RIESGOS EN LA NUBE
El uso de servicios de computación en nube ofrece un gran número de ventajas pero presenta también, por sus características, unos riesgos específicos que deben afrontarse con una adecuada elección del prestador. Para ello debe analizarse que las condiciones de prestación tengan en cuenta los elementos que permitan que el tratamiento de datos se realice sin merma de las garantías que le son aplicables.
Podemos agrupar los riesgos en dos grandes categorías: falta de transparencia sobre las condiciones en las que se presta el servicio y falta de control del responsable sobre el uso y gestión de los datos personales por parte de los agentes implicados en el servicio.
Falta de transparencia
Es el prestador el que conoce todos los detalles del servicio que ofrece. Por ello, nos enfrentamos a la necesidad de conocer el qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos que se proporcionan al proveedor para la prestación del servicio. Si este último no da una información clara, precisa y completa sobre todos los elementos inherentes a la prestación, la decisión adoptada por el responsable no podrá tener en consideración de forma adecuada requisitos básicos como la ubicación de los datos, la existencia de sub encargados, los controles de acceso a la información o las medidas de seguridad. De esta forma, se dificulta al responsable la posibilidad de evaluar los riesgos y establecer los controles adecuados.
Falta de control
Como consecuencia de las peculiaridades del modelo de tratamiento en lanube y en parte también de la ausencia de transparencia en la información, la falta de control del responsable se manifiesta, por ejemplo, ante las dificultades para conocer en todo momento la ubicación de los datos, las dificultades a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato válido e interoperable, los obstáculos a una gestión efectiva del tratamiento o, en definitiva, la ausencia de control efectivo a la hora de definir los elementos sustantivos del tratamiento en lo tocante a salvaguardas técnicas y organizativas.
A continuación listamos los principales puntos que el usuario deberá tener en cuenta al momento de evaluar la migración de su negocio a un sistema de Cloud Computing:
- La seguridad de los datos almacenados en el sistema.
- Control de los usuarios que accederán a estos datos almacenados.
- Elección de una empresa prestadora capaz de ofrecer un servicio sin suspensiones y confiable.
- La reputación de la empresa prestadora.
- Recupero seguro de los datos y sus copias de seguridad en el caso de cese en el servicio.
Podemos agrupar los riesgos en dos grandes categorías: falta de transparencia sobre las condiciones en las que se presta el servicio y falta de control del responsable sobre el uso y gestión de los datos personales por parte de los agentes implicados en el servicio.
Falta de transparencia
Es el prestador el que conoce todos los detalles del servicio que ofrece. Por ello, nos enfrentamos a la necesidad de conocer el qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos que se proporcionan al proveedor para la prestación del servicio. Si este último no da una información clara, precisa y completa sobre todos los elementos inherentes a la prestación, la decisión adoptada por el responsable no podrá tener en consideración de forma adecuada requisitos básicos como la ubicación de los datos, la existencia de sub encargados, los controles de acceso a la información o las medidas de seguridad. De esta forma, se dificulta al responsable la posibilidad de evaluar los riesgos y establecer los controles adecuados.
Falta de control
Como consecuencia de las peculiaridades del modelo de tratamiento en lanube y en parte también de la ausencia de transparencia en la información, la falta de control del responsable se manifiesta, por ejemplo, ante las dificultades para conocer en todo momento la ubicación de los datos, las dificultades a la hora de disponer de los datos en poder del proveedor o de poder obtenerlos en un formato válido e interoperable, los obstáculos a una gestión efectiva del tratamiento o, en definitiva, la ausencia de control efectivo a la hora de definir los elementos sustantivos del tratamiento en lo tocante a salvaguardas técnicas y organizativas.
A continuación listamos los principales puntos que el usuario deberá tener en cuenta al momento de evaluar la migración de su negocio a un sistema de Cloud Computing:
- La seguridad de los datos almacenados en el sistema.
- Control de los usuarios que accederán a estos datos almacenados.
- Elección de una empresa prestadora capaz de ofrecer un servicio sin suspensiones y confiable.
- La reputación de la empresa prestadora.
