El Cloud es Legal… Si se hace bien
Si bien somos muchos los que estamos de acuerdo en que no se nos ocurriría nunca un nombre menos acertado si de generar confianza se trata, también somos bastantes los que pensamos que el cloud no es una moda pasajera, que está aquí para quedarse; pero eso no implica que el cloud deba producirse de “cualquier manera”, fuera de control. ¿Por qué no habría que exigirle garantías al cloud, de la misma forma que lo hacemos ante otros servicios clásicos como el outsourcing o el hosting tradicionales?
Microsoft ha apostado por una estrategia inequívoca para posicionar el cloud como un acelerador de cumplimiento de las obligaciones de los clientes, y no como un obstáculo.
No es lugar este para volver a redefinir el cloud computing, asunto que se ha convertido en un jardín de espacios comunes cada vez más transitado. Servicio bajo demanda, facturación por uso, escalabilidad, autoprovisionamiento, deprovisionamiento, dinamismo y todo lo que queramos añadir desde el habitualmente referenciado NIST en este ámbito.
Pero, ¿qué aspectos nuevos y diferenciadores con respecto al hosting tradicional podrían influir en que, desde la perspectiva de regulación, merezcan una atención especial?
Pues no son tantos, pero son importantes. Y tienen que ver fundamentalmente con:
- · El elevado número de actores involucrados.
- · La existencia de recursos compartidos.
- · La dispersión geográfica.
- · La rapidez de las transacciones.
Uno de los grandes problemas es la confusión que genera la visión parcial de muchos proveedores de cloud, especialmente cuando la existencia de una regulación (que no olvidemos es un mecanismos que ayuda en la protección de un derecho) se percibe como una amenaza a modelos de negocio basados fundamentalmente en la información captada sobre los usuarios.
Cuando eso ocurre, algunos proveedores parecen olvidar su mantra (Don’t be Evil), e intentan redefinir a la baja el concepto de privacidad, en cuanto ésta colisiona frontal y evidentemente con el núcleo de su modelo de negocio: información captada sobre el comportamiento de los usuarios.
Por eso es importante conocer los modelos de negocio detrás de los proveedores de Nube. En el mencionado caso, un 97% de sus ingresos dependen de ese flujo de información captada a los usuarios, evidenciando que su modelo de negocio no está tanto en la comunicación o colaboración on line, sino que más bien estas se utilizan para la obtención de datos que después pueda explotar a través de la publicidad
En consecuencia, si estamos visualizando el concepto Cloud con el descrito anteriormente, es evidente que tendremos demasiadas incertidumbres sobre el cumplimiento de nuestras obligaciones normativas.
Otros proveedores, como es el caso de Microsoft, basan su modelo simple y llanamente en el Servicio. Y esa distinción es fundamental. Eso nos permite que, lejos de mirar con recelo las políticas de protección de la privacidad, hagamos del cumplimiento regulatorio una ventaja, mientras que en paralelo se sigue ofreciendo un servicio con toda la calidad y las ventajas atribuidas al Cloud.
Es fundamental que los usuarios tengan todas las posibilidades y facilidades para cumplir con sus obligaciones legales y cumplimiento reglamentario en materia de privacidad, como dueños que son de su información.
Microsoft ha apostado por una estrategia inequívoca para posicionar el cloud como un acelerador de cumplimiento de las obligaciones de los clientes, y no como un obstáculo.
Consideramos fundamentalmente 4 puntos básicos como fundacionales sobre los servicios del Cloud de Microsoft y en particular sobre MS Office 365: Privacidad, Cumplimiento,Transparencia, , y Seguridad
En relación con la privacidad, todo pivota en torno al principio de pertenencia: sus datos le pertenecen a usted, y Microsoft utiliza los datos únicamente para hacer aquello por lo que se le contrata: mantener y prestar los servicios de Microsoft Online Services. Se puede decir más alto, pero no más claro: Nuestro compromiso es no utilizar los datos para otros fines.
Los datos básicos de clientes se utilizarán exclusivamente para el funcionamiento del servicio. Además de las transacciones diarias, el funcionamiento del servicio puede incluir el uso de los datos básicos de clientes en las siguientes circunstancias:
· Resolución de problemas, al objeto de prevenir, detectar y solucionar problemas que repercutan en el funcionamiento de los servicios.
