Computacion en la nube.

Computación en la nube: ¿Quiénes deben proteger su información?

Tomado de Enter http://www.enter.co/internet/computacion-en-la-nube-%C2%BFquienes-deben-proteger-su-informacion/3/
Colaboradores ENTER.CO
| noviembre 18 2011 @ 3:50pm | 3 comentarios

Aunque muchos usan la computación en la nube, muchos tienen dudas respecto a su seguridad. Foto: Damien Pollet (via Flickr).
Por Germán Realpe Delgado.
Director de la Asociación Colombiana de Derecho Informático y Tecnologías de la Información y las Comunicaciones (Acoditic) y director de Cloudseguro.

En 1984, John Gage, uno de los fundadores de Sun Microsystems, pronunció la frase “The network is the computer”, o “La red es el computador”, vaticinando lo que en la actualidad se denomina cloud computing o computación en la nube. Hace unos años Richard Stallman, fundador de GNU y ‘padre’ del software libre, se expresó sobre el cloud computing resaltando los peligros de la nube y diciendo: “Una razón por la cual no deberían utilizar aplicaciones web es porque se pierde el control de los datos”.
Para el evangelista del software libre, los gobiernos animarán a los ciudadanos a emigrar hacia la computación en la nube –cloud computing– porque de esta manera las autoridades tendrán un acceso más fácil a los datos.
Tanto Gage como Stallman pronosticaron lo que pasa en la actualidad: el desarrollo de la nube es una realidad en todos los sectores empresariales. Así mismo, las personas empiezan a subirse a los distintos servicios, aplicaciones e infraestructura que nos ofrece. Esta nueva tecnología presenta numerosos cambios, la primera es que cada día se necesita menos capacidad de procesamiento para utilizar distintas aplicaciones, pues el poder del cómputo se encuentra en la nube.
Nos podemos conectar desde un tablet, computador o un smartphone y contamos con todo tipo de software como servicio. Aplicaciones como Dropbox, Boxnet, Evernote, SoudCloud, Prezi, Google Docs, entre muchas otras, se han convertido en herramientas necesarias de trabajo y de uso diario.
El almacenamiento en sistemas operativos empieza a cambiar: los computadores ligeros como el MacBook Air, los ultralivianos de Samsung, o los Chromebooks vienen con un discreto disco duro, el cual no nos deja otra alternativa que usar los distintos servicios de almacenamiento en la nube. Lo mismo ocurre con los tablets: en el pasado lanzamiento del Kindle Fire se mencionó cómo este dispositivo va estimular el almacenamiento con el servicio de Amazon Cloud Drive.
Nuestros datos personales van a parar a servidores de los que no conocemos en qué lugar del mundo se encuentran. Estamos en el comienzo de una era en donde la nube está llena de datos.
Atención con los términos de servicio en la nube.
El proceso de protección de la información de los datos cambia: la nube no tiene jurisdicciones,las empresas que ofrecen los servicios se cuidan muy bien en desarrollar unos términos y condiciones de sus servicios (TOS, por su sigla en inglés) en los que se exoneran de responsabilidad. Lo importante para muchas de ellas es ofrecer una buena disponibilidad, en ocasiones con varios 999 (99,999%, es decir, que casi nunca están caídos), para tranquilizar al usuario.
La responsabilidad de la información se traslada al cliente, y esto se puede ver en los términos de uso. Un ejemplo claro son los servicios de Amazon Web Services, que señalan:
“Usted es responsable de todas las actividades que ocurran bajo su cuenta, independientemente de si las actividades son llevadas a cabo por usted, sus empleados o terceros”.
Seguridad y copia de seguridad. Usted es responsable de configurar y utilizar correctamente las ofertas de servicios y de tomar sus propias medidas para mantener la adecuada protección y seguridad de su contenido, que puede incluir el uso de la tecnología de encriptación para proteger su contenido contra accesos no autorizados y la rutina de archivo de su contenido.
La mayoría de términos de servicio son como el que mencionamos: la protección de la información queda en manos del usuario. Por eso, se deben tener todas las precauciones en el momento en que una persona, y más aún una empresa, contrata un servicio; se deben analizar todos los factores posibles.
Una de las recomendaciones en seguridad es clasificar la información, y no subir la que pueda ser confidencial sin tomar las medidas de seguridad pertinentes, tales como encriptar los datos. Esta recomendación aplica para quienes usan servicios en la nube de manera personal o empresarial. Así como una compañía no debería tener sus secretos industriales en la nube sin una protección, tampoco es conveniente tener en la nube claves bancarias y otros datos sensibles que puedan ser atractivos para delincuentes informáticos.

