Si bien somos muchos los que estamos de acuerdo en que no se nos ocurriría nunca un nombre menos acertado si de generar confianza se trata, también somos bastantes los que pensamos que el cloud no es una moda pasajera, que está aquí para quedarse; pero eso no implica que el cloud deba producirse de “cualquier manera”, fuera de control. ¿Por qué no habría que exigirle garantías al cloud, de la misma forma que lo hacemos ante otros servicios clásicos como el outsourcing o el hosting tradicionales?
Microsoft ha apostado por una estrategia inequívoca para posicionar el cloud como un acelerador de cumplimiento de las obligaciones de los clientes, y no como un obstáculo.
No es lugar este para volver a redefinir el cloud computing, asunto que se ha convertido en un jardín de espacios comunes cada vez más transitado. Servicio bajo demanda, facturación por uso, escalabilidad, autoprovisionamiento, deprovisionamiento, dinamismo y todo lo que queramos añadir desde el habitualmente referenciado NIST en este ámbito.
Pero, ¿qué aspectos nuevos y diferenciadores con respecto al hosting tradicional podrían influir en que, desde la perspectiva de regulación, merezcan una atención especial?
Pues no son tantos, pero son importantes. Y tienen que ver fundamentalmente con:
Uno de los grandes problemas es la confusión que genera la visión parcial de muchos proveedores de cloud, especialmente cuando la existencia de una regulación (que no olvidemos es un mecanismos que ayuda en la protección de un derecho) se percibe como una amenaza a modelos de negocio basados fundamentalmente en la información captada sobre los usuarios.
Cuando eso ocurre, algunos proveedores parecen olvidar su mantra (Don’t be Evil), e intentan redefinir a la baja el concepto de privacidad, en cuanto ésta colisiona frontal y evidentemente con el núcleo de su modelo de negocio: información captada sobre el comportamiento de los usuarios.
Por eso es importante conocer los modelos de negocio detrás de los proveedores de Nube. En el mencionado caso, un 97% de sus ingresos dependen de ese flujo de información captada a los usuarios, evidenciando que su modelo de negocio no está tanto en la comunicación o colaboración on line, sino que más bien estas se utilizan para la obtención de datos que después pueda explotar a través de la publicidad
En consecuencia, si estamos visualizando el concepto Cloud con el descrito anteriormente, es evidente que tendremos demasiadas incertidumbres sobre el cumplimiento de nuestras obligaciones normativas.
Otros proveedores, como es el caso de Microsoft, basan su modelo simple y llanamente en el Servicio. Y esa distinción es fundamental. Eso nos permite que, lejos de mirar con recelo las políticas de protección de la privacidad, hagamos del cumplimiento regulatorio una ventaja, mientras que en paralelo se sigue ofreciendo un servicio con toda la calidad y las ventajas atribuidas al Cloud.
Es fundamental que los usuarios tengan todas las posibilidades y facilidades para cumplir con sus obligaciones legales y cumplimiento reglamentario en materia de privacidad, como dueños que son de su información.
Consideramos fundamentalmente 4 puntos básicos como fundacionales sobre los servicios del Cloud de Microsoft y en particular sobre MS Office 365: Privacidad, Cumplimiento,Transparencia, , y Seguridad
En relación con la privacidad, todo pivota en torno al principio de pertenencia: sus datos le pertenecen a usted, y Microsoft utiliza los datos únicamente para hacer aquello por lo que se le contrata: mantener y prestar los servicios de Microsoft Online Services. Se puede decir más alto, pero no más claro: Nuestro compromiso es no utilizar los datos para otros fines.
Los datos básicos de clientes se utilizarán exclusivamente para el funcionamiento del servicio. Además de las transacciones diarias, el funcionamiento del servicio puede incluir el uso de los datos básicos de clientes en las siguientes circunstancias:
· Resolución de problemas, al objeto de prevenir, detectar y solucionar problemas que repercutan en el funcionamiento de los servicios.
· Mantenimiento continuado de la seguridad, que conlleva la detección de amenazas nuevas y en evolución, o la protección frente a las mismas, que pudieran poner en peligro los servicios o datos de clientes (como malware o correo electrónico no deseado)
Creo interesante destacar tres características fundamentales en esta línea:
En relación con el cumplimiento normativo y certificaciones de terceros, Microsoft Office 365 cumple con los estándares más importantes, como son ISO/IEC-27001, las Cláusulas contractuales tipo de la Unión Europea, HIPAA-BAA y FISMA, auditores independientes y acuerdos de tratamiento de datos.
Contar con un proveedor de servicios cloud que sea sensible a los requerimientos que establece la normativa sobre protección de datos es particularmente importante hoy, en un entorno normativo cambiante como el que se produce tras los recientes pronunciamientos del Grupo de Trabajo del Artículo 29, que aglutina a las Agencias de protección de datos de la Unión Europea, y con la vista puesta en la futura aprobación de un Reglamento comunitario sobre protección de datos que sustituya a la vigente Directiva,
Transparencia
Los clientes de Office 365 saben dónde se encuentran los principales centros de datos de Office 365, quién puede tener acceso a esos datos y bajo qué circunstancias. ¿Qué es eso de que el dato es un estado, de localización impredecible? No tiene por qué ser así.
Como cliente de Office 365, sabrá dónde se encuentran sus datos, quién puede tener acceso a ellos en Microsoft y qué hacemos con esa información internamente.
Seguridad
Con más de 15 años de experiencia en seguridad de datos on line, Microsoft incorpora los principios de seguridad a lo largo de todo el ciclo de vida del desarrollo y supervisa de forma proactiva el servicio de Office 365 para detectar comportamientos malintencionados. Pero no es el objetivo de este artículo profundizar en temas clásicos de la seguridad de Microsoft como la existencia del Ciclo de vida de desarrollo seguro en productos y servicios, o los 5 niveles de seguridad clásicos sobre datos, aplicaciones, hosts, red y físicos, supervisión proactiva, restricción accesos etc ..
En lugar de ello, parece especialmente interesante aquí hablar un lenguaje específico de Seguridad en Cloud como el que propone el marco específico conocido como el framework Security, Trust & Assurance Registry (STAR) de la Cloud Security Alliance (CSA).
A aquellos “amantes” de los controles de seguridad, les invito a que, más allá del alcance de este artículo, se zambullan en la implementación que de ellos hace Microsoft y que han sido muy recientemente recogidos como respuesta a la iniciativa STAR de la Cloud Security Alliance, Framework que proporciona una visión general de diversos riesgos, gobernanza y marcos de seguridad de la información y normas. También introduce el marco específico del Cloud conocido como el Security, Trust & Assurance Registry (STAR).
STAR es un buen recurso para aquellos que buscan una fuente de información imparcial para evaluar a los proveedores de cloud en términos de seguridad, cumplimiento, transparencia. https://cloudsecurityalliance.org/star/ (5) Ahí encontraran un exhaustivo detalle de las respuestas de Microsoft al respecto de los entornos Cloud de Office 365, Windows Azure y Dynamics CRM On line. Llegado a este punto, invitaría al lector a comprobar por sí mismo cuáles son aquellos proveedores de cloud que ofrecen mayores índices de transparencia en sus procedimientos, controles y políticas, a la vista de los ficheros de STAR.
Ahí se encontraran detalles correspondientes a la matriz de análisis de STAR (Cloud Control Matrix), es decir, aspectos de Compliance, Data Governance, Facility, Human Resources, Information Security, Legal, Operations, Risk Management, Release Management, Resiliency, Security Architecture etc..
En resumen. Es muy probable que, lejos de las primeras sensaciones relacionadas con la confianza en el cloud, el grado de protección, seguridad y cumplimiento en un entorno de cloud como el descrito en este artículo no tiene que ser “por defecto” inferior al de cualquier otro entorno privado. Incluso, me atrevería a decir, que muy probablemente, sea superior.
Y la pregunta, ¿supone un riesgo extra consumir un servicio de cloud provisto de esta manera? O por el contrario, ¿habré aumentado mis niveles de seguridad? O incluso más, ¿estará una Administración Pública que lleve por ejemplo su correo corporativo a Office 365, más cerca o más lejos de los cumplimientos regulatorios más inmediatos, como son el Esquema Nacional de Seguridad o el Reglamento de la LOPD? Las Clausulas contractuales tipo de la Unión Europea mencionadas o los Acuerdos sobre tratamiento de datos nos pueden dar respuesta detallada al segundo aspecto.
Respecto al primero, la integración en el entorno de un cliente de un sistema certificado ISO 27001 como el descrito, y acompañado de las medidas de transparencia que se han mencionado, nos acercan al cumplimiento de lo exigido en el ENS. De hecho, ISO da un enfoque más orientado a la gestión mientras que el ENS está más orientado a operación y a tecnología. El ENS podría ser un complemento de medidas a tomar para una 27001. De hecho, algún responsable de la creación del ENS estimaba recientemente en un 70-80% el grado de cumplimiento del ENS a aquellos sistemas certificados en ISO/IEC 27001
En resumen, no todos los proveedores enfocamos el cloud de la misma manera, ni todas las clouds son iguales. En Microsoft decidimos poner como valor un enorme esfuerzo para facilitar a nuestros clientes el cumplimiento normativo que les aplica y, desde luego, nunca ponernos frente a un derecho fundamental como la privacidad, por motivos de negocio.
(1) http://g.microsoftonline.com/0BXPS00es-es/1158
(2) http://g.microsoftonline.com/0BXPS00es-es/1159
(3) http://g.microsoftonline.com/0BXPS00es-es/1162
(4) http://trust.office365.com
(5) https://cloudsecurityalliance.org/star/