· Mantenimiento continuado de la seguridad, que conlleva la detección de amenazas nuevas y en evolución, o la protección frente a las mismas, que pudieran poner en peligro los servicios o datos de clientes (como malware o correo electrónico no deseado)
Creo interesante destacar tres características fundamentales en esta línea:
- Sin publicidad: Office 365 no crea productos de publicidad a partir de los datos del los clientes. No se explora el correo electrónico ni los documentos para crear estadísticas, minería de datos, publicidad ni para mejorar el servicio.
- Ámbitos separados. Los servicios empresariales se han diseñado y se desarrollan de forma independiente a los servicios dirigidos al entorno de consumo de Microsoft.
- Portabilidad de datos. Los datos del cliente de Office 365 pertenecen al cliente. Los clientes pueden eliminar y/o llevarse sus datos cuando quieran. Son sus datos. Los datos son de su propiedad y su propietario conserva todos los derechos, los títulos y los intereses sobre los datos que almacena con Office 365. Si se desease puede descargar una copia de todos los datos en cualquier momento y por cualquier motivo, sin necesidad de asistencia por parte de Microsoft. El único “lock-in” que se busca es el de la opción libre de un cliente hacia un servicio de calidad.
En relación con el cumplimiento normativo y certificaciones de terceros, Microsoft Office 365 cumple con los estándares más importantes, como son ISO/IEC-27001, las Cláusulas contractuales tipo de la Unión Europea, HIPAA-BAA y FISMA, auditores independientes y acuerdos de tratamiento de datos.
- Certificación ISO 27001. ISO27001 es uno de los mejores bancos de pruebas de seguridad disponibles. Office 365 implementa el riguroso conjunto de controles físicos, lógicos, de proceso y de administración definidos por la norma ISO 27001.
- Cláusulas contractuales tipo de la Unión Europea. Además de Puerto Seguro, Office 365 es el primer gran proveedor de servicios de nube pública para productividad empresarial en ofrecer la firma de las Cláusulas contractuales tipo creadas por la Unión Europea con todos sus clientes.
- HIPAA-Business Associate Agreement (HIPAA-BAA). Office 365 es el primer gran proveedor de servicios de nube pública en firmar los requisitos de HIPAA-BAA con todos los clientes. HIPAA es una ley de EE.UU. que se aplica a las entidades sanitarias y que gobierna el uso, divulgación y protección de la información sanitaria protegida (PHI)
- Federal Information Security Management Act (FISMA). Office 365 implementa procesos de seguridad que se adhieren a los estándares requeridos por las agencias federales de EE.UU y ha recibido la certificación FISMA para poder operar (Authority to Operate - ATO) en una agencia federal.
- Acuerdo de tratamiento de datos. Microsoft ofrece un acuerdo de tratamiento de datos a todos sus clientes. El acuerdo trata la privacidad, seguridad y tratamiento de datos de sus clientes. Este acuerdo les ayuda a cumplir con sus obligaciones derivadas de la normativa sobre protección de datos.
Contar con un proveedor de servicios cloud que sea sensible a los requerimientos que establece la normativa sobre protección de datos es particularmente importante hoy, en un entorno normativo cambiante como el que se produce tras los recientes pronunciamientos del Grupo de Trabajo del Artículo 29, que aglutina a las Agencias de protección de datos de la Unión Europea, y con la vista puesta en la futura aprobación de un Reglamento comunitario sobre protección de datos que sustituya a la vigente Directiva,
Los clientes de Office 365 saben dónde se encuentran los principales centros de datos de Office 365, quién puede tener acceso a esos datos y bajo qué circunstancias. ¿Qué es eso de que el dato es un estado, de localización impredecible? No tiene por qué ser así.
Como cliente de Office 365, sabrá dónde se encuentran sus datos, quién puede tener acceso a ellos en Microsoft y qué hacemos con esa información internamente.
- Conocer dónde residen los datos. Con Office 365, sabe dónde se encuentran los principales centros de datos (1) y cómo determinamos dónde se almacenan.
- Conocer quién puede tener acceso a los datos y por qué. Microsoft ofrece información detallada sobre quién puede tener acceso (2) a los datos de cliente de Office 365 y bajo qué circunstancias.
- Permanecer informado. Como administrador de Office 365, puede elegir recibir actualizaciones (3) sobre cambios de ubicación de los centros de datos, así como información de seguridad, privacidad y auditoría.
