Está en la página 1de 135

Seguridad y resistencia en las nubes de la Administracin Pblica

Informeparalatomadedecisiones
Enero 2011

SobreENISA LaAgenciaEuropeadeSeguridaddelasRedesydelaInformacin(ENISA)esunaagenciadelaUE creadaparapotenciarelfuncionamientodelmercadointerior.ENISAesuncentrodeconocimiento especializadoparalosEstadosmiembroseuropeoseinstitucioneseuropeasenmateriadeseguridad delasredesydelainformacin.Ofreceasesoramientoyrecomendaciones,ysirvecomocentralde informacinycomunicacinparaelejerciciodebuenasprcticas.Adems,laagenciafacilitael contactoentrelasinstitucioneseuropeas,losEstadosmiembrosylasactividadesdenegocioprivadasy losagentesdelsector. EstaobratienelugarenelcontextodelprogramaEmergingandFutureRisks(Riesgosemergentesy futuros)deENISA. LaredaccindelpresenteinformecorrespondeaD.DanieleCatteddu. LatraduccinalespaoldelinformeesunacortesadelInstitutoNacionaldeTecnologasdela Comunicacin,INTECOwww.inteco.es.Espaa. Datosdecontacto: Daniele.catteddu@enisa.europa.eu Internet:http://www.enisa.europa.eu/
Aviso legal Se advierte de que esta publicacin representa las opiniones e interpretaciones de los autores y redactores, salvo que se indique otra cosa. La presente publicacin no deber interpretarse como una actuacin de ENISA o de los organismos de sta, salvo que se adoptase en virtud del Reglamento (CE) n. 460/2004 de ENISA. Esta publicacin no incluye necesariamente los conocimientos ms avanzados, y es posible que se hagan actualizaciones de la misma en el futuro. Las fuentes tomadas de terceros aparecen citadas como corresponde. ENISA no se hace responsable del contenido de las fuentes externas, lo que incluye los sitios web externos a los que se hace referencia en esta publicacin. El propsito de esta publicacin se limita exclusivamente a fines educativos e informativos. Ni ENISA ni ninguna otra persona que acte en nombre de sta se har responsable del uso que pueda hacerse de la informacin que se incluye en esta publicacin. Se autoriza la reproduccin, siempre que se cite la fuente. European Network and Information Security Agency [Agencia Europea de Seguridad de las Redes y de la Informacin] (ENISA), 2010

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Listadecolaboradores
LaelaboracindelapresenteobracorrespondeaunredactordeENISA,quehacontadoconla participacinycomentariosdeungruposeleccionadoporsusconocimientosespecializadossobrela materiayqueincluyeexpertosdelsector,delmundoacadmicoydelasadministracionespblicas. Lasopinionesqueseexpresanenlapresentepublicacincorrespondenasuredactor,salvoquese indiqueotracosa,ynoreflejannecesariamentelasopinionesdelosexpertosqueparticipanenella. Miembrosdelgrupodeexpertosporordenalfabtico: AmandaGoodger,CESG,ReinoUnido. AndreaGlorioso,ComisinEuropea(observadora). Prof.AntonioLioy,PolitecnicodiTorino,Italia. BenKatsumi,IPA,Japn. DanieleCatteddu,ENISA(presidencia). DavidWright,TrilateralResearch&ConsultingLLP,ReinoUnido. DennisHeinson,LL.M.(UCLA),UniversittKassel(provet)/CenterofAdvancedSecurityResearch [CentrodeInvestigacinAvanzadasobreSeguridad]Darmstadt(CASED),Alemania. Dr.GilesHogben,ENISA. Prof.FabrizioBaiardi,DipartimentodiInformatica,UniversitdiPisa,Italia. JimReavis,CloudSecurityAlliance,EstadosUnidos. LiamLynch,eBay,EstadosUnidos. MarcosGmez,INTECO,InstitutoNacionaldeTecnologasdelaComunicacin,Espaa. Prof.Dr.MilanPetkovic,PhilipsResearchEindhovenyUniversidadTcnicadeEindhoven,PasesBajos. Dr.PaoloBalboni,BalboniLawFirm,TilburgUniversity,EuropeanPrivacyAssociation,Italia. Dr.PeterDickman,Google,Suiza. PhilippeMassonet,CETICProyectoRESERVOIR,Blgica. RajSamani,McAfee,EMEA RuiBarros,ELANET(RedTelemticadeAutoridadesLocalesEuropeas)(CEMR)EuropeanNetworkfor eGovernmentandInformationSociety(RedEuropeadeAdministracinElectrnicaySociedaddela Informacin)(conelrespaldodelConsejoEuropeodeMunicipiosyRegiones). Dr.SrijithNair,BritishTelecom,ReinoUnido. Dr.TheoDimitrakos,BritishTelecom,ReinoUnido. SteffenSchreiner,CASED,Alemania/CERN,Suiza.

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

ndice
SobreENISA ...............................................................................................................................2 Datosdecontacto: ....................................................................................................................2 ndice.............................................................................................................................................4 Resumen........................................................................................................................................7 Recomendacionesalasadministracionespblicasyalosorganismospblicos .....................9 1. Introduccin.........................................................................................................................12 1.1. 1.2. Estructuradelinformeyguadelectura......................................................................13 Situacinhipotticaintroductoria:Tomarunadecisin..............................................15

2. Objetivosyanlisis ..............................................................................................................23 2.1. 2.2. Destinatarios ................................................................................................................24 Mtododeanlisis .......................................................................................................24

3. Modelopararesponsablesdelatomadedecisiones .........................................................26 3.1. Parmetrosdeseguridadyresistencia ........................................................................29

Serviciodeextremoaextremoseguroyfiable...................................................................30 Parmetrosdeseleccindeseguridadyresistencia...........................................................31 3.2. Variablesdenegocioyoperativas................................................................................38

Tiposdedatos......................................................................................................................38 Perfildeusuario...................................................................................................................38 Escalabilidadygestindecapacidad...................................................................................39 Interoperabilidaddeinterfaz...............................................................................................39 Colaboracin........................................................................................................................39 Costoypresupuesto ............................................................................................................40 Propiedad.............................................................................................................................40 3.3. Marcolegalyregulador................................................................................................40

Consideracioneslegalesgenerales ......................................................................................40

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Soberanaycontrolgubernamentalessobrelainformacinylosdatos:cuestionessobre elaccesoalaaplicacindelaley,laconfidencialidadylapropiedadintelectual..............41 Contratacinpblica............................................................................................................41 Proteccindedatosyseguridaddelosdatos .....................................................................41 DisposicionessobreInteroperabilidad/Transferenciasalorigen/"Cautividaddel mercado" .............................................................................................................................45 Negligenciaprofesionaldelproveedordeserviciosenlanube..........................................45 Lasubcontratacindeserviciosenlanubeyelcambiodecontroldelproveedorde serviciosenlanube .............................................................................................................46 3.4. Opcionesdearquitectura.............................................................................................46

Nonube ...............................................................................................................................46 Nube ....................................................................................................................................47 4. AnlisisDAFO.......................................................................................................................49 4.1 Nubepblica.................................................................................................................50

Puntosfuertes .....................................................................................................................50 Puntosdbiles .....................................................................................................................51 Oportunidades.....................................................................................................................52 Amenazas.............................................................................................................................53 4.2. Nubeprivada ................................................................................................................54

Puntosfuertes .....................................................................................................................54 Puntosdbiles .....................................................................................................................55 Oportunidades.....................................................................................................................55 Amenazas.............................................................................................................................56 4.3. Nubecomunitaria.........................................................................................................57

Puntosfuertes .....................................................................................................................57 Puntosdbiles .....................................................................................................................57 Oportunidades.....................................................................................................................58 Amenazas.............................................................................................................................58

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

5. Situacioneshipotticasquesirvencomoejemplo ..............................................................59 5.1 5.2. 5.3. 5.4. Descripcindelservicio................................................................................................59 Parmetrosyrequisitos ...............................................................................................62 Evaluacincomparativaderiesgos ..............................................................................67 Seleccindelasolucineidentificacindeamenazasydebilidades..........................75

6. Preparacindeunasolicituddeoferta ...............................................................................77 7. Conclusionesyrecomendaciones........................................................................................81 7.1 Recomendacionesagobiernos,administracionesyorganismospblicos ..................83

8. Glosario................................................................................................................................87 9. Referencias ..........................................................................................................................92 AnexoIAnlisisjurdico ...........................................................................................................94 AnexoIISituacioneshipotticas ............................................................................................116 Situacinhipotticadeatencinsanitariasituacinnm.1 .............................................116 Historiaclnicaelectrnica(HCE).......................................................................................118 Archivoselectrnicossanitarios ........................................................................................120 Sistemaregionaldeintermediacineintercambioderegistroselectrnicosdepacientes ...........................................................................................................................................120 Nubecomunitarialocalyregionalsituacinnm.2..........................................................120 Procedimientosadministrativoselectrnicos ...................................................................125 Nubegubernamentalcomoviverodeempresassituacinhipotticanm.3...................126 ModeloJSaaS....................................................................................................................127 AnexoIIIDescripcindelaarquitecturadelProyectoReservoir ...........................................129 Arquitecturadenubevirtualparanubescomunitarias........................................................129 Amenazasdeextremoaextremoalaresistenciadeunaarquitecturadenubevirtualizada ...............................................................................................................................................130 Amenazasalaresistenciadeextremoaextremoennubescomunitarias...........................132 AnexoIVListadeamenazas...................................................................................................134

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Resumen
Lacomputacinenlanubeofreceunagrancantidaddebeneficiospotencialesalosorganismos pblicos,comolaescalabilidad,laelasticidad,elaltorendimiento,laresistenciaylaseguridad,adems delarentabilidaddecostes.Comprenderygestionarlosriesgosrelacionadosconlaadopcine integracindelasprestacionesdelacomputacinenlanubeenlosorganismospblicossuponeun retoclave.Lagestineficazdelascuestionessobreseguridadyresistenciaenrelacinconlas prestacionesdelacomputacinenlanubeestllevandoamuchosorganismospblicosainnovary,en ciertoscasos,areplantearsesusprocesosdeevaluacindelriesgoydetomadedecisionesfundadas respectoaestenuevomodelodeprestacindeservicios. Enesteinformeseidentificaunmodelodetomadedecisionesdelquepodrnvalerselos responsablesdedireccinalahoradedecidirdequmodopuedenllevarlosrequisitosoperativos, jurdicosydeseguridaddelainformacinalaidentificacindelasolucindearquitecturade computacinquemejorseadaptealasnecesidadesdesuorganizacin.Losobjetivosprincipalesdel informeson: Ponerderelievelasventajaseinconvenientes,encuantoalaseguridaddelainformacinyla resistencia,delosmodelosdecomputacinenlanubecomunitarios,privadosypblicos. Guiaralosorganismospblicosenladefinicindesusrequisitosdeseguridaddela informacinyresistenciaalevaluarlosmodelosdeprestacindeserviciosdelacomputacin enlanube.

Adems,esteinformepretendebrindarapoyo,deformaindirecta,alosEstadosmiembrosdelaUnin Europeaenladefinicindesuestrategianacionalrespectoalanubeenloqueaseguridady resistenciaserefiere. Laguasobretomadedecisionesqueseproponeservirdeayudaaloslectoresalahoradecomparar losmodelosdenubecomunitarios,privadosypblicos,ydedecidiracercadelmodelode implementacindelserviciodetecnologasdelainformacin(TI)msadecuado,deloscontrolesque debanaplicarseydelascuestionesclavequedebansolicitarseaunproveedordeserviciosdecaraa reducirlosriesgosquesuponelamigracinalacomputacinenlanube,aunnivelqueresulte conformeconsutoleranciaalosriesgos. Elanlisissebasaentressituacioneshipotticasdeusodelacomputacinenlanube:asistencia sanitaria,administracinpblicalocaleinfraestructuradecomputacinenlanubedetitularidad pblicacomoviverodeempresas,yaquehemosasumidoqueloscitadoscasosprcticosdeusodel modeloresultanparticularmenteinteresantesparalosEstadosmiembrosdelaUE. Laherramientaempleadaenesteinformeparacompararlasventajaseinconvenientesdelaseguridad yresistenciadelosmodelosdecomputacinenlanubecomunitarios,privadosypblicosesun anlisisDAFO(eningls,SWOT:puntosfuertes,puntosdbiles,oportunidadesyamenazas),elcual,en elcasodelatomadedecisionesfundadasbasadasenriesgos,habrdeemplearsedeformaconjunta

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

conlaevaluacindelaseguridaddescritaenelinformedeENISACloudComputing:benefits,risksand recommendationsforinformationsecurity.Esconvenientequelosorganismospblicosrealicen siempreunrigurosoanlisisderiesgosdesusaplicacionesespecficasenelcontextodelmodelode nube,yesteinformedeberconsiderarseundocumentoyunaguadeapoyo. Hemosllegadoalaconclusin,comoresultadodenuestroanlisis,dequeelmodelodeserviciode computacinenlanubesatisfacelamayorpartedelasnecesidadesdelasadministracionespblicas, porunaparte,porqueofreceescalabilidad,elasticidad,altorendimiento,resistenciayseguridad.No obstante,muchosorganismospblicosnohancreadoanunmodelodeevaluacindelosriesgospara suorganizacinenrelacinconlaseguridadylaresistencia.Lagestindelaseguridadylaresistencia enentornosdeTItradicionalessuponedeporsungranretoparalosorganismospblicos.Yla computacinenlanubepresentaalgunosdesafosms.Porejemplo,comprenderelcambioenel equilibrioentrelaresponsabilidad(responsibility)ylarendicindecuentas(accountability)enelcaso defuncionesclavetalescomolagobernanzayelcontrolsobrelosdatosylasoperacionesdeTI, garantizarelcumplimientodelalegislacinylanormativay,enciertoscasos,labajacalidaddelas conexionesaInternetenciertaszonasdelaUninEuropea(1). Alparecer,talcambiohacialagobernanzayelcontrolindirectossobrelosdatoseinfraestructurasde laTIconstituyeunretoinherentealamigracinalmodelodenube(sobretodo,enloqueconciernea lasnubesdetipopblicoydistribucionesdeSaaS(SoftwarecomoServicio)),inclusoapesardeque,tal comoyahaindicadoENISA(p.ej.,ensuinformede2009),esposiblemejorarlasituacinlogrando transparenciaenelmercadoynegociandolostrminoscontractualesadecuados. LaslegislacionesynormativasnacionalesdelosEstadosmiembrosdelaUninEuropeaimponenenla actualidadrestriccionesalosmovimientosdedatoshaciaelexteriordelterritorionacional;esms, existeunproblemaencuantoaladeterminacindelcorpusjurdico(legislacinvigente)aplicableen loscasosenquelosdatossealmacenanyprocesanfueradelaUninEuropea,oatravsdeun proveedordeserviciosnopertenecientealaUE.Lascuestionesprincipalesquedeberabordarcada unodelosorganismospblicosy,msengeneral,cadaunadelasadministracionescentralesdelos pasesdelaUE,sonlassiguientes: Silosmarcosjurdicosactualespuedenmodificarsedeformaquefacilitenlacomunicacin,el tratamientoyelalmacenamientodelosdatosenelexteriordelterritorionacionalsinqueello expongalaseguridadyprivacidaddelosciudadanosylaseguridadyeconomanacionalesa riesgosinaceptables. Entalcaso,sitrasladarlosdatosdelosciudadanosalexteriordelterritorionacionalsuponeun riesgoasumible. Sielequilibrioentrelosriesgosdeperderelcontrolsobrelosdatosylosefectosbeneficiosos deladistribucingeogrficaespositivoparaellos.

Dichasconsideracionesseaplican,engeneral,atodoslosmodelosdedespliegueenlanube(esdecir, pblicos,privados,comunitariosehbridos);aunqueelimpactodeestospuntosdbilesyamenazas variarenfuncindelentornoespecficointernoyexternodelosorganismospblicosenlosdistintos Estadosmiembrosydelmodelodeimplementacinydedistribucinquesehubiesetenidoencuenta.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Entrminosdearquitectura,paraelcasodeaplicacionessensibles,losmodelosdenubeprivadoy comunitarioparecenserlasolucinquemejorseajustaenlaactualidadalasnecesidadesdelas administracionespblicas,yaqueofrecenelmayorgradodegobernanza,controlyvisibilidad,aun cuando,alplanificarunanubeprivadaocomunitaria,debadarseespecialconsideracinalaescalade lainfraestructura.Siunainfraestructuradenubeprivadanoalcanzalamasacrticanecesaria,lamayor partedelosbeneficiosencuantoaresistenciayseguridaddelmodelodelanubenoseaprovecharn. Nosparecedeespecialinterselcasodelmodelodenubecomunitario,puestoquemuestrael potencialdeconjugarlagobernanzaycontrolesdelosdatosysolucionesdeITconunaltonivelde resistencia,enespecial,enelcasodeunainfraestructuradedistribucinyfederada(v.anexoIII). Laopcindelanubepblicaescapazdeofreceryaunserviciomuyfiableyflexibleconunnivel satisfactorioasociadodegestinseguradedatosy,adems,eslamsrentable.Esms:lanube pblicaofrece,potencialmente,elmayorgradodedisponibilidaddelservicio;aunque,debidoala actualcomplejidadnormativadelastransferenciasdedatostransfronterizas,tantointracomunitarias comoextracomunitarias,suadopcindeberlimitarseaaquellasaplicacionesnosensiblesono crticasyenelcontextodeunaestrategiadefinidaparaadoptarlanube,quedeberincluiruna estrategiaclaraparaelcasodeabandonodelmodelo.Almismotiempo,hasurgidounaseriede iniciativas,entrelasqueseincluyenlaCSAGuidance(DirectricesdelaCSA)yotrasdosiniciativasdela CSA,ControlMatrixyConsensusAssesment,ademsdelalabordelconsorcioCommonAssurance MaturityModel(CAMM)(2),queestnimpulsandoelcriteriodereferenciaencuantoaofreceruna transparenciaygarantaquepermitanusarelmodelodelanubepblicaenaplicacionesms sensibles. Recomendacionesalasadministracionespblicasyalosorganismospblicos 1 Serecomiendaalasadministracionespblicasadoptarunmtodoescalonadoalintegrarla computacinenlanubeensusoperaciones,puestoquelacomplejidaddelentornodelanube introduceunaseriedevariablesdesconocidasparalascualeslosgestorespblicosnecesitarn crearnuevosmtodosdeevaluacinygestindelosriesgos. Losgestorespblicosdecualquieradelosnivelesdelasadministracionesdebernteneren cuentalainterconexinylasinterdependencias(lamayoradelascualespodran desconocerse),sobretodoenelmomentodetrasladardeformasimultneavariosserviciosa unsistemaosistemasdenube.Losgestorespblicosdeberntenerencuentaestacuestin enelcontextoactual,enelqueelentornocambiadeformadinmicaynuestros conocimientossobrelavulnerabilidadylosmecanismosdeataque,ascomolacomplejidadde loscontrolesrelacionados,sonincompletos.Portanto,nodeberndarporsentadoquela implementacinconxitodeunaaplicacinenunentornodelanubesupone,deforma automtica,unindiciopositivoqueaconsejellevaracabomuchasotrasimplementaciones, sinoquedebernexaminarsedeformadetenidaeindividuallosrequisitosdeseguridady resistenciadecadaaplicacinycompararseconlasarquitecturasdelanubeyloscontrolesde
1

En el captulo 7 puede verse la lista completa de recomendaciones

10

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

seguridadyadisponibles.Antetalperspectiva,deberplanificarselacapacidaddedarmarcha atrsenlaadopcindesolucionesdecomputacinenlanubeantesdeprocederatrasladarse aestemodelo. Lasadministracionespblicasnacionalesdebernelaborar,enelcontextodeun planteamientomsampliodelaUE,unaestrategiadecomputacinenlanubequetengaen cuentalasimplicacionesencuantoalaseguridadylaresistenciaquetendrndichosmodelos deprestacindeserviciosenelcontextodesuseconomasnacionalesyserviciosparalos ciudadanosenlaprximadcada.QuieneslosadoptenenprimerlugarencadaEstado miembropodrnserpercibidoscomoposiblesbancosdepruebas,aunqueseresencial contar,almenosenelmbitonacional,conunplanteamientocoherenteyarmonizado respectoalacomputacinenlanubeconelfindeevitar:1)laproliferacindeplataformasy formatosdedatosincompatibles(ausenciadeinteroperabilidaddeservicios),2)un planteamientoincoherenterespectoalaseguridadylaresistencia,incluidounplanteamiento incoherenteeineficazrespectoalagestinderiesgosy3)laausenciademasacrtica. Recomendamosalasadministracionespblicasqueestudienelpapelquedesempearla computacinenlanubeenelcontextodelaproteccindelasinfraestructurascrticasdela informacin.Noresultadescabelladopensarquelacomputacinenlanube,entodassus posiblesimplementaciones,prestarservicio,enunfuturocercano,aunapartesignificativa deciudadanos,pequeasymedianasempresasyadministracionespblicasdelaUnin Europeay,portanto,lasinfraestructurasenlanubedesdelasqueseprestandichosservicios deberndisponerdeproteccin.Enotraspalabras,lasestrategiasnacionalesdecomputacin enlanubedeberndirigirseacomprenderyabordar,entreotrascuestiones,losefectosdela interoperabilidadeinterdependenciasdelasnubesnacionalesysupranacionales,ascomoa evaluarelimpactodeposiblesfallosencascada,evaluarlaoportunidadquesupondraincluira losproveedoresdelanubeenelmbitodelosyaanunciadosplanesdegeneracinde informes(enparticular,nosreferimosalmecanismodegeneracindeinformesque introducenlosartculos4y13delarecientementeadoptadaDirectiva2009/140/CE(3))y prepararseparaposiblesgestionesdecrisisencasodeproducirseincidentesagranescalade estandole. RecomendamosalasadministracionespblicasnacionalesyalasinstitucionesdelaUnin Europeaquecontineninvestigandoelconceptodeunanubegubernamentaleuropeacomo unespaciovirtualsupranacionalenelquepuedaaplicarseunconjuntodenormascoherentey armonizado,tantoentrminosdelegislacincomodemedidasdeseguridad,endonde puedanpromoverselainteroperabilidadylaestandarizacin.Adems,unainfraestructurade laUninEuropeadeestaamplitudpodraemplearseenelcontextodeunplandeayuday asistenciamutuaspaneuropeoparacasosdeemergencias.

Alevaluarlosbeneficiosyriesgosdeadoptarlacomputacinenlanube,losorganismospblicos debernllevaracabolasaccionessiguientes:

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

11

Evaluarsusriesgosydefinirsusrequisitos(posiblemente,utilizandocomobaselosquese sugierenenesteinforme)paraidentificarlasolucindenubequemejorseadapteasus necesidades.Losgestorespblicosdeberntenerencuentatambinlosfactoreshumanos (talescomolaconcienciacinsobrelaseguridadylaresistencia,olaresistenciaalosnuevos modelosdemedidasdeseguridad)ylosmarcosnormativos. Revisarsuspolticasyprocesosexistentesdegestindelaseguridaddelainformaciny evaluardequmodoseabordaranoapoyaranstosendiversosmodelosdenube. Definirlosnivelesdeservicioqueresultenaceptables(unareferenciaparaevaluarparmetros comoladisponibilidad,tiempoderespuesta,etc.)parasusrequisitos.Usarnlareferenciao referenciasparamedireldesempeodesusservicios.Identificarelconjuntodecontrolesyel gradodeespecificidaddestosqueseanecesarioparaalcanzarunnivelmnimoaceptablede gestinseguradedatosylaresistenciadelosservicios. Asegurarsedequetodoslosrequisitosfundamentalesdeseguridad,resistenciayjurdicosse especifiquenensusrequisitosdeniveldeservicioyseconcretenensusacuerdosdenivelde servicio. Disponerdeherramientas,metodologasyestructurasdegobernanzadecaraa,porejemplo, asegurarladebidadiligencia. Asegurarquesegaranticenymantenganconexionesdetelecomunicacionessatisfactorias,las instalacionesdeserviciocrticas(p.ej.,laelectricidad),lapotenciadeprocesamientoyla capacidaddealmacenamiento. Comprobarlaprioridadparalareanudacindelascomunicacionesylosserviciosenlanube detercerosencasodeinterrupcin.

Examinarelplandecontinuidaddelnegociojuntoconlacadenadelsuministrodelos servicios.

Porltimo,losproveedoresdelanubeylosproveedoresdeserviciosindependientesdebern considerarlasrecomendacionesqueseincluyenenesteinformecomoposiblefuentedeinformacin alahoradealinearsusofertascomercialesypropuestasdevaloresconlasnecesidadesyrequisitosde losusuarios.

12

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Introduccin
Muchosministerios,organismosgubernamentalesyadministracionespblicas(AAPP)fueradela UninEuropea,p.ej.,delosEstadosUnidosoJapn 2 ,Singapur(4),ymuchosotrospases,seestn planteandoenlaactualidadlasposibilidadesdelanube. LasprincipalesrazonesdeestaeleccinseexponendeformaminuciosaeneldocumentoStateof PublicSectorCloudComputing,delFederalChiefInformationOfficerdeEstadosUnidos,quedice:[...] lacomputacinenlanubetieneelpotencialdereducirnotablementelamalagestinderecursos, aumentarlaeficaciadeloscentrosdedatosylastasasdeutilizacin,ydisminuirloscostesde explotacin....EnlaUninEuropea(5),algunospases,comoelReinoUnido,DinamarcaylosPases Bajos,ademsdelaComisinEuropea(6)(7),estnanalizandoelmodelodecomputacinenlanubey trabajandoenladefinicindesusestrategias. Enmayode2010,laComisinEuropeapublicsuAgendaDigitalparaEuropa(8),enlaquese comunicalosiguiente:[]laComisingarantizarelrespaldoeconmicosuficientealas infraestructurasdeinvestigacindelasTICconjuntasyalosgruposdeinnovacin,desarrollarms infraestructuraselectrnicas(eInfrastructures)yestablecerunaestrategiaeuropeadecomputacin enlanube,enespecial,enelcasodelasadministracionespblicasyenelcampocientfico. Almismotiempo,enelsectorprivado,elnmerodeempresasqueusanlanubecontina aumentandoaunritmoaceleradoyeldesarrollodelasofertasestaumentandoconlaintroduccin denuevosservicios. SegnGartner,laprevisindebeneficiosdelosserviciosenlanubealcanzaralos68.300millonesde dlaresen2010,loquesupondraunaumentodel16,6%conrespectoalde2009,quefuede58.600 demillonesdedlares.Seprevuncrecimientoenelsectorparael2014,aoenelqueelbeneficiode losserviciosenlanubepodraalcanzar,segnseestima,los148.800millonesdedlares. Teniendoencuentalasmedidascitadasanteriormenteyelcontextodelaactividaddenegocio,ENISA consideraimportanteofrecerdirectricesrespectoalosfactoresdeseguridadyresistenciaqueinfluyen enlaopcinpor(oladecisinencontrade)lassolucionesdecomputacinenlanubeparaorganismos yorganizacionesdecarcterpblico.Porestarazn,hemosdecididorespaldaralosorganismos pblicosmedianteunaevaluacincomparativadelosdistintosplanteamientosrespectoala computacinenlanube. Esteinformeesunacontinuacindelinformepublicadoen2009porENISACloudcomputing:benefits, riskandrecommendationsforinformationsecurity,dondesellevacabounaevaluacinderiesgosde
2

En Japn, el ministerio de Asuntos Interiores y Comunicacin (MIC) est creando la Kasumigaseki Cloud para optimizar operaciones en los gobiernos centrales. El ministerio de Economa, Comercio e Industria (METI) ha creado la J-SaaS y la e-METI Idea box. Hay varios proyectos de nube, o ya existentes, o planeados, en los sectores pblico y empresarial, como el sector financiero, las lneas areas, las comunicaciones, el agua y otros proyectos.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

13

losmodelosdenegocioylastecnologasdelacomputacinenlanube.Elresultadoesunanlisis independienteyenprofundidadqueexpone,deformageneral,algunosdelosbeneficiosdela seguridaddelainformacinyriesgosclavedeseguridaddelacomputacinenlanube.Elinforme ofrecetambinunaseriederecomendacionesprcticas. Ambosinformes,GovernmentalCloud:makinganinformeddecisionyCloudComputing:benefits,risks andrecommendationsforinformationsecurityseelaboraronenelcontextodelProgramaEmerging andFutureRisks(Riesgosemergentesyfuturos). VanseotrostrabajosdeENISAenelcampodelaresistenciaen(9).

1.1.

Estructuradelinformeyguadelectura

Elinformeseestructuradelmodosiguiente: Enelcaptulo2sedescribenlosobjetivosdelinforme,elmtododeanlisisylosdestinatarios. Enelcaptulo3sepresentaunmodelosencilloparalosresponsablesdelatomadedecisionesyse describenlostresprimerospasosdelproceso:identificacindelosparmetrosdeseguridady resistencia(paso2),identificacindelosparmetrosdefuncionamientoyjurdicos(paso1)y,por ltimo,lasopcionesdisponiblesdearquitecturaparalosserviciosdeTI(paso3).Cabesealarque dichospasosnoaparecenensuordendesecuencialgico:presentamosallectorenprimerlugarel paso2y,acontinuacin,elpaso1,locualsedebeaquelaseguridadylaresistenciasonlascuestiones alasquesedirigeelinforme. Enelcaptulo4sedescribeelcuartopasodelmodelo,esdecir,laevaluacincomparativa,yse presentaunanlisisgeneralDAFO(eningls,SWOT)demodelosdenubecomunitario,privadoy pblico. Enelcaptulo5seofreceunademostracinsobrelaformadeaplicarloscincoprimerospasosdel modelosencilloparalatomadedecisionesatravsdelanlisisdecuatroejemplosdeserviciosquese extraendelastressituacioneshipotticasestudiadasenelinforme. Enelcaptulo6sedescribenlasactuacionesquedebernllevarseacaboyloscontrolesquedebern tenerseencuentaenrelacinconlaseguridaddelainformacinylaresistenciadelservicioalahora deelaborarlassolicitudesdepropuestasdeservicios. Enelcaptulo7seproponenunaseriederecomendacionesenmateriadeseguridaddelainformacin yresistenciadelservicioparalaevaluacinporpartedelasadministracionespblicasyorganismos pblicosnacionalesdelasopcionesdecomputacinenlanube. Porltimo,sehanincluidocomoanexoslosdocumentossiguientes: AnexoI:Anlisisjurdico. AnexoII:Situacioneshipotticas.

14

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

AnexoIII:ArquitecturadelProyectoReservoir. AnexoIV:Listadeamenazas,quesirvededocumentodeapoyoparalaelaboracindeuna evaluacinderiesgosenprofundidad.

Dadoqueelinformetienediversosdestinatarios,ellectordebertenerencuentalosaspectos siguientes: Lainformacinesencialseincluyeenlapartedelresumenydelasrecomendacionesclave,al principiodelinforme. Lainformacinnodestinadaaexpertossehaelaboradoenformaderelatoyseencuentraen lasituacinhipotticaintroductoria. Elanlisispormenorizadoseencuentraenlaparteprincipaldelinforme. Elanlisisenprofundidadseencuentraenlosanexos.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

15

1.2.

Situacinhipotticaintroductoria:Tomarunadecisin

ElMinistrodeComunicacionesyTecnologafruncaelceoygolpeabaconlapuntadelosdedos, impacientemente,labruidamesadeldespachocuandosuayudanteabrilapuertayentr,juntocon suequipodetrabajo.Elayudantehizolaspresentacionesderigor:PauloyHardizon,delsector privado;Apik,unabogadoparticular;Hitch,JefedeldepartamentoministerialdeTI;Luther,Consejero GeneraldelMinistro;Fudge,JefedelaOficinaEconmicadelMinistro;Veeraswami,unaauditora independiente. Estasituacinmedesagrada,seoreshizounapausayasintihaciaVeeraswami,yseora.Me decepcionaquenohayansidoustedescapacesdellegaraunconsensorespectoasidebera recomendaronoalPrimerMinistroeltrasladodelosserviciosdeinformticadelgobiernoalanube. HitchpusoconmuchocuidadoencimadelamesadelMinistrouninformede300pginasylomovi haciadondeestabaste.Aquestntodaslasreflexionesdelequipodetrabajo,lasventajase inconvenientes. LaAyudantedelMinistro,Ference,seinclinhaciaHitchylesusurr:YasabequeelMinistronolee nuncanadaquepasededosfolios. Bueno,pues,entoncesdijoHitch,lepuedohacerunresumendetodoelinforme,seor.Siento tenerquedecirquehaydivisindeopiniones,apartesiguales,enelequipodetrabajo;tendrusted quetomarladecisin. ElMinistromirsureloj.Puesesunengorro,laverdad.Bien,entonces,dganmeculessonlos aspectosclave.Primero,encuntoreduciramoslosgastosenTIsinostrasladsemosalanube?. Enmucho,seorMinistrointervinoFudge,entornoaunnoventaporciento.Haymucha duplicacinenlosdepartamentosdelgobierno:Cadainstitucinpblicatienesupropiodepartamento deTI,esdecir,personalqueejercelasmismasfunciones,ascomosuspropiosservidores.Aveces utilizanserviciospropietariosyotras,serviciosdedisposicinpblica.Siconsolidamostodonuestro almacenamientoyserviciosenlanube,ganaremoseneficaciaoperativa.Nonecesitaramosautorizar licenciasparaelmismosoftwaremuchasvecesparacadadepartamento.Podramosreducireltamao delosdepartamentosdeTIydisminuirlosgastosenTIenunos30.000millonesdeeurosalao(10). Pagaramoselservicioquerealmenteusamos,envezdeestarpagandocosasque,luego,puedeque usemosono.Adems,podramoscontarlocomogastodeexplotacinenvezdecomogastode capital,conloquemejoraramoselaspectodelaspartidasdelpresupuesto. AldepartamentodeTItambinlecorresponderanbeneficiosaadiHitch.Siusamoslanube comobancodepruebasydesarrollo,sereduciranengranmedidaeltiempoyelcostedeldesarrollo delnuevoservicio.Notendramosqueesperaralasentregasdenuevasmquinas,ninecesitaramos prepararestimacionesdepicosdecapacidaddecarga,porquelanubeesescalableporsupropia naturaleza.Loquehacelanubeesproporcionaralpersonalagilidadenlapreparacindenuevos servicios.

16

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

ExcelentedijoelMinistro,esbozandounsonrisadesatisfaccin.Entonces,dndeestel problema?Porqunohanllegadoaunconsenso? Veeraswamisonriconserenidad.Respectoalahorroconsiderableenloscostesnohaydudas afirm,peronosetratadeunameracuestindeahorro.Losbeneficiospodranserimportantes. Hayciertos,digamos...costesyaspectosocultosquetambinhayquetenerencuenta Porejemplo?preguntelMinistro. Modificacionesdelasaplicacionesyaexistentes,recuperacindedesastres,responsabilidadlegal, prdidadecontrolinmediato,contratacionesdesegurosparacubrirposiblesprdidasdedatosy, quiz,lomsimportante,encasodequelosproveedoresdelosserviciosdelanubenofuesen europeos,seperderalaoportunidaddedesarrollarlascapacidadesnacionales,demodoquetambin habrauncostedeoportunidad. Loscostesdeoportunidadylosintangiblesnosepuedentrasladarfcilmentealosvotantesse quejelMinistro. NoessolocuestindecostesinterrumpiApik.Elgobiernoperderaelcontroldetodossus datos,delosdatosdetodossusciudadanos.Notendraniideadedndehabranidoapararlosdatos. Podranestarencualquierpartedelmundo.Podranhabersealmacenadoenunpasdondenose cumplelaDirectivadeProteccindeDatos.Imaginelareaccindelaprensasidescubriesenquese esthaciendoenotropasquenoessegurounminadodetodossusdatos,secretosdeestadoydatos personales.Elescndalopodrahundirasugobierno. Bueno,buenodijoHardizon,nohacefaltaexagerar.Solousaramosnuestrasinstalacionespor lasvaspermitidaslegalmente,ylalegislacincomunitarianospermiteciertogradoderesistencia.A ningunonosinteresaquenuestrosdatosvayanapararaunlugarinadecuado,yhaysolounnmero limitadodepasesendondedisponemosdelasinstalacionesadecuadas,detodasformas. Estoycompletamentedeacuerdo,seorMinistrodijoLuther.Esunacuestincontractual.El gobiernopodradisponerdeuncontratoenelqueseespecificaseenqulugarespodranono almacenarselosdatos.TendraqueserunlugardelaUninEuropea. Claro,claro...dijoApik.Peronohabraformadesabersiseestcumpliendoonoelcontrato. EsciertodijoVeeraswami.Apartirdenuestroestudio,esimposiblesaberdndeestnlos datos,oadndevanaparar. Hardizonresopl.Esonoesverdad.Podemosalcanzarunacuerdodeniveldeservicioparaquela copiadeseguridaddelosdatosseconserveexclusivamenteenEuropa.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

17

Perolacuestinesquenohayformadeauditarelcumplimientodebidodelcontrato,desaberdnde estnlosdatosenunmomentodadooquinestienenaccesoaellosoqumedidasdeseguridad estnvigentesparaprotegerlos. Tendramosciertoconocimiento,peronotodosloselementosdejuicio.Estosedebeaquenuestros sistemassonpropietariosdijoPaul.Miempresa,porejemplo,cuentaconunhistorialenelsector queeslaenvidiadenuestroscompetidores.Novamosarenunciardeningnmodoanuestraventaja competitiva. PuedeserdijoHitch,pero,sihubiesealgunaincidencia,laquefuese,enlanubeAosisus serviciosnoresultasensatisfactoriosyquisiramoscambiaraunanubeB,nosresultaraprcticamente imposible,porquesussistemassonpropietarios,locualesotraformadedecirquenoson interoperables.Ysaesmiprincipalpreocupacin.Estaramosatadosaunproveedorespecfico. SdijoApik.Qulespareceraesoalosvotantes? QuieredecirpreguntelMinistroquesioptsemosporunproveedor,ynoestuviramos satisfechosconelservicioprestado,oseprodujesenincidencias,nopodramostrasladarnuestro negocioaotrositio? Noexactamente,seorMinistro.Lamayoradelosproveedorestieneninterfacesdeprogramacin deaplicaciones,oAPI,queescomoselassuelellamar,locualsignifica,bsicamente,quenoes sencilloportarlasaplicacionesdeunanubeaotra. 3 Mmm,puesesonosuenamuybien...cavilelMinistro,mientrassefrotabalabarbilla.Quiz seanecesariopromulgarunanuevanormativa,aslosproveedoresestaranobligadosaestandarizar esas...Cmolashallamado?API? EsposiblequelasAPInoseanlasmismas,pero,siemprequeseanabiertas,esfactibleinsertar bibliotecassencillasparahacerlaportabilidad.Siquierenquenosestandaricemosdemasiadopronto, loqueseconsigueesmatarlainnovacinporpartedenuevoscompetidores,entreellos,nuestra futuracompetenciadelaUE.Adems,losactualessistemasamedidatienenrestriccionesmuchoms serias,queesporloquetienentantosproblemas.PeroseamossincerospidiPaulo,tratandode cambiarelrumbodeldebate.Esunacuestindecosteydedisponibilidad.Nuestrosserviciosysus datosestarandisponibles,msomenos,todoeltiempo.Ofrecemosel99,5%dedisponibilidad, mientras,poralgunascifrasquehepodidoconsultar,losserviciosdelgobiernoniseacercan... Cierto,lamismaqueofrecemosnosotrosdijoHardizon,quenodeseabaquedarpordebajodela competencia.LosgobiernossuelenemprendergrandesproyectosdeTIquetropiezancondificultades. Losplanesyloscostessuelenquedardesbordados.Sisecambiasenanuestranube,podracargar
3

En la actualidad no existe normalizacin, y tampoco se ha hecho un esfuerzo concertado por parte de los proveedores de servicios en la nube para desarrollar una programacin de aplicaciones ubicua y sistemtica entre nubes (lo que supone que portar de una nube de PaaS (Plataforma como Servicio) a otra resulte una tarea ingente. Mather et al., pg.

18

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

sobrenuestroshombroseseriesgo.Hardizonseenderezyestirloshombros,comosiquisiera ilustrarsuargumento. Miempresanoofreceunasimplecopiadeseguridad,sinovariasdijoPaulo,yendistintos pases,porejemplo,enEuropayenlosEstadosUnidos.Losgobiernosnohaceneso.Sihubieseunfallo masivoenelsuministroenergtico,comoelqueseprodujoenAlemaniahaceunosaos 4 yste provocaseunefectoencascadahastaEspaayPortugal,podramoshacerlefrente.Esdecir,queno nosjugamostodoaunacarta,tenemosvariascartas. Consupermiso,seorMinistrodijoLuther,quisieradecirque,aunquetenerlaslocalizaciones geogrficamentedispersasayudaaasegurarlaresistenciaencasodecortesdesuministroenergtico comoeldeAlemania,estoplanteaciertosproblemasdejurisdiccin.Podramosencontrarnosconque nohayacuerdosdepuertosegurovigentessuscritosconalgunosdeesostercerospases,yque,por tanto,losdatosdenuestrogobiernoestaransometidosaloquedijeselalegislacinynormativade otrospases. ExactodijoApik.Losproveedoresdeserviciosenlanubeoperanenmuchasjurisdicciones distintasdeformasimultnea.Nopodramosevitarquellevasenacabolaprcticadebuscarel rgimenjurdicomsconveniente. ALuthernolesentbienquelointerrumpieran,pero,comoApiklohabahechopararespaldarlo,le sonriligeramenteysiguiexponiendosusargumentos.Ypudierasercontinuquenopudiese evitarsedeningunaformaquelasautoridadescompetentesaccediesenalosdatos Adems,lospropiosproveedoresdelanubepodranhacerunminadodelosdatosdijoApik. Imagineeltesoroocultoqueseranlosdatosdeungobierno... EsoesundisparatedijoPaulo.Esinclusoinsultante. DisculperespondiApik.Entiendoquesureputacinesrealmentevaliosayquenoobtendran ningnbeneficioechndolaportierra,queesloquepasarasisehicieraunminadodelosdatosdelos particulares,perounproveedorsinescrpulospodraplantearsehaceralgoas. Puedeser,peroeselmismoriesgoqueexisteconlasempresasalasquesepagaparagenerary escribirsoftwareygestionarloscentrosdedatosyaexistentes;elriesgo,dehecho,esinclusomayor enestecaso,yaqueustedesestndeteriorandoelmodelodenegociodeestasempresasporelmero hechodeplantearselaopcindelossistemasdenubereales.Estoydeacuerdoenlodequees necesariotenerencuentalosriesgos,pero,porqubamosadestruirunvaliosomodelodenegocio comportndonosdeformatanestpida?

4 Graham, Dave, y Allan Hall: Power cuts in Germany spark wave of blackouts across Europe, The Scotsman, 6 nov 2006. http://news.scotsman.com/international.cfm?id=1640182006

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

19

HayotroproblemaaadiApik.Noesciertoque,comoresultadodelapromulgacindela PatriotActnorteamericana,elgobiernocanadiensediolaordenasusdepartamentosdenousar ordenadoresqueoperasendentrodelasfronterasnorteamericanasporquelespreocupabala confidencialidadyprivacidaddelosdatoscanadiensesalmacenadosenesosordenadores?. 5 Ference,AyudantedelMinistro,viendoquesevolvanacaldearlosnimosentrelosmiembrosdel equipodetrabajo,tratderebajaralgolatensin:QuizconvendraqueinformasenalMinistro sobrelacuestindelaresistenciadeltrasladoalanube. BuenaideadijoHardizon.SeorMinistro,laresistencianoessolounacuestindetenercentros dedatosseparadosampliamente.Elhechoesquecontamosconalgunosdelosmejoresexpertosen seguridaddelmundotrabajandoparagarantizarquesoloelpersonalautorizadotengaaccesoa nuestrossitiosysistemas.Esprcticamenteimposiblevulnerarnuestraseguridadconunataque,sea fsicoodesdeelciberespacio. SoloqueestoyahasucedidodijoHitch.Encualquiercaso,debepreocuparnoslaseguridadde losdatosdesdeelmomentoenelquesegeneranyduranteeltrnsitoalanubeyelhechodetener accesoaelloslas24horasdelda,sietedasalasemana,52semanasalao.Nohaysistemade seguridadperfecto.Alcentralizarlosserviciosyelalmacenamiento,elriesgoserquesetendrun objetivodemayortamaoqueatacar. Estoydeacuerdoenquenohaysistemadeseguridadperfecto,perolossistemasdelgobierno sufrenataquesysonvulneradosconmsfrecuencia,incluso.Podramossuponerunobjetivodemayor tamao,peronoolvidemosquepodramoscrear,tambin,defensasmspotentesyprofundasdelo quepodranunca,nisiquieraplantearse,cadadepartamentoindividualdeTIporseparado,comoya sealENISAelaopasado:eltamaofavorecelaseguridaddijoPaulo. Esposible,perolosproveedoresdelosserviciosdelanubetendrnqueenfrentarsecon delincuentes,clientesmalintencionadosyamenazasinternas,comocualquierotraorganizacindijo Hitch. EsverdaddijoPaulo,perotambinexaminamosanuestrosfuturosempleadosdeformams rigurosadeloquelohaceelgobierno.Y,teniendoencuentacmofuncionannuestrossistemas,hay muchasmenospersonasqueintervienenenlagestindenuestrossistemasdelasquetienenaccesoa losdatosensistemasquegestionanustedes. Yquinlesexaminaaustedes?preguntelMinistro. Apik,aprovechandolaocasin,intervinootravez.Buenapregunta,seorMinistro.Esconocidala faltadetransparenciaenrelacinconlasmedidasdeseguridaddelosproveedoresdelosserviciosde lanube.Esperanquelosclienteslesconfensusdatosvaliososy,aveces,crticos,peronadiesabequ
5

Mather, Tim, Subra Kumaraswamy y Shahed Latif, Cloud Security and Privacy, OReilly Media, Sebastopol, CA, 2009, pg. 33

20

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

medidasaplicanparaprotegeresosdatos.Lafaltadetransparenciasignifica,alfinal,faltade confianza;o,almenos,asmelopareceam. Ybien,seoresHarizonyPaulo?Qudicenaeso?. Puesesmuysencillo,seorMinistrodijoPaulo,simepermitelaexpresin.Noqueremosque lasmedidasdeseguridadquehemospuestoenmarchapuedancaerenmanosdepersonasque, potencialmente,puedanllevaracaboataques:Norevelamosnuestrasmedidasdeseguridadpara poderasprotegerlesmejoraustedesyalrestodenuestrosclientes. 6 LasolucinsonlasauditorasdetercerosindependientesdijoVeeraswami,laauditora independiente. Lasauditorassonimportantes,enesoestoydeacuerdodijoLuther,perosonlosacuerdosde niveldeservicio(ANS),contratosfirmescomopilares,loquedeverdadnecesitamosparasolucionar esto. LosoncoincidiApik.Perolosproveedoresdeserviciosdenubescomercialesnormalmente soloofrecencontratosconclausuladoestndar:lotomasolodejas.Lasoportunidadesdenegociar clusulasindividualessonextremadamentereducidas. ElMinistrovolviarefunfuar.Puessiquierenhacernegociosconnosotros,habrquenegociarun contratoquenossatisfagaanosotros,yquealagenteleparezcasatisfactorioy,adems,siempre podremosrecurrirapromulgarregulacionesynormas.Quienquieraoperarennuestropas,tendr queajustarseanuestroscriteriosycumplirnuestraregulacin. Hardizonasinticonlacabeza.Porsupuesto,seorMinistro,porsupuesto. Normalmente,discrepodemiamigoHardizon,seorMinistro,pero,enestecaso,suscriboloque acabadedecir.Esos,noobstante,megustararecordarlequeelcompromisodesugobiernoescon unamejorregulacin,conmenosregulacinyconlibertaddeempresa. SeorMinistro,notieneporquhacerlarecomendacinalPrimerMinistrodemigrarobientodoslos datosyserviciosdelgobiernoaunanube,oninguno:podrarecomendarunplanteamientoporfases sugiriHitch. Contine. Quierodecirquepodramoshacerlamigracindealgunosdatosyservicios,peronodetodoal mismotiempo.Esosera,dehecho,muyarriesgado.Seramejorhacerlamigracindealgunosdatosy servicios.Cosasquenoseanesenciales,esdecir,datosquenoseancrticos,como,porponerun
6

No obstante, en el caso de clientes que son empresas, deber exigirse transparencia a los proveedores de los servicios de la nube y solicitar la informacin necesaria para efectuar la evaluacin de riesgos y dems gestiones de seguridad que se precisen en los sucesivo. Mather et al., pg.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

21

ejemplo,turismoyobraspblicas.Graciasalaexperienciaobtenidaenesaprimerafasedela migracin,podramostomarconmscriterioladecisindesi,enlasegundafase,seguiradelantecon lamigracindedatosmssensibles,porejemplo,losdatosdeserviciossocialesysanidad. Bien,megustaesaidea.Echunamiradaalospresentes.Consenso?S?Pueshecho. ElMinistroyaibaadespedirsedelequipodetrabajo(tenaunaagendamuyapretada),pero,antesde quepudierahacerlo,Hitchintervino:SeorMinistro,creoqueesunmuybuenresultadoelqueha logradoustedaquhoy,pero,simepermite,hayunaodoscuestionespendientesdeaclarar. ElMinistro,queyasehabadadoporsatisfechoconelaparenteacuerdo,volviafruncirelceo: S?Dequsetrata? Bueno,creoque,desdeelsector,deberanasegurarnosqueseaplicanciertosmecanismosde seguridad,porejemplo,cifradodeseguridad,firmasdigitales,mtodosdedispersintipohashing, etc.,quegaranticenungradosatisfactoriodeconfidencialidad,integridad,disponibilidadyno repudio. ElMinistronoestabasegurodequpodraquererdecirtodoaquello,peroparecarazonable. Estoydeacuerdo,seorMinistrodijoLuther,elConsejeroGeneral.Necesitamosuncontratoen elqueseespecifiquentantolaseguridaddelosdatoscomolaresistenciadelservicio,aunque, tambin,unacuerdoendondeseestablezcadeformaclaraculseralajurisdiccincompetenteyen qucircunstanciasyaquclasededatospodratenerseacceso. Puesestclaro:seranuestrajurisdiccindijoelMinistro. S,porsupuestodijoLuther.Peronoestansencillo.Siacordamosqueelproveedordeservicios delanubealmacenelacopiadeseguridaddenuestrosdatosenIslandia,enCanadocualquierotro sitio,tendramosquetenerunacuerdoejecutableenelqueseespecificasenlostiposdedatosyqu serviciospuedentransferirsefueradenuestrasfronteras.Deberamosestablecerunniveldegestin seguraparacadacategoradedatosyservicios.Entrminosconcretos,esosupondraquelosdatos sensiblespodrantransferirsefueradedenuestrasfronterassoloenelcasodequesecumplieran ciertosrequisitos. ElMinistroserasclacabeza.S,meparececorrecto. Lutherprosigui.Siacordamoslatransferenciadelosdatosdenuestrosciudadanosauntercerpas, estoimplicaralaexistenciadeunaslidarelacindeconfianzaentreambosgobiernos.Sinembargo, esposiblequenecesitemosalgomsqueeso.Harafaltauntratadointernacionalqueofreciesepleno controlsobrelasituacindelosdatosysobrelajurisdiccin.Senecesitaraunacuerdobilateralo multilateralentrenuestrogobierno,elEstadoenelqueseconservaselacopiadeseguridadyel gobiernodelpasenelqueelproveedordeserviciosdelanubetuviesesusedeprincipalaefectos legales.Eseacuerdodeberaincluirdisposicionesqueestipulenlaregulacindecitacionesjudicialesy laobtencindedatosparafinesjudiciales(ediscovery).

22

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Apikaadialgoms.SeorMinistro,estonoafectasoloalosfactorestcnicosojurdicos,sino que,adems,debentenersetambinencuentalosfactoreshumanos. HmmdijoelMinistro.Puesparecequeshaymuchosfactoresquehayquetenerencuenta Hitchintervino.Esverdad,seorMinistro,squeloshay.Porsuerte,estamismamaanaherecibido uninformedeENISA. ENISA? S,seorMinistro,yasabe,laAgenciaEuropeadeSeguridaddelasRedesydelaInformacin aclarsuayudante. S,porsupuesto.Y? Y,precisamentedijoHitch,setratanestasmismascuestiones. ExcelentedijoelMinistro.Estdienlodetenidamenteyadelanteconello. Todoelequipodetrabajoasintiycore,alunsono:S,seorMinistro.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

23

Objetivosyanlisis
Elobjetivodeesteinformeesdoble:1)Orientaralosorganismospblicostantoenladefinicindesus perfilesdeseguridaddelainformacinyresistenciacomoenlaevaluacindelospuntosfuertes, puntosdbiles,oportunidadesyamenazasdelNIS(NetworkInformationService,Sistemade InformacinenRed)delosmodelosdeprestacindeserviciosdecomputacinenlanubey,2)ofrecer respaldodeformaindirectaalosEstadosmiembrosenladefinicindesusestrategiasdenube nacionalenrelacinconlaseguridaddelainformacinylaresistenciadelservicio. Losorganismospblicospodrnencontrarenelinformeideasyherramientaspensadaspara facilitarleslarespuestaalascuestionessiguientes: Quvalortieneunasolucindenubepblicaencuantoaresistenciayfiabilidad? Tieneelmodelodeprestacindeserviciosenlanubeposibilidadesdeofrecer,almenos,el mismoniveldeseguridadyresistenciaqueelmodeloquetienenactualmentelas organizacionespblicas(autoridadespblicaslocalesyregionalesyautoridadessanitarias)? Qumodelodeimplementacin(privado,pblico,hbrido,ocomunitario)seadaptamejora lasnecesidadesdeunaadministracinpblicaenparticular,encasodequealgunodeellosse adecue? Culdelascombinacionesentremodelosdeservicios(IaaS[Infraestructuracomoservicio], PaaS[Plataformacomoservicio],SaaS[Softwarecomoservicio]yservicios(p.ej.,recopilacin enlneadehistoriasclnicas,pagodeimpuestosenlneayotrosserviciosmenoscrticos,como serviciosadministrativos(backend),recursoshumanos,nminasolaformacinenred(e learning)eslamejor,siesquealgunaloes? Dequmodopuedenlasadministracionespblicasasegurarcontrolesefectivossobrela seguridadylaresistencia?Quformasdeauditoras,acuerdosdeniveldeservicio,sanciones econmicasoincentivos,etc.,sernmseficacesalahoradeproporcionarelaseguramiento adecuado? Sobrequinrecaelaresponsabilidad,yenrelacinconquaspectos,delasmedidasrelativas alaseguridadyresistenciaenunaimplementacintpicadenubegubernamental? Qunormasyregulacionesdebenseguirse?Qudeberesyquobligacionesdeben observarse? Serarealistaquelasadministracionespblicasplanifiqueneimplementennubes gubernamentalesconlatecnologadelaquesedisponeactualmente?Culessonlas

24

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

principalescuestionesabiertasquedebenabordarseentrminosdeseguridadyresistencia concarcterprevioaquelanubegubernamentalpuedaimplementarseyoperar?

1.3.

Destinatarios

Losdestinatariosdelinformesonlossiguientes: Directoresejecutivos(CEO),directoresdeTecnologa(CTO)ydirectoresdeSeguridaddela Informacin(CISO)yotropersonaldelosdepartamentosTICenlosEstadosmiembrosdelaUE queevalenlaseguridaddelainformacin,resistenciayfiabilidaddeunanube gubernamental. OrganismospblicosdelaUE(administracionespblicaslocalesyregionales,agencias, autoridadessanitariaslocales,etc.)queevalenloscostesybeneficiosqueacarrearaauna administracinpblicalaopcindemigraraunanube. ResponsablesdeelaboracindepolticasdelaUninEuropeaalosquecorrespondanlas decisionesrelativasalasmedidasoportunaseincentivoseconmicos,medidaslegislativas, iniciativasdeconcienciacin,etc.respectoalastecnologasdecomputacinenlanubepara gobiernosyadministracionespblicas. ProveedoresdenubeyproveedoresdeSVA(serviciosdevaloraadido,incluidalaseguridad) quedeseenobtenerunaprimeraideaacercadelasnecesidadesyrequisitosdelosgobiernos centrales,administracionespblicasyparticulares.

1.4.

Mtododeanlisis

Elpresenteinformeincluyetrescasosprcticososituacioneshipotticasquedescriben: Elcasodeunaautoridadsanitarialocalqueintroducehistoriasclnicaselectrnicasyotros servicioselectrnicos.Esteejemplopretendemostrarlosrequisitosdeaquellosserviciosque seenfrentenaltratamientodedatosmssensiblesynecesidadesderesistenciamsestrictas. Elcasodeunaadministracinpblicalocalqueextiendenuevosserviciosalosadministradosy desarrollalosyaexistentesalavezqueconsolidasusinfraestructurasyplataformasinternas deTI. Elcasodeunaadministracinpblicacentralqueplanealacreacindeunanube gubernamentalparaservirdeplataformasecundariaqueestimulelainnovacinempresarial.

Losdatosapartirdeloscualesseconcibieronyelaboraronlastressituacionesseextrajeronde: Cincoautoridadessanitariaslocales(Italia).

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

25

Unaautoridadsanitarianacional(PasesBajos). Unaadministracinpblicalocal(Espaa). IPAInformationTechnologiesPromotionAgency(AgenciaparalaPromocindelas TecnologasdelaInformacin),Japn. ELANET(CEMR)RedEuropeadeeGobiernoySociedaddelaInformacin(conelrespaldodel ConsejodeMunicipiosyRegionesdeEuropa). Unaautoridaddeproteccindedatos(Grecia). Uncuestionariodistribuidoafuentescualificadasdelasadministracionespblicas. Unaconsultaabiertaenlnea.

Alafasededefinicindelassituaciones(lastressituacionesseencuentranenelAnexoII)lesiguiel anlisis,queincluylospasossiguientes: Definicindeunmodelosencillopararesponsablesdelatomadedecisiones. Identificacindelosrequisitosyrestriccionesempresariales,defuncionamientoyjurdicos. Alineacindelosrequisitosrelacionadosconlaseguridaddelainformacinylaresistenciacon losrequisitosempresariales,defuncionamientoyjurdicos. DescripcindelasopcionesdisponiblesdearquitecturadeTI. Anlisisdelospuntosfuertes,dbiles,oportunidadesyamenazasdemodelosdeserviciosde nubebasadosenparmetrosdeseguridadyresistencia. Identificacindelosrequisitosespecficosdeseguridad,resistenciaycumplimientodelos cuatro(4)ejemplosdeserviciosquesedescribenenlastres(3)situaciones. Evaluacionescomparativas,especficasparacasoshipotticos(basadasenelanlisisDAFO)de modelosdeimplementacindecomputacinenlanube. Definicinderecomendaciones,loqueincluyeunaseriedecontrolesocuestionesque deberanusarsetantoenlafasedediseodeunserviciocomoenlasupervisindel cumplimientodelacuerdodeniveldeservicios.

26

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Modelopararesponsablesdelatomadedecisiones
Enestecaptuloseproponeunmodelosencilloquesirvadeapoyoalosresponsablespblicosdela tomadedecisionesalahoradeplantearseunmodelodeprestacindeserviciosdecomputacinenla nube.Laideaesorientaralasadministracionespblicasenlosiguiente: Identificacinyrecopilacindesusrequisitosempresariales,deseguridadyjurdicos. Definicindesusespecificacionesdeniveldeserviciosyacuerdosdeniveldeservicios. Identificacindelasolucinquemejorabordesusnecesidades. Preparacindeunapropuestadesolicituddeservicioyestablecimientodesuplande mitigacin.

Enladescripcindelmodelosencilloparalosresponsablesdelatomadedecisiones,destacamosla importanciadelafasederecopilacinderequisitos,queesunfactorclaveenlaadopcindela decisinfundadadefinitiva. Entrminosgenerales,podemosafirmarquelaaplicacindenuevosserviciosdenubepblicayla evolucindelosyaexistentesestncondicionadasporlosiguiente: Entornointerno Requisitosdelamisinydelaactividaddenegocio. Limitacionesfinancieras. Situacinactual.

Factoresexternos Opcionesdetecnologadisponibles. Expectativasdelosusuarios(ciudadanos,empresasprivadas,pacientes,etc.)ylaopinin pblica. LegislacinynormativaexistentestantoenelmbitonacionalcomoeneldelaUnin Europea.

Lasvariablesmencionadasdeberntenerseencuentaalalinearunaestrategiadeseguridaddela informacinconlosobjetivosdenegociodeunainstitucinpblica.stasdebernserlasguas principalesalahoradedefinirunperfilderiesgoparaunaorganizacinpblicay,porconsiguiente,a lahoradedeterminarelniveldemadurezenlaseguridaddelainformacinylaresistenciaquela organizacinnecesitaparalaprovisindelservicio. Esimportantesealarquedebernidentificarseclaramentelosobjetivosynecesidadesdeseguridady resistenciadeunaorganizacin(p.ej.,disponibilidadtotaldeservicios=99,9%)basndoseencriterios

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

27

cuantificables(como,p.ej.,ladisponibilidadtotalcadames),definidosenunacuerdodenivelde servicioysupervisadoscontinuamente. Unapartefundamentaldelprocesodetomadedecisionesesllevaracabounaevaluacin comparativaderiesgos(almenos,unanlisisDAFO)paraobtenerunadecisinfirmeyfundadaque tengaencuentalaseguridaddelainformacinylaresistenciadesdeelmomentodelafasede planificacindeunproyecto. Lasorganizaciones,ensuplanteamientorespectoalaprovisindelservicio,emplearn,finalmente, unmodelodetomadedecisionessimilaralquesedescribeenlasiguientefigura.

28

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

FIGURA1:PROCESODEDECISIN

EnlaFigura1semuestraelmodoenquelosrequisitosdefuncionamiento,jurdicosydeseguridadde lainformacin,ascomolaslimitacionespresupuestariasytemporales,sonlaguaparala identificacindeaquellasolucindearquitecturaquemejorseadaptealasnecesidadesdeuna administracinpblica,agenciaoautoridadsanitaria(pasos1,2y3). Porsolucindearquitectura,enesteinforme,nosreferimos,aalgunadeestastresopciones:1)nube pblica,2)nubeprivadao3)nubecomunitaria.Cadasolucinpuederespaldarunodelosmodelosde servicios:IaaS,PaaSoSaaS.Lasolucindearquitecturahbridanosehatenidoencuenta,yaque supone,desdenuestropuntodevista,unsegundopasoenelplanteamientorespectoalanube,

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

29

puestoquecombinaelusodedistintosmodelosdenube.Lasolucindearquitecturahbridacomotal, portanto,noesobjetodeanlisis,enningnsentido,nipositivo,ninegativo.Dicholocual, consideramosladistincinentrenubepblica,privadaycomunitariaelcriterioclaveparaidentificary derivarlmitesinferioresenrelacinconlosdiferentesaspectosdeseguridad.Enlasegundafasede diseodearquitectura,correspondeadoptarunplanteamientohbridoaltiempoqueserespetael resultadodelanlisisanterior. Elmodelomsapropiado,enloqueataealaseguridadyresistencia,seidentificamediantela realizacindeunaevaluacincomparativabasadaencriteriosespecficosdeseguridadyresistencia quesederivan,directaoindirectamente,delosrequisitosesencialesdeunservicio(paso4). Asumiendoquelaevaluacinderiesgosdelpaso4confirmequepuedeconsiderarseunasolucinde computacinenlanubey,unavezidentificadalasolucindearquitectura,lossiguientespasosseran: identificarlasamenazasypuntosdbilesespecficosdelmodelodeserviciodeTIseleccionado(paso 5),ylaelaboracindeunasolicituddeofertaparaseleccionarunsociocomercial,proveedorde serviciooproducto(paso6).Uncriterioseguroyprudenterespectoaestepasodeseleccinsera identificarunalistadecontrolqueseusaraparacompararyevaluarlosserviciosysoluciones propuestos.

1.5.

Parmetrosdeseguridadyresistencia

Enesteapartadoofrecemosalgunasposiblesvariablesquepodrntenerseencuentapara comprenderlosrequisitosdeunserviciodado. Comoyasehamencionadoanteriormenteenesteinforme,apareceenprimerlugarelpaso2debidoa quelaseguridaddelainformacinylaresistenciasonlosasuntoscentralesdenuestroanlisis.

Enelsubapartado3.1.2,losresponsablesdelatomadedecisionespuedenverunconjuntode variablesdeseguridadyresistenciaque,probablemente,debantenerseencuentaaldefinirsus requisitos.

30

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Servicio de extremo a extremo seguro y fiable


Resistencia(resilience)eslacapacidaddeunsistema(red,servicio,infraestructura,etc.) deofrecerymantenerunniveldeservicioaceptablefrenteadiversosfallosydesafosal funcionamientonormal. Seguridadeslacapacidaddeprotegerlainformacinysistemasdeinformacinfrentea accesos,uso,divulgaciones,interrupciones,modificacionesodestruccionesnoautorizados, ascomoderesponderyrecuperarseencasodefallooincidencia(12). Enesteinformeasumimosquelaseguridaddelosdatosylaresistenciadelserviciosetienenen cuentaalahoradedefinirelnivelaceptabledeservicioparacadaorganizacin.Deahqueunservicio puedaconsiderarsedeextremoaextremoseguroyfiablecuandosudesempeosecorrespondacon lodescritoenlaespecificacindelniveldeservicio. Enelcontextodeesteestudio,estosuponequeunserviciodebeofrecer: Unniveldeconfidencialidad,integridadydisponibilidaddelosdatosacordeconlosrequisitos especificados. Unniveldedisponibilidadyfiabilidaddelservicioacordeconlosrequisitosespecificados. Cumplimientodelalegislacinvigenteaplicable.

Laausenciadeunoodemsdeloscitadosrequisitosacarrearlanoidoneidaddelserviciopara cumplirlosrequisitosdeniveldeservicioysatisfacerlasexpectativasdelosusuarios. Alconsiderarlosaspectostcnicosdelaseguridadyresistenciadeextremoaextremoserpreciso tenerencuentalaorganizacindeloscomponentesdelaarquitecturadetodalacadenade suministro:clientes,red(comoLAN,WAN),centrosdedatos,serviciospblicos,gestindesistemasy serviciosdeseguridad,ascomolassolucionesadoptadasaniveldeinfraestructura,plataforma, aplicacinydatos. Enotraspalabras,cadaorganizacindeberconsiderardequmodosepodracrearlacadenade suministrodeprestacindeserviciosensuconjuntoapartirdeunacombinacindeinfraestructura internayserviciosproporcionadosporproveedoresexternos.Portanto,esnecesarioprestaratencin atodosloscomponentesyasusinterconexionesalolargodelacadenadesuministro,comolas comunicacionesentreelclienteusuarioylaaplicacin,entrelaaplicacinylabasededatos,entre redes(LANaLAN,LANaWAN,etc.),ascomoloscomponentesdehardware,chips,etc. Elcumplimientodelalegalidadesunrequisitoquetienelamismaimportanciaquelosrequisitos tcnicosydeorganizacinsobreseguridadyresistencia.Dehecho,denoconcurrir,suscitara controversiasjurdicasconparticulares,oentreadministracionesygobiernoslocalesoregionales, conflictosycontroversiasconlasautoridadesreguladorasnacionalesrespectoalaproteccinde telecomunicacionesydatos,ascomoconlosorganismosquevelanporelcumplimientodela legislacin.Porltimo,podraimpediralasadministracionespblicasofrecersusservicios.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

31

Parmetros de seleccin de seguridad y resistencia


Enestesubapartado,sugerimos,basndonosenelinformedeENISAMetricsforresilience 7 ,un conjuntodeparmetrosdeseguridadyresistenciaquedebentenerseencuentaalahoradeevaluarla posibleimplementacinyprovisindemodelosdeserviciosdeTI. Presentamosalgunasconsideracionesquelasagenciasgubernamentalesyorganizacionesdelas administracionespblicasqueevalenlosserviciosdelanubedebentenerencuentaaldefinirsus requisitosdeservicio. Estosparmetroscualitativosycuantitativosqueproponemossebasan,sobretodo,enelinformede ENISAMetricsforresilience.Hemosagrupadoconjuntosdeparmetrosencuatrocategorasque describenlamayorpartedelosrequisitosquedebernconsiderarsealplanificarunserviciode extremoaextremoseguroyfiable.Lascuatrocategorasson: 1. Preparacin:incluidoslosparmetrosycriteriosempleadosparaentenderelnivelde preparacindeunaorganizacinparamantenereficazmenteunniveldeservicioaceptablea lavezqueseprotegelaconfidencialidadeintegridaddelosdatostantodurantelas operacionesdiariascomoencasodetenerlugaralgunaincidencia. 2. Prestacindeservicios:incluidosloscriteriosempleadosparaevaluarlacapacidaddelos sistemasparaofrecerunniveldeservicioenlneaconlosrequisitosexpresadosenelacuerdo deniveldeservicio. 3. Respuestayrecuperacin:incluidosloscriteriosdemedicindelacapacidaddelsistemapara reaccionarencasosdeincidenciasofallos. 4. Cumplimientodelalegalidadylanormativa:incluidosloscriteriosdeevaluacindelnivelde cumplimientodelalegalidad. Lamayorpartedelosparmetrossugeridosson,opuedenser,criteriosyparmetrosdesupervisin delaejecucinseguradelasoperacionesenlanube,ascomocriteriosparacomprendersise cumplenonolosacuerdosdeniveldeservicio. Cabedestacarquelagobernanzadelniveldeseguridadencadaorganizacinafectaralaformaenla quepuedanaplicarseloscontrolessubyacentesalosparmetrossugeridosyque,portanto,vaa influirengranmedidaenlaseguridadyresistenciadelservicioens.Amayorniveldegobernanza, mayorgradodecontrolsobrelosparmetrossugeridosacontinuacin. Afirmamos,entrminosgenerales,queelmodelodeservicioSaaSes,claramente,lasolucinque ofrecealclienteelmenorgradodecontroldirectosobrelosparmetrosdeseguridadyresistencia,y queotorgaunmayorgradodecontrolyresponsabilidadalosproveedoresdelosserviciosdelanube;
7

http://www.enisa.europa.eu/act/res/other-areas/metrics

32

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

porsuparte,elIaaSeselquegarantizamscapacidaddecontroldirecto,pero,almismotiempo,deja alclientecontodalaresponsabilidaddeimplementarlasmedidastcnicasyprocedimentalesde seguridadyresistencia(vaseDivisionofResponsibilitiesenelinformedeENISAde2009). Lossiguientesapartadospresentanalgunosparmetrosseleccionadosquedebernentenderlas organizacionesaldesarrollarlosrequisitosparalamigracinalserviciodelanube.Todaslaspartesde lasolucindeextremoaextremodebernabordardichosrequisitos,incluidalapropiaorganizacin, losproveedoresdelanubeylosdelaredylastelecomunicacionesqueparticipenenlaprestacindel servicio. A. Preparacin Estosparmetrosdescribenelniveldepreparacinqueseexigeaunsistemaparacontinuarfrentea falloseincidencias.Losparmetrosrelativosalapreparacinincluyentodasaquellasaccionesy medidasemprendidasparaevitarqueseproduzcanincidenciasobienparareducirelimpactodelas mismas. A1. Anlisisyevaluacinderiesgos Enesteapartadosugerimosunaseriedecriteriosqueabarcanlaidoneidaddelasprcticasdeanlisis eevaluacinderiesgos. Frecuenciadelanlisisyevaluacinderiesgos. Coberturadelaevaluacindelavulnerabilidad. Frecuenciadeevaluacindelavulnerabilidad. Frecuenciadeltestdeseguridad(p.ej.,lostestdepenetracin).

Sepuedeafirmar,comoconsideracingeneral,quelasnubesprivadasdebenofrecerunmayorgrado depersonalizacindelasprcticasdeanlisisyevaluacinderiesgos,demodoqueuna administracinpblicapuedadefinirmsfcilmentelafrecuenciaycoberturadelostestylosanlisis deacuerdoconsusrequisitosparticulares. A2. Prevencinydeteccin Enestaparteincluimosparmetrosquemidenelgradoenelqueunorganismopblicorequiereque sesuperviseelservicioentiemporeal,ascomosilosmecanismosdelimitacinderecursosvigentes resultanadecuadosparagarantizarunautilizacindelosrecursosqueseasusceptibledeser controlada. Enlacategoradesupervisindelaseguridadentiemporeal,incluimoslaintegridadyelrendimiento delaredydelsistemaoperativo,lacomparacindereferenciaylosintentosdeaccesono autorizados,ademsdelasupervisindelaseguridad(recopilacin,anlisisyseleccindetodo aquelloqueguarderelacinconlaseguridadquesehubiesegeneradodesdeloscortafuegos,los

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

33

sistemasdeprevencinydeteccindeintrusos,proxies,antivirus,cortafuegosdeaplicacionesy cualquierotrocomponentedelaredylaseguridad). Frecuenciadelosinformes. Mecanismosdelimitacinderecursosvigentes.

A3. Administracindeparches Proponemoselempleodelassiguientesmedidasparaverificarlaeficaciadelaadministracinde parches. Tiempomedioparaelparche. Coberturadelaadministracindeparches.

A4. Controldeaccesoyexigenciaderesponsabilidad Losparmetrosqueseincluyenenesteapartadodanprioridadalarecopilacindepruebas(registros) quedemuestrenlasolidezdelosprocesosymecanismosvigentesdecontroldelaautenticacin, autorizacinyrendicindecuentas(accountability)delosusuarios. Niveldedisponibilidaddelosregistros. Visibilidaddelosregistros.

A5. Cadenadesuministro Cuantomayorseaelcontrolmantenidosobrelacadenadesuministrodelaprestacindeservicios, mayorgradodeseguridadyresistenciaselograr.Sisetieneestopresente,sugerimosunparmetro deauditabilidadcomovaparaentenderelposibleniveldetransparenciaycontroldelacadenade suministro;msconcretamente: Eltipodeauditoraquepuederealizarse(interna,porunterceroindependiente, autoevaluacin,etc.). Elmbitodelaauditora(quenlacesdelacadenapuedenauditarse),metodologausada,etc.

B. Prestacindeservicios Esteconjuntodeparmetrosseincluyeconelfindeevaluarlosrequisitosparaquelaarquitecturade serviciosmantengaunnivelaceptabledeserviciofrenteaimprevistos,fallosaleatorios,degradaciones deldesempeooataquespremeditados.Enlasnubespblicasocomunitarias,algunosdelos problemasmencionadospodransurgirdebidoalosusuariosquecompartenlanube.Portanto,tales problemaspodranresultarcrticoscuandounaorganizacinnopuedacontrolarlaplataformao infraestructura.EnelcasodelSaaS,losparmetrosdelaprestacindeserviciosdependen

34

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

completamentedelaarquitecturadesoftwareinternacontroladaporelproveedor.Enloscasosdelos serviciosIaaSyPaaS,sepermiteunmayorgradodecontrolsobreestosparmetros;aunquedebe quedarclaroqueesnecesariounaltoniveldeconocimientoespecializadoparapoderusar adecuadamenteestosparmetrosdecontrol. B1. Disponibilidadyfiabilidad EnelcasodelosserviciosIaaSyPaaS,esposiblediseareimplementarelsistemaensuconjuntocon elfindeobtenermejoresvaloresenrelacinconlatoleranciaafallosyaataquesmaliciosos.Almismo tiempo,ladisponibilidaddeunservicioenlanubedependermuchasvecesdelaredqueseemplee paraacceder;porlotanto,algunasdelasmedidasseaplicarntambinalosproveedoresdeservicios deInternet.Losparmetrosquedebernemplearseparadeterminarladisponibilidadyfiabilidadde losserviciosson: Tiempomediohastaqueseproduceunfallo. Tiempomedioentrefallos Disponibilidadtotalmensual(odiaria). Tasadeincidencias. Toleranciaaataquesmaliciosos. Redundancia. Replicacin.

Otrosparmetrosquepuedenemplearse,enparticular,enlorelativoalaintegridaddelosdatos, seran,porejemplo,lossiguientes: Porcentajedesistemasconactualizacionesdedefinicinydeescaneadodevirusautomticas. Porcentajedesistemasqueefectanverificacionesdecontraseasdeacceso. Longituddelasclavesdecifrado. Usodecontrolesdeintegridadynorepudio,p.ej.,funcionesdesumadecontrol,funcionesde hash(dispersin),huellasdactilaresyfuncionesdehashcriptogrfico.

Adems,eltiempoderespuestaalusuarioseveafectadoporlacalidaddelasconexionesderedentre elusuarioylanube,ademsdelasquehayaenelinteriordelapropianube.Inclusoenelcasodeque lanubeestuvieseadecuadamentediseadaeimplementada,encasodequelaconexinalanube fueselenta,eldesempeodelanubeparalosusuariosseveraafectadonegativamente.Los parmetrosmsimportantesincluyenlossiguientes: Rendimiento(anchodebanda).

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

35

Latencia(tiempomediodeidayvuelta(roundtrip)). Prdidadepaquete. Jitter(variacindedemoradepaquete).

Teniendoencuentaqueladisponibilidadylafiabilidadsondosdelosparmetrosesencialesdela evaluacindelaresistenciadelservicio,esdevitalimportanciaquelasmedidasycriteriosquese empleenguardencoherenciayqueelobjetodelamedicinseaelmismoentodocaso.Eneste informe,nosreferimosentodomomentoaladisponibilidadyfiabilidaddelservicioparalosusuarios finales. B2. Escalabilidadyelasticidad Lagestindecapacidadeselprocesoresponsabledeasegurarquelacapacidaddelosserviciose infraestructurasdeTIescapazdeprestarelniveldeservicioobjetivoacordadodeformarentableyen eltiempoadecuado.Lagestindecapacidadtieneencuentatodoslosrecursosnecesariospara prestarelserviciodeTIyplanificalosrequisitosdenegocioacorto,medioylargoplazo(13). Lacapacidaddegestionarloscambiosenlosrecursosdemandados(almacenamiento,tiempodela CPU,memoria,solicitudesdeserviciowebeinstanciasdemquinasvirtuales,etc.)ydeescalabilidad, enambossentidos,suponeunfactorcrucialparalaeficaciadelservicio.Aspues,alconsiderarla gestindelacapacidadylademanda,serprecisotenerencuentadoscriteriosimportantes;asaber: Lasfluctuacionesdecapacidad:laimpredecibledelasvariacionesdecargadetrfico,las fluctuacionesdecapacidaddeenlace,fallosdenodosuotrostiposdeincidenciasprovocadas quepodrancausarsobrecargasdelared. Laescalabilidad(enambossentidos)alargoplazo:lacapacidaddelsistemadeaumentaro reducirsucapacidadparaofrecerlosrecursossolicitadosenuntiempoadecuadoparapoder cumplirlosrequisitosdeniveldeservicio.

Lossiguientesparmetrosserefierenalacapacidaddeunaaplicacindeexplotarcompletamente todoslosrecursosqueofrecelanubeparareaccionaraloscambiosdecargaqueseimponenenuna aplicacin.Losparmetrosmsimportantesincluyenlossiguientes: Toleranciadecarga:puedecalcularsecomoelratiodelacargamximaquepuedesoportarun sistemaencomparacinconlacarganormalesperada,p.ej.,elporcentajedelacarganormal quepuedeescalarunsistematemporalmente(anchuradebanda,capacidadde procesamiento,etc.).Launidadesrelativa;indicalavariacinpermitidaenlacargadelsistema sinqueafectealrendimientoensuconjunto.Debesealarse,asimismo,quelatoleranciade cargaparadosproveedoresdeserviciodeigualtamaoconelmismoratiocargamxima carganormalpuedederivarendistintosnivelesdetoleranciaenelcasodequeunodeellos sirvieseamilesdepequeosclientesy,elotro,soloaunospocosmuygrandes.

36

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Toleranciadetrfico(incluidasprovisionesantiDoS/DDoS,p.ej.,filtrado,cortafuegos,re enrutamiento,suspenderelservicioaclientesqueproduzcantrficoexcesivo,etc.):La capacidaddeunsistemadetolerarcargasimpredeciblessinunacadaimportanteenlacarga soportada(incluidoelcolapsodecongestin),ascomodeaislarlosefectosdeltrfico cruzado,otrosflujosyotrosnodos.Eltrficopuedeserinesperadoperolegtimo,comoun flashcrowd,omalicioso,comounataqueDDoS. Lavariabilidaddecargadelosservicios(ladiferenciaentredemandapicoydemandamedia).

Otrosparmetrosquehayqueconsiderarsonlosrelacionadosconlaprovisindelosserviciosy componentesdehardware,porejemplo: Tiempoparaobtenernuevoscomponentesdehardware. Tiempodecumplimientodelservicio(implementacinyprovisindelservicio).

Cabedestacarquedichosparmetrossondeespecialimportanciacuandosecomparaelmodelode computacinenlanubeconunasolucindeTIconvencional. C. Respuestayrecuperacin: Estosparmetrosserefierenalacapacidaddeunaorganizacinderesponderadecuadamentey recuperarsedeformaeficazdelasincidencias.DebernidentificarseelRTO(objetivodetiempode recuperacin,cuntotiempo)yelRPO(objetivodepuntoderecuperacin)necesarios.Enestafase, unaorganizacintendrqueconsiderarelmomentoenelqueesnecesarioactivarelplande resistencia;aquindebeinformarseyloscanalesquedebenemplearse.Laorganizacindebe asegurarsedequecuentaconlacapacidad(equipodeanalistas)decomprenderatiempolasraces queocasionanlaincidenciaysuimpacto(comprenderlosucedido).Laorganizacindebeasegurarse dequeserastrealaincidenciaduranteelciclovitaldesta(leccinidentificada),yqueelsucesose comunicadeformaadecuadaalmundoexterno.Porltimo,esprecisoprobarlosplanesderespuesta yrecuperacin. Conelfindemedirlaeficaciayeficienciadelaestrategiaderespuestayrecuperacinqueseaplica, debernemplearselossiguientescriterios: Tiempomediodedescubrimientodelaincidencia(demora):eltiempoquellevadescubrirla incidenciadesdeelmomentoenquetienelugar. Tiempoparalaactivacin:eltiempoquellevadarsecuentadequelafasederecuperacin respuestadebeactivarse(tiempomedioparalaactivacin). Tiempoparareparar(tiempomedioparareparar):eltiempoquellevarecuperarelservicio dentrodeunnivelaceptable.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

37

Tiempomedioderecuperacindelaincidencia.

Debedestacarsequeexisteunarelacinentrealgunosdelosparmetros,comoeltiempode recuperacinylafrecuenciayarquitecturadelossistemasdebackupusados. D. Cumplimientodelalegalidadylanormativa: Estosparmetrosserefieren,engeneral,alosrequisitosdelacuerdodeniveldeserviciodel proveedordeserviciosdelanubeyalasdisposicionescontractuales(estadosdeejecucindel sistema,p.ej.). D1. Informticaforense Requisitosdelaextraccindepruebascontenidasenlosserviciosdelanube(p.ej.,obtencin dedatosparafinesjudiciales(ediscovery),retencindedatos).

D2. Retencindedatosytrazabilidad(trackback) Periodosmnimoymximoderetencindedatos. Periodosmnimoymximoderetencinderegistros. Modalidaddealmacenamientodelosdatos. Modalidaddealmacenamientodelregistro. Tiempodetransferenciaalorigen.

D3. Confidencialidad Elgradodeconfidencialidadnecesariodependerdelalegislacinnacionaldecadapas,esdecir, sanidadpblica,datosdelaseguridadsocialydatosfiscales.Lasposiblesimplicacionesdeeste requisitosonlassolucionesdecifradoqueseleexijanalproveedor,p.ej.,lalongituddelaclave.

38

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

3.2. Variablesdenegocioyoperativas

Enesteapartadosesugierenunaseriedecriteriosqueprobablementedebanserconsideradoscuando sedefinanlosrequisitosdenegocio,operativos,legalesyreglamentariosparalasorganizaciones pblicas. Algunosdeloscriteriosyparmetrossugeridosseexplicanydescriben,mientrasqueotrossolose enuncian.

Tipos de datos
Unodeloscriteriosmsimportantesatenerencuenta,alconsiderarlaimplementacindeuna solucinenlanube,eseltipodedatosqueelproveedordeserviciosprocesaryalmacenar. Deacuerdoconloquesemencionaenlastressituacioneshipotticasquesepresentaneneste informe,lostiposdedatosaconsiderarson: Datospersonales:nombres,domicilios,ocupaciones,detallesdecontacto,etc. Datossensibles:propiedadintelectual,datosconfidencialesydetransaccionesfinancieras deempresasehistoriasclnicas. Informacinclasificada. Datosagregados:lainformacinquesepuedeinferirapartirdelosdatosquehansido agregados,alpermitirlainferenciadeinformacinosimplementealmacenando conjuntamentedatosquenodeberanestarrelacionadosdebidoasusensibilidad. TngaseencuentaquelasagregacionesdedatossonconsideradasbajolaDirectivade proteccindedatosdelaUEcomoelestudioylaconsideracindelosdatos.

Perfil de usuario
Elanlisisdelperfildeusuariorepresentauncriteriomuyimportanteatomarenconsideracin, especialmenteennubescomunitariasyprivadas(porejemplo,verlasituacinhipottica"Nube gubernamentalcomoviverodeempresas").Dependiendodeltipodeusuariospotencialesysu

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

39

distribucingeogrfica,seidentificarnlosotrosrequisitosdenegocioysedisearnlas caractersticastcnicas. Enprincipio,tresimportantescaractersticasaconsiderarson: Comunidadesdeusuarios(ciudadanos,empresasyotrasadministracionespblicas). Distribucingeogrfica. NiveldeformacinenTICyconcienciasobrelaseguridad.

Escalabilidad y gestin de capacidad


Lagestindecapacidadeselprocesoresponsabledeasegurarquelacapacidaddelosserviciose infraestructurasdeTIescapazdeprestarelniveldeservicioobjetivoacordadodeformarentableyen eltiempoadecuado.Lagestindecapacidadtieneencuentatodoslosrecursosnecesariospara prestarelserviciodeTIyplanificalosrequisitosdenegocioacorto,medioylargoplazo(13). Lacapacidaddegestionarloscambiosenlosrecursosdemandados(almacenamiento,tiempodela CPU,memoria,solicitudesdeserviciowebeinstanciasdemquinasvirtuales,etc.)ydeescalabilidad, enambossentidos,suponeunfactorcrucialparalaeficaciadelservicio.Aspues,alconsiderarla gestindelacapacidadylademanda,serprecisotenerencuentadoscriteriosimportantes;asaber: Lasfluctuacionesdecapacidad:loimpredecibledelasvariacionesdecargadetrficos,las fluctuacionesdecapacidaddeenlace,fallosdenodosuotrostiposdeincidenciasprovocadas quepodrancausarsobrecargasdelared. Laescalabilidad(enambossentidos)alargoplazo:lacapacidaddelsistemadeaumentaro reducirsucapacidadparaofrecerlosrecursossolicitadosenuntiempoadecuadoparapoder cumplirlosrequisitosdeniveldeservicio.

Interoperabilidad de interfaz
Lainteroperabilidadeslahabilidaddedosomssistemasocomponentesparaintercambiar informacinyutilizarlainformacinquesehaintercambiado(14). Enesteestudioseconsideranlossiguientesatributosparadescribirlasnecesidadesde interoperabilidaddelosservicios: Interoperabilidaddeinterfaz/complejidaddeinterfaz. Capacidadesdeintercambiodelformatodedatos. Mtodosdetransferencia/intercambio. Sistemadeidentidad. Interoperabilidaddepolticas.

Colaboracin
Lacolaboracinentresistemas,plataformasyserviciosdebetenerencuenta: Ladispersingeogrficadelasentidades(organizaciones,infraestructuras).

40

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Losdemsrequisitosdelservicio. ElniveldeheterogeneidaddelossistemasTICimplicados.

Costo y presupuesto
Apesardequelasimplicacionespresupuestariasyfinancierasnoseencuentrandentrodelos objetivosdeesteinforme,nosgustaraponerderelievelosfactoresbsicosquelosdirectores generales,directoresdetecnologaydirectoresdeseguridadsuelentenerencuentaalahorade evaluarlasinversionesenTIC,puestoqueunusoracionaldelpresupuestodisponibletieneunimpacto enlacantidadderecursosquepuedendedicarsealaseguridaddelainformacin. Atalefecto,lastresvariablesmsimportantesatenerencuentason: Loscostesoperativos. Elgastodecapital. Elcostedemigracin.

Propiedad
Propiedadgubernamentalprestadaporlaspropiasadministracionespblicas. Propiedadgubernamental,operadaporuntercero. Patrocinadoporlasadministracionespblicas. Proporcionadoporuntercero,definidoporlasadministracionespblicas. Asociacin. Cdigodelaconexinounadeclaracindecumplimiento.

3.3. Marcolegalyregulador
Consideraciones legales generales
AmedidaqueelestadodederechoseaplicaalosactoresgubernamentalesentodoslosEstados Miembros,stosestndirectamenteobligadosporsusrespectivasconstituciones.Estehechoesten francocontrasteconlosactoresprivadosquedisfrutandeplenaautonomaprivada("liberalismo")a menosqueexistanleyesquelimitensusacciones.Avecesestonoresultamuyevidente,sobretodo porquemuchasleyes(subconstitucionales)seaplicanalosactoresgubernamentalesygarantizanel cumplimentodelosrequisitosconstitucionales.Enocasionesestasleyesseaplicaninclusodemanera similarenlasadministracionespblicasyenelsectorprivado.As,enlamayoradeloscasos,la discusindeestalegislacinsubconstitucionalsertotalmentesuficientealosefectosdeesteanlisis.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

41

Soberana y control gubernamentales sobre la informacin y los datos: cuestiones sobre el acceso a la aplicacin de la ley, la confidencialidad y la propiedad intelectual
Paralosgobiernosylasadministracionespblicasengeneral,unadelasprincipalescuestiones jurdicaseslasoberanayelcontrolsobrelosdatosqueseestnmanejando.Unorganismo gubernamentalquetienederechoamanejardatostienelaresponsabilidadderealizarunuso adecuadodestosydegarantizarquesusobligacionesdeprotegerlosdatosseextiendenpor contratoasusproveedoresterceros.Cuandoelalojamientodeinfraestructurasdelanubeseextienda msalldelajurisdiccinlocal,elorganismopblicodebetenerencuentalasimplicacionesy garantascorrespondientesofrecidasporsuproveedoroproveedores.Silosdatosgubernamentales estnsiendoutilizadosfueraporgruposprivadosenjurisdiccionesextranjeras,estocreaelriesgode quelostribunalesextranjeroscitenacompareceralaentidadprivaday,porlotanto,tenganaccesoa losdatosdelgobierno.Adems,estopuedesignificarviolacionespotencialesdelasleyesde confidencialidadydepropiedadintelectualrelacionadasconlainformacin,datos,knowhow, copyrightopatentestransferidosalanube. 8 Estascuestionesseaplicanporigualatodaslasformas decontratacinexterna,incluidocualquieracuerdoactualdecontratacinexterna,ascomola provisindenubespblicas,privadasycomunitarias.Porlotanto,unorganismogubernamental debergarantizarquesusproveedoresdeexternalizacinimponenlasmedidasdeseguridad adecuadas,yqueexistenlosprocedimientosymecanismosparaasegurarquesoloseentregarnlos datosrelevantesenrespuestaademandaslegtimasdelasautoridadesjudiciales.Estoincluyela comprobacindesilaspruebassehansolicitadolegtimamente(porunacitacinjudicialodurante unabsquedadedatos(discovery)). 9

Contratacin pblica
Debidoaquesesuelecontrataraentidadesprivadasparaprestarserviciosenlanube,sedeber observarlaamplianormativadelaUEenmateriadecontratacinpblica. 10 Enestesentido,nohabr ningunadiferenciasignificativarespectoalacontratacinqueserealiceenotrasreasdelas administracionespblicas,porloquelosgobiernosyadministracionespblicaspodrnaplicarsus conocimientosyexperienciasjuntoconlasleyesyreglamentosaplicables.Porotrolado,los proveedoresdeserviciosenlanubedebencumplirlosrequisitosdeprecalificacincomoproveedores deacuerdoconlasregulacionesdelaUEsobrecontratacinpblicay,porlotanto,ajustarsealos reglamentosrelativosalacontratacinpblica.

Proteccin de datos y seguridad de los datos


LostemasrelacionadosconlaproteccinylaseguridadgeneraldedatosenEuroparelacionadoscon lacomputacinenlanubeyasehansealadoen:(i)recientescomunicacionesdelaComisin Europea;(ii)lostextosadoptadosporelGrupodeTrabajoestablecidoenvirtuddelartculo29;y(iii)el informedeENISA:"CloudComputingRiskAssessment"("Evaluacindelosriesgosdelacomputacin enlanube")(15).
8

Para ms informacin sobre cuestiones relacionadas con la confidencialidad y la propiedad intelectual, consulte el documento de ENISA de 2009 titulado "Cloud Computing Risk Assessment" ("Evaluacin de los riesgos de la computacin en la nube"), pg. 97 y siguientes. 9 http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp158_en.pdf 10 Vase: http://ec.europa.eu/internal_market/publicprocurement/legislation_en.htm

42

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Aquvamosatratarderesumirlosmsrelevantesparaelpresenteanlisis. RestriccinalaaplicabilidaddelaDirectiva95/46/CE(Artculo13(1)): DeconformidadconelArtculo13(1)delaDirectiva95/46/CE,losEstadosmiembrospodrn limitarlaaplicacindedeterminadasdisposicionesdelaDirectiva95/46/CEenmateriade seguridadnacionalypblicaoelenjuiciamientoylaprevencindelcrimen. 11 As,enfuncin delalegislacinlocalenunEstadomiembro,endeterminadascircunstanciasalgunosdatos quemanejenlosmunicipiospuedennoestarsujetosatodaslasnormasestablecidasenla Directiva95/46/CE. ResponsabledeltratamientodedatosEncargadodeltratamientodedatos(Directiva 95/46/CE,Artculos2(d)y(e)): Sedebeidentificaralresponsabledeltratamiento,elencargadodeltratamientoysus interaccionesconelfindedeterminar"quineselresponsabledelcumplimientodelas normasdeproteccindedatos,cmopuedenejercerlosinteresadossusderechos,culesla legislacinnacionalaplicableyculeslaeficaciaconlaquelasAutoridadesdeProteccinde Datospuedenoperar"(16) 12 .LaDirectiva95/46/CEdistingueclaramenteentreelresponsable deltratamiento(controller)yelencargadodeltratamiento(processor).Elresponsabledel tratamientoeslapersonaoentidadquedeterminalosfinesylosmediosparaeltratamiento delosdatospersonales.Elencargadodeltratamientoeslapersonaoentidadqueprocesa datospersonalesporcuentadelresponsabledeltratamiento.Sinembargo,laaplicacinde estadefinicinalentornodelacomputacinenlanubeestodounreto.Aprimeravista,uno podraconcluirquelasadministracionespblicas/gobiernoeselresponsabledeltratamientoy queelproveedordeserviciosenlanubeeselencargadodeltratamiento. 13 Sinembargo,los proveedoresdeserviciosenlanubesuelendeterminarlosmediosy,avecestambin,losfines deltratamiento,porloqueentrandentrodeladefinicinderesponsabledeltratamiento(17). ParasolucionaresteproblemayofreceralgunasorientacionessobreelArtculo29,elGrupo deTrabajosobreProteccindeDatosemitiundictamenel16defebrerode2010enelque aprobunpuntodevistasobrelainterpretacindetalesdefinicionesenentornoscomplejos. (16).Sinembargo,eldictamennoarrojmuchaluzsobrelosdetallesespecficosdelentorno decomputacinenlanube,paraelcualandebendeterminarselospapelesderesponsable deltratamientoyencargadodeltratamientocasoporcasoyenrelacinconlanaturalezade losserviciosenlanube 14 (18)
11 Se permiten restricciones con respecto a las obligaciones y derechos previstos en los Artculos 6(1) (principios relativos a la calidad de los datos), 10 y 11(1) (informacin que debe suministrarse al interesado), 12 (derecho de acceso) y 21 (publicidad de las operaciones de procesamiento). 12 Grupo de Trabajo del Artculo 29: Dictamen 1/2010 sobre los conceptos de responsable del tratamiento y encargado del tratamiento. 13 ENISA (2009), Cloud Computing Risk Assessment ("Evaluacin de los riesgos de la computacin en la nube"), pg. 101 y sig. 14 El supervisor europeo sobre proteccin de datos, Peter Hustinx, confirm este enfoque en su discurso sobre 'Proteccin de datos y Computacin en la nube bajo la legislacin de la UE impartido el 13 de abril del 2010, donde hizo un llamamiento

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

43

Controlprevio(Directiva95/46/CE,Artculo20): DeconformidadconelArtculo20yenfuncindelalegislacinnacional,elcontrolprevio puedesernecesarioparaeltratamiento.Estodependedeltipodeservicioydelostiposde datosqueseprocesen.

Medidastcnicasyorganizativasadecuadas(Artculo17):integridaddelosdatos,gestinde identidadesycontroldeacceso Laintegridadyladisponibilidaddelosdatossonelementosesencialesenlaprestacindelos serviciosdecomputacinenlanube.DeacuerdoconlaDirectiva95/46/CE,elresponsabledel tratamientoysusencargadosdebenimplementarmedidastcnicasyorganizativaspara protegerlosdatospersonalescontrasudestruccinaccidentaloilcitaosuprdidaaccidental, alteracin,divulgacinoaccesonoautorizado;teniendoencuentaelestadodelatcnicayel costedesuimplementacin,dichasmedidasdebengarantizarunniveldeseguridadadecuado enrelacinconlosriesgosrepresentadosporeltratamientoylanaturalezadelosdatosa proteger(artculo17).Elproblemaesqueelconceptode"adecuado"sehainterpretadode diferentesmanerasenlosdiferentesEstadosmiembrosdelaUE.As,aunquelosproveedores deserviciosenlanubeaplicanmuyamenudonormastcnicasreconocidas(porejemplo,ISO 27001)paraasegurarlosdatosdelosclientes,staspuedennoajustarseperfectamentealos requisitosnacionalesconrespectoalasmedidasqueesadecuadoadoptar.Esnecesariauna mayorcoherenciayarmonizacinenlaUE.Adems,valelapenatenerencuentaelelevado niveldeseguridaddelosdatossolicitadoaunproveedordeserviciosenlanubeenun contextodesanidadelectrnica,conespecialatencinalagestindeidentidadesyelcontrol deacceso.

Filtracindedatosynotificacindeincidentesdeseguridad(noobligatorio,todava) ElmarcorevisadodelaUEparalascomunicacioneselectrnicasaclaralasresponsabilidades delosoperadoresderedesylosproveedoresdeservicios,incluyendosuobligacinde notificarviolacionesdelaseguridaddelosdatospersonales(artculos4y13).Larevisindel marcogeneraldeproteccindedatosemprendidarecientementeincluirunaposible extensindelaobligacindenotificarlasviolacionesdeseguridaddelosdatos(19)(8).Silas regulacioneseuropeassobreproteccindedatosvanenestedireccin,sernecesarioquese identifiqueclaramenteelgradodeviolacindelaseguridaddelosdatosquesedebenotificar, aquinsedebenotificar(clientedelproveedordeserviciosenlanube,autoridadcompetente encuantoaproteccindedatos,interesados)ylasmodalidadespertinentes.Unaobligacin indeterminadadenotificarcualquierviolacin(inclusolasmenoresoinsignificantes)dela seguridaddelosdatospuedeperjudicargravementealosproveedoresdeserviciosenlanube

para obtener ms ayuda del Grupo de Trabajo sobre la materia. La computacin en la nube se encuentra en la Agenda del Grupo de Trabajo para los aos 2010 y 2011.

44

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

ygenerarunaalarmainnecesariadelosgobiernos,lasadministracionespblicasylos ciudadanosengeneral. TransferenciadedatosapasesdefueradelEspacioEconmicoEuropeo(Artculos2526) Losmodelosenlanubesuponenquelainformacinylosdatosdelclientepuedenimplicarla transferenciadedatosporpartedelproveedordeserviciosenlanubedesdeuncentrode datosenelEspacioEconmicoEuropeo(EEE)aotroquepuedeestarubicadoencualquier partedelmundo.Sinembargo,laDirectiva95/46/CEprohbelastransferenciasdedatos personalesdesdeelEEEapasesquenogaranticenunniveladecuadodeproteccinenel sentidodelartculo25(2)(amenosqueelinteresadohayadadopreviamentesu consentimientoinequvocoalatransferenciapropuestaosehayanestablecidootros procedimientosdeconformidadconelartculo26(porejemplo,"Contratostipoparala transferenciadedatospersonalesatercerospases","Principiosdepuertoseguro"(dondelos datosseestntransfiriendoalosEstadosUnidos)o"Normativascorporativasvinculantes") 15 . Sinembargo,existenproblemasconcadaunodeestosmodosdelegitimarunatransferencia: elhechodebasarlaenelconsentimientodelinteresadoexponelatransferenciaalas incertidumbresdelaposibleretiradadedichoconsentimiento;losPrincipiosdepuertoseguro, queseaplicanalosdatostransferidosalosEstadosUnidos,puedenquedarsecortosenun entornodenube,dondelosflujosdedatospuedenreferirseapasesnopertenecientesalEEE distintosdelosEstadosUnidos;ylasNormativascorporativasvinculantes(NCV)annohan sidoplenamenterespaldadasporlosproveedoresdeserviciosenlanubeprincipales,debido principalmenteadeficienciasenelprocesodeaplicacinyaprobacindelasstas.Los proveedoresenlanubeamenudodebenrecurriralusodecontratostipopararespaldarlas transferenciasdedatosrepetitivasomltiples,peropuedesercostosoponerenprctica dichoscontratos,especialmentealldondelasnormativasnacionalesimponenrequisitos administrativosadicionales(talescomoeldeberdeobtenerlaaprobacinreglamentariadel contrato).Alaluzdeestosretos,ycomopartedelexamendelmarcodeproteccindedatos delaUE,laComisinEuropeatienecomoobjetivomejorarlosmecanismosdetransferencia dedatosapasesquenopertenecenalEEE.LaComisintambinestalentandolasiniciativas deautorregulacin,comoloscdigosdeconductaoloscdigosdeprctica. 16 Noobstante,en elcasodeserviciosenlanubeproporcionadosalosgobiernosyadministracionespblicas,

15 La Directiva 95/46/CE permite transferir datos personales fuera del EEE solo cuando el tercer pas proporciona un "nivel suficiente de proteccin" para los datos (artculo 25) o cuando el responsable del tratamiento aduce que existen garantas suficientes respecto a la proteccin de la privacidad (artculo 26). Las Normas corporativas vinculantes (NCV) son una de las formas en que un grupo de empresas puede demostrar que se cumplen tales garantas suficientes (artculo 26) con respecto a las transferencias internas del grupo, si bien las NCV no son una herramienta que aparezca o se muestre expresamente en la Directiva. Vase el Artculo 29 en los Data Protection Working Party Opinions (dictmenes del Grupo de Trabajo sobre Proteccin de Datos) 74, 133, 153, 154, y 155; todos disponibles en: <http://ce.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs>. 16 Discurso de Neelie Kroes, Vicepresidenta de la Comisin Europea para la Agenda Digital, sobre Computacin en la nube y proteccin de datos en Les Assises du Numrique conference, Universit Paris-Dauphine, el 25 de noviembre de 2010; disponible en: <http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/10/686&format=HTML&aged=0&language=EN&guiL anguage=en>.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

45

todoslosargumentossobrelasoberanagubernamentalpresentadosanteriormentesernun factorenrelacinconlastransferenciasdedatos.Porltimo,cabedestacartambinquehay bastantescuestionesrelativasalatransferenciadedatosdepacientes,quesedetallanenla seccindedicadaalcontextodelasanidadelectrnica. Derechodelinteresadodeaccesoalosdatos(Directiva95/46/CE,Artculo12): Elresponsabledeltratamientotienelaobligacindegarantizaralinteresadolosderechos establecidosenelartculo12;porejemplo,aobtenerlaconfirmacindesiseestn procesandoonodatosrelativosalinteresado,aobtenerinformacinsobrelospropsitosdel tratamiento,lascategorasdelosdatosencuestin,elreceptorolascategorasdelos destinatariosaquienessecomunicarnlosdatos,acorregir,borrarobloquearlosdatos procesadosdeunmodoquenoseacompatibleconlasdisposicionesdelaDirectiva,etc.Es muyimportante,especialmentecuandoelproveedordeserviciosenlanubeseenglobaenla definicindeencargadodeltratamiento,queelproveedordeserviciosenlanubeestablezca unacooperacinmuyestrechaconsusclientes(esdecir,gobiernosyadministraciones pblicas)paraasegurarqueestosltimos,ensucalidadderesponsablesdeltratamiento, estnencondicionesdecumplirsusobligacionesrespectoalaproteccindedatosfrentealos interesados.Esconvenienteprecisarlostrminosdeesacooperacinentrelaspartesenel contratocorrespondiente.Surgencuestionesespecficasaesterespectoenelcontextodela sanidadelectrnica,enelqueesunhechonosoloquelaDirectiva95/46/CEsehapuestoen marchadeunamanerainconsistente,sinotambinquelosderechosdelospacientesestn definidosyseimplementandemanerasdiferentessegnlasdistintasleyesnacionalesquese apliquen.

Disposiciones sobre Interoperabilidad / Transferencias al origen / "Cautividad del mercado"


Unasolucindelanubedebeserinteroperable,permitiendoalosgobiernosylasadministraciones pblicasmigraralosserviciosenlanubedeunproveedordeserviciosenlanubeaotrosin restriccionestcnicasocontractualesocostesdecambiosustanciales.Adems,lainteroperabilidad serunacondicinnecesariaenelcontextodelasanidadelectrnica.Porotraparte,enloscontratos debedefinirseelcalendarioylasmodalidadesdelastransferenciasalorigendeinformacinydatos. Esmuyimportantequelosgobiernosylasadministracionespblicasevitencualquierformade "cautividaddelmercado",yaquecualquierfaltadedisponibilidad(temporal)y/oineficienciadelos serviciospuededarlugaraimportantesresponsabilidadesparalosgobiernosylasadministraciones pblicas(sepuedepensareneldaoylaresponsabilidadquepuedeocurrirenelcontextodela sanidadelectrnica).

Negligencia profesional del proveedor de servicios en la nube


Almigraralosserviciosenlanube,losgobiernosylasadministracionespblicaspasanadepender muchodelaadecuacindeldesempeodelproveedordeserviciosenlanube.Lomsprobableesque losfallosodeficienciasdelproveedordeserviciosenlanubeenlaprestacindelosserviciostengan unimpactomuynegativosobrelosserviciosqueofrecenlosgobiernosylasadministracionespblicas

46

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

alosciudadanos.Estosepuedetraducirnosoloenprdidaseconmicasparalosgobiernosylas administracionespblicas,sinotambinendaosasuimagen(portanto,daopoltico).Lasclusulas deresponsabilidadeindemnizacinenlosacuerdosdeniveldeservicio(ANS)vanadesempearun papelfundamentalenestetema.LosANSdetallados,enlosqueseespecificandetalladamentelos nivelesdefuncionamientodelproveedordeserviciosenlanube,juntoconlasclusulascontractuales queasignanclaramente,porunlado,losderechosydeberesgeneralesdelaspartesy,porelotro,las obligacionesyresponsabilidades,serninteresescrucialesdegobiernosyadministracionespblicas. stosdeberanpediralosproveedoresdeserviciosenlanubequeestnatentosparaevitarerrores,y asegurarestepuntoatravsdeclusulascontractualesqueestablezcansancionesimportantesen casodedeficienciasenlosserviciosdelproveedordeserviciosenlanube.

La subcontratacin de servicios en la nube y el cambio de control del proveedor de servicios en la nube


Dadalarelacinaltamentedependiente,esprobablequelosgobiernosylasadministracionespblicas seleccionencuidadosamentelosproveedoresdeserviciosenlanube.Sedebenevitarlassituaciones enlasqueunproveedordeserviciosenlanubesubcontratelosserviciospertinentesaunterceroo,al menos,sedebenincluirenelacuerdodeserviciodeclaracionesygarantassobreposibles subcontratistas.Delmismomodo,elproveedordeserviciosenlanubedebenotificarsindemoralos cambiosdecontrolalgobiernooadministracionespblicas,queesposiblequedeseenegociarel derechoderescindirelcontratoencasoqueocurratalevento.

3.4. Opcionesdearquitectura

Enesteapartadosehanpropuestodefinicionescortasparalosmodelosenlanube.

No nube
Enpropiedadabsolutaycompletamentegestionada:losserviciosdeTIseproporcionana travsdeunainfraestructurayunaplataformaqueesdepropiedadabsolutayqueest gestionadaporenteroporlamismaentidadqueutilizalosservicios.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

47

Externalizada:losserviciosdeTIestnsubcontratadosauntercero.Losserviciospuedenser proporcionadosporunainfraestructuraoplataformapropiedaddelamismaentidadque utilizalosservicios(porejemplo,unclienteinterno)oporunaquepertenecealpropio proveedordelservicio.Laprovisindelservicioestreguladaporuncontratoenelqueestn claramentedefinidoslostrminos,condiciones,sancionesyduracin.

ParaundescripcinmsdetalladadeunaopcindearquitecturatpicadeservicioTIdeunanonube, lerogamosqueconsultelabibliografaexistente(p.ej.,ITIL).

Nube
Paralasdefinicionesdelosdiversostiposdecomputacinenlanube,normalmentenosreferimosal NIST(20). Modelosdeimplementacinypropiedad Privado:lainfraestructuraenlanubeesoperadaexclusivamenteporunaorganizacin particular.Puedesergestionadaporlapropiaorganizacinoporuntercero,ypuedeexistiren elmismoinmuebleofueradel. Pblico:lainfraestructuradelanubeseponeadisposicindelpblicoengeneralodeungran grupoindustrialyespropiedaddeunaorganizacinquevendeserviciosenlanube. Comunitario:lainfraestructuradelanubeescompartidaporvariasorganizacionesyrespalda aunacomunidadespecficaquecompartepreocupaciones(p.ej.,misin,requisitosde seguridad,polticayconsideracionesdecumplimiento).Puedeseradministradaporlas organizacionesoporunterceroypuedeexistirenelmismoinmuebleofueradel(20).La 'infraestructuradelanube'podraseruncentrodedatosdepropiedadexclusivaounared (federacinocomunidad)decentrosdedatos(mspequeos)(21). Paraverunejemplodeunanubefederadaocomunitaria,conslteseelAnexoIII,Descripcin delaArquitecturadelProyectoReservoir. Hbrido:lainfraestructuradelanubeesunacomposicindedosomsnubes(privada, comunitariaopblica)quesemantienencomoentidadesnicasperoqueestnunidasentre sportecnologaestandarizadaopropietariaquepermitelaportabilidaddelosdatosydela aplicacin(p.ej.,cloudburstingqueequilibralacargasoportadaporlasdistintasnubes). Unaposibleconfiguracindeunanubehbridaesrepresentadaporunanubeprivadaque escalahorizontalmenteaunanubepblica.Sobrelabasedequeelmodelohbridorequierela combinacindedosnubes,sesuponequeunanubehbridarepresentaunsegundopasoen unenfoquedenube.Teniendoencuentaelhorizontetemporalacortoplazodeesteinforme, seexcluyelanubehbridadenuestroanlisis. Computacinymodelosdeprestacin SoftwarecomoServicio(SaaS):lacapacidadofrecidaalconsumidoresusarlasaplicacionesdel proveedorejecutndolasenunainfraestructuraenlanube.Lasaplicacionessonaccesibles desdevariosdispositivosdelclienteatravsdeunainterfazclienteligera,comounnavegador

48

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

web(p.ej.,correoelectrnicobasadoenweb).Elconsumidornogestionanicontrolala infraestructurasubyacentedelanube,loqueabarcalared,servidores,sistemasoperativosy almacenamiento,oinclusolascapacidadesindividualesdelaaplicacin,conlaposible excepcindeparmetroslimitadosdeconfiguracindelaaplicacinespecficosdelusuario. PlataformacomoServicio(PaaS):lacapacidadofrecidaalconsumidoresdesplegar,enla infraestructuradelanube,aplicacionescreadasporelconsumidoroadquiridasquehansido creadasutilizandolenguajesdeprogramacinyherramientasadmitidasporelproveedor.El consumidornoadministranicontrolalainfraestructuraenlanubesubyacente,locualincluye lared,servidores,sistemasoperativosyalmacenamiento,perostienecontrolsobrelas aplicacionesdesplegadasy,posiblemente,lasconfiguracionesdelentornodehostingdela aplicacin. InfraestructuracomoServicio(IaaS):lacapacidadofrecidaalconsumidoresladisposicinde procesamiento,almacenamiento,redesyotrosrecursosinformticosfundamentalesenlos queelconsumidorpuededesplegaryejecutarsoftware,loquepuedeincluirsistemas operativosyaplicaciones.Elconsumidornoadministranicontrolalainfraestructura subyacenteenlanube,peroposeeelcontroldelossistemasoperativos,elalmacenamientoy lasaplicacionesdesplegadasy,posiblemente,controllimitadosobredeterminados componentesdelared(p.ej.,cortafuegosdeanfitrin).

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

49

AnlisisDAFO

Enestecaptulosepresentanlosresultadosdeunaevaluacincomparativadelosmodelosde implementacindelanubepblica,privadaycomunitariabasadosenlosparmetrosdeseguridad, resistenciaycumplimientoestablecidosenelpunto3.1.2. Elanlisisidentificalospuntosfuertes,losdbiles,lasoportunidadesylasamenazasdecadamodelo denube. SeutilizaelanlisisDAFOcomounaherramientaparalacomparacin,perosepodranutilizarensu lugarmtodosmsexhaustivos,comounaevaluacinderiesgos.Dehecho,sedebeconsiderarel anlisisdepuntosfuertes,dbiles,oportunidadesyamenazascomolaaccininicial(ymnima)allevar acabo,perodebellevarseacabounaevaluacinderiesgosmsdetalladaparasustentaruna identificacinmsprecisayunaevaluacindelosriesgosqueafectanaunaorganizacinconcreta. Conelfindeapoyaralasadministracionespblicasparaquellevenacabosuspropiasevaluacionesde riesgos,sehaincluidounalistadeamenazasenelAnexoIV. Elanlisisnotieneencuentaningnrequisitoespecficoyestconcebidocomounaprimera evaluacingeneraldelosdiferentesposiblescandidatoscomomodelosdeimplementacinenla nube.Alleerestecaptulo,ellectordebetenerlainformacinnecesariaparaidentificarelmodelode nubemsadecuadoasuscircunstancias.Entonces,sepuederealizarunaevaluacinmsdetalladadel modeloadoptado. Enelcaptulo4,dondesetienenencuentalosrequisitosespecficosdecuatroejemplosdeservicios (serviciossanitarioselectrnicos,procedimientosadministrativoselectrnicos,correoelectrnicoy aplicacionesderecursoshumanos),sehaproporcionadounasesoramientomsconcreto.

50

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

4.1 Nubepblica
Puntos fuertes
Elmodelodenubepblicapareceserelmejorposicionadoparaofrecerunagranresistencia,en particularconrespectoalascifrasderendimientoyfiabilidad.Deformamsdetallada,podemosdecir losiguiente: Disponibilidadyfiabilidad:lamayoragrupacinderecursossimplificaelmanejoyel enmascaramientodefallosenrecursosdehardwareyofreceunascifrasmsaltasde fiabilidaddelservicioimplementado. Toleranciayelasticidad:lamayoragrupacinderecursossimplificaelmanejodelaprdidade rendimientodebidaalospicosenlademanda,puestoqueelserviciodeinterspuede explotarrecursosdisponiblesparaevitarunacadaenelrendimientoparalosusuariosfinales. Sinembargo,estorequiereeldiseoylaimplementacinadecuadosdelaaplicacinyel controlcorrectodelaaplicacinparadetectarprdidasenelrendimientodelaaplicacindel usuario.Elseguimientoesfundamentalparalaexplotacindelosrecursosdelanubeyla consecucindelcumplimientodeobjetivos. Administracindeparches:SaaSpuedegarantizarelmejorrendimientoeneltiempomedio entreparches.EnSaaS,losusuariostienenmenosresponsabilidad,perodebenintroducirse loscontrolesadecuadosparagarantizarquelosparchesseaplicanrealmente.EnIaasyPaaS, losusuariostienenunmayorgradoderesponsabilidad 17 . Tiempoderespuesta:losrendimientosentrminosdefiabilidadyelasticidadquesepueden lograrmediantelacorrectareconfiguracindeunaaplicacinhacenqueseaposibleexplotar mejorlosrecursosdisponiblesdemodoqueeltiempoderespuestaparaelusuariofinalpueda siempremantenersedentrodeunintervalopredefinido. Continuidaddelnegocio:losrecursosdeunanubepblicaimplementadaporungran proveedorpuedenserdistribuidosgeogrficamente.Estosimplificaladefinicinde continuidaddelnegocioylasestrategiasderecuperacinantedesastres. Seguridadfsica:sepuedelograrungradomuyelevadodeseguridadencadasitiodel proveedorgraciasaquenadieestautorizadoarealizarunaauditoraenelsitioyporquese puedeimplementarunfuertecontrolsobreelaccesofsico. Prevencinydeteccindeintrusiones:dadalagrancantidadderecursosenlanube,algunos deestospuedendedicarsealavigilanciadelaintegridadyaladeteccindeintrusionespara descubrirlosataquesmaliciosossinqueporellodisminuyaelrendimientofinalalusuario.

17

La atribucin de responsabilidad fue analizado en las pginas 64-65 del informe de ENISA del ao 2009.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

51

Lasfuertesmedidasdeseguridadfsicapuedenpermitiralproveedorretrasarposibles rdenesjudicialesdecomparecenciayprocesosdeobtencindedatos(ediscovery)porparte delasautoridadespolicialesdeotrospases.

Lamayorpartedelosbeneficiossedebenalgrantamaodelaagrupacinderecursosdisponiblesya sudistribucingeogrfica(comoyasemencionenelinformesobrelosbeneficiosylosriesgosde seguridadpublicadoporENISAen2009).Lahomogeneidaddelosrecursosutilizadosparaconstruirla nubepuedefortalecerysimplificareldiseoylagestindetodoelsistema.Estoimplicaquelos puntosfuertessondirectamenteproporcionalesalaescaladelproveedordelanube.Noesrealista imaginarque,enunfuturoprximo,losproveedoresdenubepblicaofrezcanserviciosdenube privadamsespecficosparalasadministracionespblicasquelosqueestnofreciendoahora.

Puntos dbiles
Losprincipalespuntosdbilesdeunasolucinenlanubepblicaparalasorganizaciones gubernamentalesestnrelacionadosconlafaltadegobernabilidad,elgrannmerodeabonados (usuarios)enlanubeyelfuertepoderdenegociacindelproveedordelanubeenladefinicindel contrato.Msdetalladamente,algunosdelosprincipalespuntosdbilesdelmodelodenubepblica desdelaperspectivadeunorganismopblicosonlossiguientes: Lafaltadecumplimientolegalyreglamentario(retencindedatos,informticaforense, presentacindeinformes):estasamenazasseagravanenlosmodelosSaaSyPaaS,dondeel usuariotienemenorcontrol,gobernabilidadyvisibilidadsobrelainfraestructura. Faltadecontrolsobrelacadenadesuministro:cabesealarque,enelcasodeIaaS,elcontrol sobrelacadenadesuministroparalaprovisindelservicioesmayorqueenPaaSySaaS,pero estebeneficiopotencialsiempredebesercomparadoconloscostesadicionalesgeneradospor laplataformaylagestindelaseguridaddelsoftwareylaresistencia. Capacidadesderegistro:losproveedoresdelanubepblicanormalmentenoofrecenuna capacidadderegistrosuficientementedetalladasobrelasoperacionesylaadministracinde lanubey,quizslomsimportante,hayunafaltadeinformacinsobrerespuestaante incidenteseinformticaforense. Dificultadesparaaccederadatosdeinformticaforenseparadeterminarlalinkabilityyla rendicindecuentas(accountability)enloscasosenquesellevanacaboactividadesilegales. Faltadelacapacidaddenegociacinnecesariaporpartededeterminadosorganismos pblicosenlanegociacindelostrminosylascondicionesyenlasolicituddeunnivel suficientedetransparenciaporpartedelproveedoroproveedores. Requisitoslegalesyreglamentariosespecficosque,enalgunospases,obliganalas organizacionespblicasamantenerlosdatosdentrodelterritorionacionalyareducirelgrado decontinuidaddelnegocioquesepuedealcanzar.

52

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Eldeteriorodelrendimiento(IaaS,PaaSySaaS)debidoalamalacalidadenlaestructuracin deunaaplicacinysucapacidadparaexplotardeformadinmicalosrecursosdisponiblescon elfindemanejarlosfallosy/olospicosdedemanda. Eldeteriorodelrendimiento(IaaS,PaaSySaaS)debidoalamalacalidaddelaconectividad(p. ej.,zonasrurales,especialmenteenlospasesdelsuryelestedelaUE).Estosoloseaplicaen loscasosenlosqueelclienteestsituadoenreasespecficas.Paralosclientesms distribuidosestonoesunproblema. DistribucinlocallimitadadeloscentrosdedatosenelterritoriodelaUE,quepuedeinfluiren elrendimientodelservicio.Estasconsideracionespuedenserespecialmenteciertasenuna situacinenlaqueunaautoridadpblicaestubicadaenunlugarremoto(p.ej.,ENISAen Creta)quepuedesufrirconmayorprobabilidadundeteriorodelrendimientodebidoalamala calidaddelaconectividad. Dificultadesparatransferirdatosdevueltaalusuariooalproveedoralternativoelegidode serviciosenlanube.Estasdificultadespuedenserunproblemagrave,especialmenteparalos serviciosdesanidad,enlosqueunfalloounretrasoenlatransferenciadeinformacin relacionadaconlasaludpuederepresentarunaseriaamenazaparalaautoridadsanitaria,as comoparalospacientes.

Oportunidades
Encomparacinconlassolucionesinternas,lasnubespblicaspodranofreceroportunidadespara mejorarlasprcticasactualesdelospotencialesusuariosgubernamentales,enlasreasde preparacinycumplimientolegaly,msan,enparticularen: Anlisisyevaluacinderiesgos Pruebasdeseguridad Supervisindelaseguridadentiemporeal Informticaforense(porfavor,tngaseencuentaquelaaparentecontradiccindeincluir 'informticaforense'tantoenlospuntosdbilescomoenlasoportunidadessedebealhecho dequeenlaactualidadestosserviciosnosonofrecidosporlosproveedoresdenubes,perose podranconvertirenunfactorenladiferenciacindelasofertasenunfuturoprximo,porlo quelovemoscomounaoportunidad)(15).

Estosedebealassiguientesrazones: Esdifcilcontarconpersonalinternoespecializadoparallevaracabo,deformaperidica,los anlisisylasevaluacionesderiesgo,ascomolaspruebasdeseguridad. Contarconlosrecursosnecesariosparaconstruiruncentrodeoperacionesdeseguridad internoparasupervisarlaseguridadentiemporealobienadquirirestosserviciosenel mercado,escostoso.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

53

Laspresionesdelmercadoodeloscompetidoresqueobliguenalosproveedoresdenube pblicaaofrecerfuncionesdeseguridadrepresentarunvaloraadidoparalosclientes. Presinanteelcumplimiento.

Paraqueunanubepblicapuedaaprovecharestasoportunidades,sedebentomarlassiguientes medidas: Controltotalsobrelosinventariosdebienes. Clasificacindetalladadelosactivosfsicos,informacinyservicios. Integracinentreelanlisis/evaluacinderiesgosylosprocesosdesupervisindela seguridadentiemporeal. Inspeccineficazdelosempleadosdelproveedor.

Amenazas
Diversasamenazasseciernensobreelmodelodenubepblica,ylamayoradeellasyahansido identificadasporENISA,ascomoporotrasorganizaciones(p.ej.,laCloudSecurityAlliance,yelgrupo deintersLinkedIn). Lasmayoresamenazasalasqueseenfrentanlasautoridadespblicasalseleccionarunasolucinde nubepblicason: Unagrannubepblicaesunobjetivoatractivoparalosataques,debidoalaingentecantidad deinformacinalaquelosatacantespuedenaccedertraselxitodesusataques.Eltamao deestainformacinjustificaunainversininclusomayorentiempoyenrecursosparaponer enprcticaelataque. Elimpactodelosataquesporamenazasdeseguridadinternaspuedeserbastanteelevado debidoalacantidaddeinformacinalmacenadaenlanube.Sedebenconservarlosregistros detalladosdelasactividadesinternas,elproveedordebeadoptarpolticasderotacinenel empleoytambinsedebenadoptarpolticasdenecesidaddesaber. Unfallodeaislamiento(15)puedeprovocarunasalidadeinformacin(seguimientoilegal)as comoproblemasdefuncionamientodebidosalafaltadeaislamientodelosrecursosdeotros abonados.Enestecaso,puedeproducirseunaprdidadeinformacincomoresultadodeun ataquecontraotrousuariodelanubepblica. Lainadecuadadefinicindelosrequisitosydelaclasificacindelosactivospuedeprovocarla exposicindelosactivosaotrosusuariosdelanube. Sepuedenaplicarmltiplesjurisdiccionescuandolossitiosdelproveedorestndistribuidos entrevariospases. Uncambioenelcontroldelproveedorpuededarlugaralaadopcindedistintasestrategias deseguridadascomoaestrategiasdecomercializacindiferentesquesetraduzcanenuna menorcalidaddelservicio.

54

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

EnlassolucionesSaaSoPaaSsepuedeadoptarunformatopropietarioparaalmacenardatos enlanube.Eltrasladoaotroproveedorpuedesercasiimposiblesinoexisteunaherramienta quetraduzcaautomticamentelosdatosalnuevoformato.

EnelANEXOIVsepuedeencontrarunalistadetalladadelasamenazasaplicablesatodoslosmodelos denube.

3.5. Nubeprivada
Puntos fuertes
Enunanubeprivada,elusuariopropietariotiene,enprincipio,elcontrolabsoluto(sujetoalas limitacioneseconmicas)sobreelconjuntodecaractersticasdelaimplementacindelanube;sin embargo,existencostes(quenopuedensercompartidosconotrosclientes)asociadosaesteaumento enelcontrol. Lasiguientelistacontienelascaractersticasmsimportantes(sobreseguridadyresistencia)quese puedendefinirenunanubeprivada: Prcticasdeevaluacinderiesgos:esposibleseleccionarlasmetodologas,escalas,criterios demedicin,etc. Parches:esposibleprogramarparchescuandoseanecesario,ytambinmodificarelrgimen. Controldeacceso:Granularidadmsfinadelagestinylaspolticasdeaccesoparaevitar fugasdedatos. Registro:esposiblecontrolarloqueseregistra,dndesealmacena,cmoseprotegeel almacenamientoydurantecuntotiemposeguardar. Auditora:esposibleestableceryregularelderechoaauditar. Controlsobreladisponibilidad,fiabilidad,escalabilidadyelasticidad:elclientepuede especificarelsistemaydefinirlosacuerdosdeniveldeservicioparaquelanubeprivadase ajuste,dentrodelaslimitacionestcnicas,alrendimientodeserviciorequerido. Disponibilidaddelainterfazdegestin:sepuedenegociarmsfcilmenteconlosproveedores deserviciosdeInternetlosserviciosdeprimeracalidadparaobtenerunaredyunaconexin mejores(p.ej.,prioridadenlareanudacindelservicio). Plandecontinuidaddenegocio:sepuededefinirelplanycomprobartodossuscomponentes.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

55

Respetodelalegislacin:unatotaltransparenciaycontrolsobrelosrequisitoslegales,comola ubicacindedatos.

Puntos dbiles
Elefectobeneficiosodelaseconomasdeescalaenlasnubesprivadasesprobablequesea muchomenorencomparacinconlasnubespblicas(porlomenoslasdegranescala, presentesactualmenteenelmercado)oinclusoconlascomunitarias. Laposiblefaltadeunaescalaadecuadatambinrepresentaunpuntodbilenlaadquisiciny lapuestaenmarchademecanismosdeseguridad. