En la primera parte de este artículo comenzamos hablando sobre las singularidades que ofrece el cloud computing en las Administraciones Públicas. Ahora trataremos de averiguar qué elementos de la seguridad obtienen especial relevancia en el entorno cloud. Hemos tomado como fuente la Guía para clientes que contraten servicios de Cloud Computing.
Elementos de la seguridad:
– La prestación de servicios por encargados de tratamiento en cloud tendría que estar identificada en el documento de seguridad. Además, el acceso a la información debería reunir un nivel de medidas de seguridad equivalente al de los accesos en modo local, en la forma dispuesta por el Título VIII del RLOPD.
– Por su parte, la implantación de servicios de cloud computing recae de forma singular en algunos elementos del Esquema Nacional de Seguridad como los siguientes:
• Análisis y gestión de riesgos. Debe ser analizado los riesgos que conllevan la migración de servicios y aplicaciones a entornos de cloud computing, según la sensibilidad de los datos y el nivel de amenazas. Si se determina la conveniencia de esta solución, deben quedar implantados los controles y salvaguardas para despejar los riesgos hasta un nivel aceptable.
• Profesionalidad. Un personal cualificado atenderá, revisará y auditará toda modalidad de prestación de servicios en la nube garantizando así la seguridad.
• Protección de la información almacenada y en tránsito. Las Administraciones Públicas manejan datos sensibles y debido a ello, la aplicación de técnicas robustas de cifrado tanto a los datos en tránsito como a los datos almacenados es una medida exigida para garantizar la confidencialidad. Además, se debe contemplar la realización de copias del contrato de prestación de servicios en la nube para garantizar la plena disponibilidad de los datos almacenados, así como su integridad.
• Incidentes de seguridad y continuidad de la actividad. En caso de catástrofes u otros incidentes graves la adopción de modelos de servicios basados en la nube contemplarán una correcta gestión para asegurar la continuidad de las operaciones.
• Auditoría de la seguridad. La contratación de servicios de cloud computing exige garantizar la realización de las auditorías de seguridad ordinarias y extraordinarias previstas en el artículo 34 del ENS.