- Se ha hecho un enorme esfuerzo en materia de transparencia. A través de https://trust.office365.com (4) se accede a toda la información más detalle sobre el procesamiento de datos, en un lenguaje legible, claro y transparente
Con más de 15 años de experiencia en seguridad de datos on line, Microsoft incorpora los principios de seguridad a lo largo de todo el ciclo de vida del desarrollo y supervisa de forma proactiva el servicio de Office 365 para detectar comportamientos malintencionados. Pero no es el objetivo de este artículo profundizar en temas clásicos de la seguridad de Microsoft como la existencia del Ciclo de vida de desarrollo seguro en productos y servicios, o los 5 niveles de seguridad clásicos sobre datos, aplicaciones, hosts, red y físicos, supervisión proactiva, restricción accesos etc ..
En lugar de ello, parece especialmente interesante aquí hablar un lenguaje específico de Seguridad en Cloud como el que propone el marco específico conocido como el framework Security, Trust & Assurance Registry (STAR) de la Cloud Security Alliance (CSA).
A aquellos “amantes” de los controles de seguridad, les invito a que, más allá del alcance de este artículo, se zambullan en la implementación que de ellos hace Microsoft y que han sido muy recientemente recogidos como respuesta a la iniciativa STAR de la Cloud Security Alliance, Framework que proporciona una visión general de diversos riesgos, gobernanza y marcos de seguridad de la información y normas. También introduce el marco específico del Cloud conocido como el Security, Trust & Assurance Registry (STAR).
STAR es un buen recurso para aquellos que buscan una fuente de información imparcial para evaluar a los proveedores de cloud en términos de seguridad, cumplimiento, transparencia. https://cloudsecurityalliance.org/star/ (5) Ahí encontraran un exhaustivo detalle de las respuestas de Microsoft al respecto de los entornos Cloud de Office 365, Windows Azure y Dynamics CRM On line. Llegado a este punto, invitaría al lector a comprobar por sí mismo cuáles son aquellos proveedores de cloud que ofrecen mayores índices de transparencia en sus procedimientos, controles y políticas, a la vista de los ficheros de STAR.
Ahí se encontraran detalles correspondientes a la matriz de análisis de STAR (Cloud Control Matrix), es decir, aspectos de Compliance, Data Governance, Facility, Human Resources, Information Security, Legal, Operations, Risk Management, Release Management, Resiliency, Security Architecture etc..
En resumen. Es muy probable que, lejos de las primeras sensaciones relacionadas con la confianza en el cloud, el grado de protección, seguridad y cumplimiento en un entorno de cloud como el descrito en este artículo no tiene que ser “por defecto” inferior al de cualquier otro entorno privado. Incluso, me atrevería a decir, que muy probablemente, sea superior.
Y la pregunta, ¿supone un riesgo extra consumir un servicio de cloud provisto de esta manera? O por el contrario, ¿habré aumentado mis niveles de seguridad? O incluso más, ¿estará una Administración Pública que lleve por ejemplo su correo corporativo a Office 365, más cerca o más lejos de los cumplimientos regulatorios más inmediatos, como son el Esquema Nacional de Seguridad o el Reglamento de la LOPD? Las Clausulas contractuales tipo de la Unión Europea mencionadas o los Acuerdos sobre tratamiento de datos nos pueden dar respuesta detallada al segundo aspecto.
Respecto al primero, la integración en el entorno de un cliente de un sistema certificado ISO 27001 como el descrito, y acompañado de las medidas de transparencia que se han mencionado, nos acercan al cumplimiento de lo exigido en el ENS. De hecho, ISO da un enfoque más orientado a la gestión mientras que el ENS está más orientado a operación y a tecnología. El ENS podría ser un complemento de medidas a tomar para una 27001. De hecho, algún responsable de la creación del ENS estimaba recientemente en un 70-80% el grado de cumplimiento del ENS a aquellos sistemas certificados en ISO/IEC 27001
En resumen, no todos los proveedores enfocamos el cloud de la misma manera, ni todas las clouds son iguales. En Microsoft decidimos poner como valor un enorme esfuerzo para facilitar a nuestros clientes el cumplimiento normativo que les aplica y, desde luego, nunca ponernos frente a un derecho fundamental como la privacidad, por motivos de negocio.
(1) https://g.microsoftonline.com/0BXPS00es-es/1158
(2) https://g.microsoftonline.com/0BXPS00es-es/1159
(3) https://g.microsoftonline.com/0BXPS00es-es/1162