La conformidad debe ser una prioridad para clientes y proveedores de cloud computing
Clientes y proveedores de servicios de cloud computing deben conocer las normativas y regulaciones que les afectan y garantizar el cumplimiento de las mismas. Para ello la transparencia en las relaciones entre ambas partes se convierte en requisito imprescindible.
Según informa Network World España, esta es una de las principales recomendaciones del primer informe de ámbito internacional sobre el cumplimiento normativo de cloud computing (Cloud Compliance), elaborado por el Capítulo Español de Cloud Security Alliance (CSA-ES), impulsado por ISMS Forum Spain y Barcelona Digital Centro Tecnológico. Tales recomendaciones podrían también ser de aplicación a los modelos más tradicionales de externalización de servicios, como el housing o el hosting.
El informe, denominado “Cloud Compliance Report”, aborda de manera amplia los aspectos fundamentales a tener en cuenta en la contratación de servicios cloud, como, por ejemplo, aquéllos relacionados con el cumplimiento normativo, la gestión de la privacidad de los datos, las normativas y regulaciones exigibles o de carácter voluntario en España, las metodologías más elementales para la auditoría de servicios en la nube o las recomendaciones operacionales básicas relacionadas con la gestión de evidencias electrónicas en este tipo de entornos.
Según el informe, los clientes han de informar a los proveedores de cloud computing sobre los tratamientos de datos de carácter personal que están realizando y los requisitos que sobre ellos existen. Estos, a su vez, deben identificar e informar de las ubicaciones en las que realizarán dichos tratamientos o de proveedores a los que ellos subcontraten parte de sus servicios, así como establecer mecanismos de coordinación entre ambas partes para asegurar que se puede dar cumplimiento a los derechos de los afectados de manera responsable.
Gestión de la seguridad
En cuanto a la implantación de sistemas de gestión de la seguridad de la información en cloud computing, el informe ofrece recomendaciones en el sentido de ampliar los canales de comunicación en materia, por ejemplo, de valoración de riesgos, de incidencias y de variación de los niveles de riesgo, así como de coordinación (como, por ejemplo, en materia de definición de roles y responsabilidades, respuesta a incidentes o realización de tareas de seguimiento y auditoría).
En relación a los factores de contratación de servicios cloud, las recomendaciones también tienen la misma orientación, haciendo referencias a los SLA (acuerdos de nivel de servicio) como herramientas fundamentales para definir y monitorizar el servicio, pero también con aspectos como determinar la propiedad intelectual de los distintos elementos de la provisión del servicio, establecer mecanismos de resolución de conflictos o clarificar desde el inicio la jurisdicción aplicable.
Por lo que se refiere a los aspectos relacionados con la validación del cumplimiento (evidencias y auditoría) en cloud computing, las recomendaciones se centran en los aspectos de coordinación (quién debe encargarse de qué tarea en aspectos como elaboración de métricas, realización de revisiones, etc.), así como en el establecimiento de un entorno fiable mediante la implantación de mecanismos como procedimientos de gestión de evidencias, medidas de protección de los registros de auditoría, planificación de auditorías, etc.
