Inicialmente, uno de los principales frenos a la implantación de cloud computing en las empresas (en concreto la cloud pública) era la incertidumbre que había en materia de seguridad. ¿Será este mercado, el de la nube, uno de los más afectados por la sentencia del Tribunal de Justicia de la UE?
Las preocupaciones acerca de la seguridad, junto con los retos relativos al cumplimiento normativo de los datos, suelen citarse como las principales barreras para la adopción de la nube en la empresa. Los Proveedores de Servicios Cloud (PSC) llevan intentando convencer a las empresas de que la nube puede cumplir perfectamente tanto con la seguridad como con la estricta normativa sobre privacidad de los datos. La decisión sobre el “puerto seguro” llega en un momento complicado para los PSC.
Muchas empresas europeas han intentado adoptar sistemas basados en cloud de forma muy agresiva. Como parte de este empuje, ha habido información regulada y sensible que ha acabado en manos de proveedores externos de servicio y soluciones como sistemas SaaS de aplicación cloud. La regla Puerto Seguro cambia esta ecuación para los usuarios cloud de proveedores de servicio norteamericanos, y quizás los profesionales de la privacidad sienten que los mecanismos de transferencia de la información, como los llamados “Model Clause”, pueden ser los próximos elementos a ser revisados si se les considera inadecuados.
¿Podría darse el caso de que aumente el número de usuarios que prefiera alojar su información en Europa y no en EEUU o en cualquier parte del globo? ¿Esto favorecería el aumento del negocio de los centros de datos en Europa?
Sí, las empresas que operan en Europa van a tratar de mantener sus datos en centros de datos en el continente siempre que puedan, pero no es algo tan sencillo como puede parecer. Los PSC favoritos de la empresa pueden no tener un centro de datos en la EU, o en el país donde la relevante autoridad de protección de datos determine deben estar situados. O si el PSC no cuenta con un centro de datos en el lugar correcto, el centro de datos de respaldo puede estar localizado en otro país y el PSC tiene el derecho de mover los datos de la empresa a un centro de datos secundario/back up por razones operativas. Solo porque el centro de datos primario esté donde tiene que estar, no significa que el de respaldo lo esté.
Independientemente de dónde se sitúe el centro de datos del proveedor cloud, una empresa puede estar preocupada igualmente acerca de la ubicación o de la “ciudadanía” de los empleados del proveedor que tienen acceso a los datos. Algunos sectores verticales, desde defensa a fabricación, suelen tener restricciones adicionales acerca de la ciudadanía de los individuos que pueden acceder a sus datos. Si el proveedor cloud tiene empleados situados en varios países a lo largo del mundo que tienen acceso a los datos aunque sea para realizar rutinas de mantenimiento o de limpieza de datos, una empresa puede necesitar asegurar que esto no entra en conflicto con la normativa que tiene que cumplir.
Cuando se observan todos estos retos a los que se enfrentan las multinacionales sobre residencia y privacidad de datos, la mirada se dirige ahora hacia la comunidad Infosec y hacia los proveedores de servicio que pueden ayudar a las empresas a enfrentarse a estos cambios regulatorios como el dela cláusula Puerto Seguro. Uno de estos productos en la “tokenización”, desplegados dentro de una pasarela Cloud Data Protection, que puede ser utilizado para mantener el control total sobre los datos regulados aportando, en esencia, una solución de ubicación de datos para la nube.
También es factible un escenario en el que los proveedores que operen en EEUU, Europa y cualquier otro punto del mundo abran cláusulas en sus contratos haciendo firmar a sus clientes que aceptan el uso de sus datos en un momento dado. Es decir, algo parecido a lo que hacen ahora algunas empresas de Internet que te ofrecen email gratuito o espacio de almacenamiento en su nube gratis, pero en la letra pequeña se especifica que pueden hacer uso de los datos que pongas allí o recibir publicidad, etc. ¿Creen que llegará a ocurrir esto?
Los servicios para consumidores basados en la nube pueden empezar a hacer esto, que es obtener automáticamente el visto bueno de los individuos para transferir la información y su uso en determinadas actividades, especificándolo en los acuerdos de uso, pero esto no es válido para los clientes empresariales.
Los reguladores y los profesionales de la protección de datos esperan que las grandes empresas y entidades, como bancos, proveedores médicos, fabricantes, organismos gubernamentales, etc. aseguren que la privacidad de los ciudadanos europeos está debidamente protegida. Necesitan ser capaces de mostrar a auditores y reguladores que toman los pasos necesarios tanto desde la perspectiva contractual como tecnológica (por ejemplo, tecnologías como el cifrado y la “tokenización” de datos cloud regulados), que están siendo utilizados para asegurar los datos de los que son guardianes.
¿Cuál sería su propuesta? Ejemplo: hacer lo que ha hecho el Tribunal de Justicia de la UE, ser más restrictivos, encriptar la información, que el cliente ponga sus propias condiciones…
Blue Coatha estado invirtiendo en un conjunto de tecnologías llamadas CASB (Cloud Access Security Brokers) pensadas en resolver los problemas de seguridad de los datos y privacidad relativos a la adopción de la nube. Algunas de nuestras recomendaciones para las empresas son:
-Disponer de visibilidad de que datos se están moviendo fuera de tu red y a dónde van. Encuentra zonas oscuras en la nube, inventario de nubes (potencialmente) sancionadas, y determinar donde se encuentran todos los centros de datos y cuáles necesitan cumplir la normativa.
-Tomar pasos proactivos para “tokenizar” los datos para asegurar el cumplimiento con las normativas EU de privacidad. La tokenización está siendo considerada por muchos como el estándar de facto para resolver la privacidad de los datos y el cumplimiento regulatorio desde el momento que los “tokens” no tienen relación matemática con el sensible texto original y no hay posibles puertas traseras o trampas.
-Cuando se encripta la información, sólo la propiedad de la clave física de cifrado y la custodia, son obligatorias para la protección de datos. Tenemos que asegurarnos que nuestro encriptado se asegura de que los datos permanecen protegidos durante las tres fases del ciclo de vida de los datos en la nube: tránsito, reposos y en uso.
La significativa capacidad de cumplimiento que estas soluciones CASB aportan a las empresas son una de las motivaciones fundamentales por las que Gartner recientemente publicó que creía que para finales del 2018, el 50% de las organizaciones con más de 2500 empleados, utilizarían productos CASB para controlar el SaaS.