La seguridad, una responsabilidad de todos.
Hace unos meses se volvieron noticia mundial las fallas de algunos servicios en línea, entre ellos, la nube de Amazon Web Services, el de almacenamiento de Dropbox y el de SkyDrive, de Microsoft. Eso, sin contar los ataques informáticos contra grandes compañías, como el que sufrió Sony con su PlayStation Network.
Teniendo en cuenta la preocupación por la seguridad de la información y los datos, algunos países empiezan a tomar iniciativas. Francia destinará 135 millones de euros en una primera fase para crear su propio sistema en la nube, en un proyecto que se llama Andrómeda, que busca crear la alternativa francesa a la nube –los servicios basados en Internet, que en su mayoría provienen de Estados Unidos–.
Con esta ‘nube francesa’, el gobierno busca evitar que datos sensibles sean albergados en otros países. Las autoridades europeas empiezan a dar recomendaciones, y entre ellas señalan que en el momento de contratar servicios en la nube se debe buscar respetar las normas de protección de datos, incluida la de no desconocer el ordenamiento legal existente.
En Colombia, al igual que en Latinoamérica, el concepto de cloud computing cada día tiene mas fuerza, y son innumerables los servicios que se empiezan a ofrecer. Por ello, las personas y las empresas deben conocer que también las protegen las normas colombianas de tecnología, es el caso de los procedimientos de habeas data, neutralidad tecnológica, comercio electrónico o normas de delitos informáticos que protegen la información y los datos personales.
Es una obligación de las empresas colombianas que ofrecen servicios en la nube respetar y conocer las normas de derecho informático. Así mismo, en los distintos contratos informáticos y los acuerdos de niveles de servicio en soluciones cloud, debe quedar consignado el respeto de la información, como los deberes y las responsabilidades de cada parte.
Se debe resaltar que la información es del usuario y no del proveedor, por lo cual el usuario debe tener la facilidad de salir en cualquier momento del servicio. Muchos pueden preguntarse sobre este punto qué acontece si alguien quiere cambiar de empresa: ¿El proveedor le entregará su base de datos de manera sencilla para que se pueda cambiar a otro proveedor? Así mismo, se escuchan preguntas aún sin responder, como qué acontece si un usuario no paga el servicio: ¿le podrán negar el acceso a la plataforma pero deberán brindar la disponibilidad de sus datos?
Conductas como la señalada en la Ley 1273 de 2009, que menciona el daño informático, se pueden aplicar a la nube. Esta ley protege la información al resaltar en su definición: “El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses”.
La información en Colombia es un bien jurídico, por lo tanto se protege inclusive en la nube. Uno de los problemas que conllevan la contratación de servicios en la nube es que las empresas que ofrecen el servicio siempre buscan que los conflictos se resuelvan bajo su propia jurisdicción. Por ello, los clientes de estos servicios deben leer con sumo cuidado los contratos y los acuerdos de niveles de servicio (ANS) para no tener sorpresas.
Así mismo, existen organizaciones internacionales como la Cloud Security Alliance, que en sus documentos hace varias recomendaciones. Una de ellas consiste en que el ahorro que se tiene en costos al contratar un servicio en la nube se invierta en revisión de la seguridad de la información. Estas organizaciones han sido enfáticas en resaltar la importancia de los contratos y de los aspectos legales de cada país en el momento de contratar servicios. En Colombia también hay organizaciones que dan pautas en temas de cómputo en la nube, es el caso de la mesa sectorial de Cintel de cloud computing.
La computación en la nube es más que una moda, e implica la responsabilidad de tomar todas las precauciones tecnológicas, financieras, y jurídicas. Si todavía no cuidamos la información de los equipos de cómputo en la tierra, ¿estaremos preparados para cuidarla en la nube?
Notas relacionadas:
• Teletrabajo: una realidad en Colombia, con todas las de la ley.
• Esto sucedió en el encuentro de Google con los miembros de su ecosistema.
• Un rayo pone a temblar a la nube.
• Dropbox estaría por echarle más aire a la ‘Burbuja 2.0?.
Última modificación: lunes, 1 de octubre de 2012, 16:59