- Recupero seguro de los datos y sus copias de seguridad en el caso de cese en el servicio.
mODALIDAD DE SERVICIOS
Los proveedores de la nube proporcionan acceso a recursos informáticos a través
de la red, y ofrecen una serie de servicios adicionales de valor añadido que
acercarán la oferta del proveedor a las necesidades de su cliente. En función
de lo completo que sea ese valor añadido podemos decir que tenemos una solución
de Infraestructura como Servicio, Plataforma como Servicio o Software como Servicio. Esta división no puede
considerarse rígida, ya que hay proveedores que proporcionan soluciones mixtas
en las que se combinan características de todas ellas.
Software como servicio
Podemos hablar de una Nube de Software (modelo de servicio Software as a Service o SaaS), cuando el usuario encuentra en la nube las herramientas finales con las que puede implementar directamente los procesos de su empresa: una aplicación de contabilidad, de correo electrónico, un worlkflow, un programa para la gestión documental de su empresa, etc.
Infraestructura como servicio
Si el valor añadido es nulo, se puede hablar de una Nube de infraestructura (IaaS). En ese caso el proveedor proporciona capacidades de almacenamiento y proceso en bruto, sobre las que el usuario ha de construir las aplicaciones que necesita su empresa prácticamente desde cero. Tal vez se pueda decir que éste es el modelo más primitivo de nube, que se inició con los sitios de Internet que proporcionaban capacidad de almacenamiento masivo a través de la red y los servidores de alojamiento web.
Plataforma como servicio
Entre estas dos aproximaciones se pueden encontrar otras intermedias llamadas PaaS (Plataforma como Servicio), en las que se proporcionan utilidades para construir aplicaciones, como bases de datos o entornos de programación sobre las que el usuario puede desarrollar sus propias soluciones.
Software como servicio
Podemos hablar de una Nube de Software (modelo de servicio Software as a Service o SaaS), cuando el usuario encuentra en la nube las herramientas finales con las que puede implementar directamente los procesos de su empresa: una aplicación de contabilidad, de correo electrónico, un worlkflow, un programa para la gestión documental de su empresa, etc.
Infraestructura como servicio
Si el valor añadido es nulo, se puede hablar de una Nube de infraestructura (IaaS). En ese caso el proveedor proporciona capacidades de almacenamiento y proceso en bruto, sobre las que el usuario ha de construir las aplicaciones que necesita su empresa prácticamente desde cero. Tal vez se pueda decir que éste es el modelo más primitivo de nube, que se inició con los sitios de Internet que proporcionaban capacidad de almacenamiento masivo a través de la red y los servidores de alojamiento web.
Plataforma como servicio
Entre estas dos aproximaciones se pueden encontrar otras intermedias llamadas PaaS (Plataforma como Servicio), en las que se proporcionan utilidades para construir aplicaciones, como bases de datos o entornos de programación sobre las que el usuario puede desarrollar sus propias soluciones.
guia para adquirir una NUBE
No se puede visualizar este documento con tu navegador. Haz clic aquí para descargar el documento.
GLOSARIO
IaaS: Infraestructura como servicio. Cuando el proveedor de cloud proporciona a sus clientes recursos de
procesamiento y almacenamiento a través de la red, sin ningún otro valor
añadido.
SaaS: Software como servicio. Cuando el proveedor de cloud proporciona al cliente aplicaciones que implementan los procesos de su empresa.
PaaS: Plataforma como servicio. Cuando el proveedor de cloud proporciona al cliente las herramientas necesarias para desarrollar sus aplicaciones sobre la nube.
Potabilidad: que los datos de un contratista que están en los servidores del proveedor de cloud puedan trasladarse a otro proveedor (o a sistemas locales) a elección del contratista y sin pérdida de datos ni de servicio.
Localización: el punto geográfico concreto en el que se encuentran los datos o se realiza el proceso en un servicio de cloud computing.
SaaS: Software como servicio. Cuando el proveedor de cloud proporciona al cliente aplicaciones que implementan los procesos de su empresa.
PaaS: Plataforma como servicio. Cuando el proveedor de cloud proporciona al cliente las herramientas necesarias para desarrollar sus aplicaciones sobre la nube.
Potabilidad: que los datos de un contratista que están en los servidores del proveedor de cloud puedan trasladarse a otro proveedor (o a sistemas locales) a elección del contratista y sin pérdida de datos ni de servicio.
Localización: el punto geográfico concreto en el que se encuentran los datos o se realiza el proceso en un servicio de cloud computing.