Cloud Computing
Ciberseguridad
Especial CSO Seguridad cloud

‘Cloud’ soberana, ¿por fin un control total sobre los datos?

El concepto de nube soberana está ocupando numerosos espacios informativos últimamente. El verdadero avance tras este modelo que promete cumplimiento normativo y custodia de datos en territorio nacional es que las empresas tendrán, por fin, la herramienta más valiosa: el control sobre los datos.

cloud soberana

Los anuncios de aperturas de regiones cloud en España se vienen sucediendo en los últimos años. IBM, AWS, Microsoft, Oracle y Google Cloud han anunciado nuevas zonas en los últimos ejercicios. Algunas ya se han materializado, como es el caso de los de Mountain View, que acaban de proclamarse como el primer hiperescalar en abrir una región cloud en España.

Durante su presentación oficial, Isaac Hernández, director general de Google Cloud para la región de Iberia, relacionó la adopción de la nube con el nivel de modernización de un país. La 33ª región mundial de la red de la firma ofrecerá baja latencia (apenas 1ms), alta disponibilidad y protección de datos a las empresas. Son estos los mayores atractivos de cualquier región cloud que se precie: la cercanía de los datos que garantice el cumplimiento normativo y, sobre todo, un control sobre los mismos.

La garantía de confidencialidad, seguridad y soberanía de datos de la primera región cloud operativa en España se reforzará a través de SIA, la filial de ciberseguridad de Minsait, socio estratégico de Google. La firma española aportará, tal y como comunicó con motivo del lanzamiento oficial de la región cloud del hiperescalar, su experiencia en la gestión de claves de cifrado externas, servicios de seguridad, de gestión de infraestructuras en la nube y soporte local, así como la auditoría continua del centro de datos. Se garantizará, matizaron, el cifrado de los datos en reposo y en tránsito.

 

 “La confianza en la ética y en la honestidad del proveedor es muy importante”

María Jesús Castro, directora de Organización y Sistemas, DKS Seguros

 

La confianza y la hibridación como conceptos clave

 

La cloud soberana puede aportar múltiples beneficios a las empresas. El concepto es “muy interesante” para María Jesús Castro, directora de Organización y Sistemas en DKV Seguros. “La dependencia de terceros países en muy diversos temas puede generar tensiones e inseguridad, tanto en el funcionamiento como en el control de quien accede a los datos”, destaca en unas declaraciones a CSO.

Así, el concepto de cloud soberana parece ser la propuesta de valor definitiva en seguridad, aunque no por ello deja de plantear desafíos. Para Castro, son “los mismos que se plantean a las empresas que utilizamos servicios cloud”. Con esto quiere referirse a la confianza. “La confianza en la ética y en la honestidad del proveedor es muy importante”, sostiene. “Hemos de confiar en que se cumplen las regulaciones, normativas y políticas de seguridad que aplican”, explica, porque el control no lo tiene directamente la empresa que aloja sus datos en la nube.

Hay que garantizar, por ejemplo, que se cumple lo pactado en el contrato y que los controles establecidos aseguran que no se accede a la información sin el permiso del propietario. Esto debe extenderse además a las empresas subcontratadas por el proveedor de servicios cloud.

Enrique Cervantes, CISO de Fintonic, compañía del sector fintech, considera que el principal desafío seguirá siendo “la hibridación” de este tipo de nubes con entornos on-prem y otros servicios cloud que seguirán siendo necesarios. “Esto implica la necesidad de estrategias basadas en arquitecturas de seguridad globales” que permitan tener “elementos comunes para la prevención, la detección y la respuesta ante incidentes en la infraestructura”. Es todo un reto, advierte, “sobre todo si pensamos en perímetros poco definidos o en la monitorización de entornos tan heterogéneos”.

 

 El principal desafío seguirá siendo “la hibridación” de este tipo de nubes con entornos 'on-prem'

Enrique Cervantes, CISO de Fintonic

 

 

¿Garantiza la nube soberana el control sobre los datos?

 

Para Cervantes, hablar de garantías o de un 100% en ciberseguridad es muy complejo. No obstante apunta que una zona de disponibilidad cloud “simplifica los procedimientos y, en general, la gestión del ciclo de vida completo de los datos y su localización” lo que sin duda contribuye a un mejor control.

En la misma línea se pronuncia Castro. Una garantía del 100% es “muy difícil”, comenta, porque la gestión no la tiene la empresa que contrata el servicio. “Se podrá ir avanzando para tener evidencias de que el control de accesos se realiza correctamente y que nadie accede a tu información sin tu permiso”, explica. Lo que sí garantiza es que “ningún tercer país no tendría acceso a tu información sin tu conocimiento ni autorización, porque el proveedor cloud está sujeto a una legislación distinta a la tuya”.

Cabe citar en este sentido la Cloud Act, una ley federal estadounidense aprobada en marzo de 2018 y que permite al gobierno de este país acceder a datos almacenados por empresas estadounidenses independientemente de dónde se encuentren, eso sí, por orden judicial justificada por motivos de seguridad nacional. ¿Cómo choca esto con la regulación general de protección de datos (GDPR) europea? El artículo 48 de la regulación especifica la necesidad de un acuerdo para transferir datos fuera de la UE y sólo lo permite en los casos en que se cumplan unos requisitos de protección y de garantías de cumplimiento.

Algunas voces, como la de la Asociación de Proveedores Españoles de Cloud y Data Center (Apecdata) recomiendan el uso de proveedores europeos para garantizar un control mayor sobre la ubicación de los datos, ya que estarán más alineados con el GDPR.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper