Un enfoque avanzado para la rendición de cuentas de los proveedores de servicios en la nube en materia de seguridad
Los pulsómetros portátiles, que son muy populares entre los corredores, son tan solo un ejemplo de la gran cantidad de dispositivos que recopilan información personal confidencial hoy en día. Combinados con tecnologías WI-FI o GPS, crean registros instantáneos en línea para el usuario, así como para hospitales, aseguradoras y otros intermediarios en la cadena de valor de la información que procesan datos personales a través de la nube. La nube suscita muchas preguntas acerca de la rendición de cuentas en el tratamiento de datos personales: ¿Cómo se gestionan? ¿Cómo se hace el seguimiento de quién es responsable en caso de que algo falle? De hecho, como la nube es relativamente nueva, no existen unas reglas de rendición de cuentas y de transparencia establecidas que sean de aplicación. «Es una cuestión de privacidad de los datos, como personas y como organización», comenta Julie Grady, investigadora de Hewlett Packard Enterprise en el Reino Unido. «Las empresas deben rendir cuentas sobre la seguridad de sus datos y las reparaciones, y deben asumir la responsabilidad sobre cómo lo llevan a cabo». Establecer un marco para las directrices de rendición de cuentas de los proveedores de servicios en la nube era el objetivo de A4CLOUD, un proyecto de investigación en ciberseguridad cofinanciado por la Unión Europea, coordinado por la empresa de Grady y recientemente finalizado. El objetivo principal de A4CLOUD era establecer el marco de un enfoque «avanzado» de la rendición de cuentas en ecosistemas de prestación de servicios en la nube antes de la entrada en vigor del Reglamento general de protección de datos (RGPD) de la Unión Europea, en 2019. Para lograrlo, se realizó un estudio sobre las prácticas actuales y las mejores prácticas en todos los Estados miembros y se definieron listas de comprobación detalladas de las tareas que los proveedores de servicios en la nube y sus clientes deberían llevar a cabo para garantizar la transparencia y la rendición de cuentas en lo relativo a la protección de datos. «Nuestro mayor reto fue tratar de reconciliar los aspectos técnicos y legales, asegurándonos de que funcionasen juntos. Su aplicación por parte de las empresas basadas en la nube será muy complicada», explicó Grady. «Todas las entidades, ya sean grandes o pequeñas, estarán sujetas al RGPD. En cierto modo, será más fácil para las empresas grandes, ya que tienen los medios y, en cualquier caso, están acostumbradas a aplicar la diligencia debida. Realmente, nuestras listas de comprobación están pensadas para las pymes». Al preguntarle si la rendición de cuentas varía significativamente de un Estado miembro a otro, ofreció una respuesta matizada. «La interpretación de cada Estado miembro ha sido ligeramente diferente. No obstante, hasta la fecha no se han impuesto grandes multas relacionadas con el procesamiento de datos y la nube: no se ha penalizado a nadie a nivel de cliente. Sin embargo, esto cambiará después de 2019 y por este motivo es importante la implantación de las directrices relativas a buenas prácticas. La mayoría de las empresas no se preocuparán al respecto hasta que entren en juego los "castigos" del reglamento. En este sentido, con A4CLOUD fuimos un paso por delante», concluyó Grady.
Palabras clave
A4CLOUD, ciberseguridad, directrices, rendición de cuentas, nube, protección de datos