto medidas técnicas como procedimentales.

Por todo esto, consideramos que el documento supone un apoyo indudable para el servicio de calificación de seguridad que reúne todas las características mencionadas anteriormente:

  • La agencia es un organismo independiente sin intereses de ningún tipo más que la propia calificación.
  • La agencia tiene el compromiso de auditar los servicios que califica (de manera aleatoria y rotativa).
  • La guía de calificación incluye medidas de carácter técnico, organizativo y procedimental, así como formales derivados de la aplicación de la legislación en materia de protección de datos.

Puedes seguirnos en twitter.com/leet_security

9 de julio de 2012