30ag.

30/08/11 Cloud Computing: On estan les claus … de la nostra informació?
El concepte de “computació en el núvol” s’ha popularitzat arran de la proliferació de serveis d’utilització personal, com ara xarxes socials, llocs d’emmagatzematge multimèdia (imatges, música, vídeos), serveis de gestió de documents en línia (textos, fulls de càlcul, presentacions, …).
Però la utilització de serveis de computació en el núvol va més enllà de l’ús que ha contribuït a la seva popularització, que és el seu ús personal, normalment en modalitat d’utilització gratuïta i finançada per publicitat, en aquests casos està subjecta a unes condicions de prestació o termes del servei i polítiques de privacitat establertes unilateralment pel prestador del servei, que poden ser discutibles i que cauen dins de la mateixa casuística ja comentada per les xarxes socials i els serveis de publicitat conductual.
L’ús professional i comercial de la computació en el núvol representa un nou paradigma, no només tècnic sinó especialment de condicions contractuals i de requisits de seguretat i, per tant, amb implicacions sobre la privacitat. Com se sap, la computació en el núvol té un marc de referència les característiques essencials impliquen un ampli accés a la xarxa (a través d’Internet), la utilització de recursos de forma comuna amb altres usuaris, i la Independència de la ubicació física de les dades.
Resulta especialment rellevant identificar els tres actors que intervenen en la prestació de serveis en el núvol, atenent a la nostra legislació europea sobre protecció de dades: en primer lloc, apareix el ciutadà o interessat, les dades personals es tractaran. Després apareix el prestador de serveis de negoci de què es tracti. I, en tercer lloc, el prestador de serveis de computació en el núvol. Doncs bé, independentment dels models de servei utilitzat (SaaS, PAAS, IaaS) o els models de desplegament adoptats (núvol pública, comunitària, privada o híbrida), la clau de les dificultats presentades per la computació en el núvol resideix en la deslocalització del prestador de serveis del núvol i les diferents garanties que sobre seguretat i privacitat poden exigir i oferir-se, a la vista de les diferents legislacions aplicables.
Així, la legislació sobre protecció de dades aplicable i que ha de protegir el ciutadà o interessat és la del país on està establert el responsable del fitxer, és a dir, el proveïdor de serveis de negoci. Si tant el proveïdor de serveis de negoci com el proveïdor de serveis del núvol estiguessin establerts en l’Espai Econòmic Europeu [1], no es presenten més problemes, ja que ambdós estan sotmesos a legislacions compatibles, derivades de la mateixa Directiva Europea sobre Protecció de Dades i que garanteixen alts nivells de protecció. La nostra normativa sobre protecció de dades contempla circumstàncies en què els nivells de protecció es consideren equivalents, com són aquells països que gaudeixen d’una declaració favorable [2] en aquest sentit per part de la Comissió Europea.
Les dificultats comencen a posar-se de manifest quan el prestador de serveis en el núvol, tot i que tingués el seu establiment principal dins de l’Espai Econòmic Europeu, disposi dels seus centres de tractament o emmagatzematge de dades fora de l’Espai Econòmic Europeu o dels països declarats amb nivell de protecció equivalent (incloent els acords de port segur amb els EUA [3]). Aquesta circumstància forma part del propi paradigma de prestació de serveis en el núvol (independència de la ubicació física). A més, hi ha determinades mesures de seguretat previstes en el nostre Reglament RD-1720/2007 que resulten de difícil, si no impossible, aplicació a la computació en el núvol, com poden ser les mesures de control d’accés físic als centres de procés de dades o les relatives a la gestió i distribució de suports.
De tot això són conscients tant els propis prestadors de serveis del núvol com els seus clients, els prestadors de serveis de negoci i recentment s’han desenvolupat iniciatives per aturar aquests problemes i buscar les solucions adequades. Entre aquestes podem destacar la constitució de la Cloud Security Alliance (CSA), organització sense ànim de lucre formada per professionals de diferents operadors presents en el camp de la computació en el núvol. El seu objectiu és promoure l’ús de bones pràctiques per així oferir garanties de seguretat dins de la computació en núvol, així com proporcionar educació sobre els usos de la computació en núvol per ajudar a protegir totes les altres formes de la informàtica. Per entendre adequadament els riscos que sobre la seguretat pot suposar l’aplicació de la computació en el núvol, recomano la lectura del document “Guia per a la Seguretat en àrees crítiques d’atenció en Cloud Computing”, elaborada per experts de la CSA i traduïda a castellà amb la col.laboració de ISMS-Forum.
La predicció és, en aquest últim cas, que seguirem parlant d’això, tot i que encara no se sàpiga ben bé si la computació en el núvol acabarà sent el nou escenari que fagocita la forma de prestar i rebre serveis TIC, o bé es tractarà d’un mer terme que es posa de moda (“The computer industry is the only industry that is more fashion-driven than women ‘s fashion” – Larry Ellison, CEO d’Oracle, dixit.
Mentrestant, algunes respostes es poden trobar, en el cas d’Espanya, després de la recent constitució del capítol espanyol de la Cloud Security Alliance (http://www.cloudsecurityalliance.es), a l’empara de ISMS-Forum. Les seves primeres tasques han estat constituir diversos grups de treball, un d’ells sobre privacitat i compliment normatiu. La finalitat d’aquest grup de treball no serà tant per estudiar les implicacions de la computació en el núvol sobre la privacitat, sinó per analitzar els efectes de la necessitat del compliment normatiu relatiu a privacitat sobre la computació en el núvol. Esperem als seus resultats.

DEPARTAMENT COMUNICACIÓ PEDROSA BUSQUETS & associats.