Requisitos del ENS para proveedores de Cloud Computing

Algunos de ustedes se habrán planteado sin duda la posibilidad de externalizar algún plataforma a un servicio cloud, o hacer uso de alguna herramienta SaaS. Además seguramente la mayoría se habrán cuestionado acerca de las implicaciones de seguridad que puedo conllevar delegar la gestión de la información en un proveedor. Efectivamente, la gestión de la información y de los servicios por un tercero supone la pérdida parcial de control sobre sus sistemas de información y no nos engañemos, el ser humano no es un fan acérrimo de la incertidumbre (que se lo digan a los mercados…), a la vez que esta externalización supone que cierta parte de la gestión de los riesgos y el cumplimiento legal recaiga en el tercero.

Anteriormente en este blog ya hemos hablado en alguna ocasión sobre el cloud computing ([1] [2] [3] [4] [5]). Así pues de acuerdo con lo expuesto, en este post intentaremos arrojar un poco de luz sobre los aspectos legales que deben ser tenidos en cuenta a la hora de contratar un servicio en la nube, aunque solo entraremos en detalles referentes al cumplimiento del ENS y no de un modo exhaustivo.

Si somos un Administración Pública afectada por el ENS, tendremos en cuenta las consideraciones descritas en el punto 4.4. del Anexo II del ENS, como se indica a continuación:

4.4 Servicios externos [op.ext].

Cuando se utilicen recursos externos a la organización, sean servicios, equipos, instalaciones o personal, deberá tenerse en cuenta que la delegación se limita a las funciones.

La organización sigue siendo en todo momento responsable de los riesgos en que se incurre en la medida en que impacten sobre la información manejada y los servicios finales prestados por la organización.

La organización dispondrá las medidas necesarias para poder ejercer su responsabilidad y mantener el control en todo momento.

Este punto comprende 3 apartados:

  • 4.4.1 Contratación y acuerdos de nivel de servicio (solo aplicable a sistemas categorizados de nivel medio o alto)
  • 4.4.2 Gestión diaria (solo aplicable a sistemas categorizados de nivel medio o alto)
  • 4.4.3 Medios alternativos (Solo aplicable a sistemas con disponibilidad categorizada de nivel alto)

En primer lugar, previo a la contratación se deberá hacer o revisar el análisis de riesgos, para evaluar si el riesgo que introducimos al migrar servicios a la nube es mayor que el de tener los sistemas de información en local, en cuyo caso deberemos valorar si el nivel de riesgos es superior al criterio asumible por la Dirección de la entidad, siempre teniendo en cuenta los aspectos contractuales ofrecidos por el proveedor.

En lo referente al punto 4.4.1 el contratante deberá requerir contractualmente, siempre y cuando vaya a migrar servicios categorizados de nivel medio o superior:

  • Descripción del servicio, identificando el lugar o lugares donde residirán los sistemas.
  • Acuerdos de nivel de servicio.
    • Tiempo de respuesta ante desastres.
    • Tiempo de recuperación del servicio.
    • Porcentaje de disponibilidad del servicio.
    • Penalizaciones.
  • Funciones y obligaciones.
  • Devolución o destrucción de la información tras la finalización del acuerdo

Además, en caso de que se incluya el tratamiento de datos, éste deberá estar regulado de acuerdo a lo estipulado en el artículo 12 de LOPD, y siempre teniendo en cuenta las implicaciones que puedan las transferencias internacionales de datos.

Por otra parte, de acuerdo al apartado 4.4.2. Gestión diaria, es necesario establecer un proceso de monitorización para ver cumplimiento de SLA así como otras obligaciones que estén incluidas en el servicio, procedimientos de coordinar mantenimientos (como puede ser actualizaciones) y procedimientos para coordinación de incidencias y desastres. Por último de acuerdo con el punto 4.4.3 se deberán aportar garantías de disponibilidad del servicio ante la caída del servicio contratado. Es decir, que además de disponer de SLA ante desastre, el proveedor disponga de medidas que permitan la continuidad de negocio.

Sin entrar a detallar de modo exhaustivo los requisitos en la contratación de servicios cloud, he querido dar unas pinceladas rápidas de los aspectos que deben ser revisados por las Administraciones Públicas para la contratación de estos servicios. Por otra parte, los principales proveedores se ubican fuera del ámbito nacional, haciendo uso de infraestructura ubicada a su vez en otros países, por lo que están sujetos a legislación que puede ser equiparable o no la Española. Por ello, un aspecto recomendable sería la existencia de un certificación de acuerdo con la norma ISO 27001 cuyo alcance incluyan los servicios de Cloud Computing, para disponer de unas garantías de seguridad razonables.

Sin lugar a dudas el Cloud Computing está de moda, pero la controversia está servida cuando se trata de seguridad en la nube y no hay ninguna duda de que queda un largo recorrido cuando de asegurar la nube se trata. Pasen, con nubes o sin ellas, un buen fin de semana.

[Sobre el autor]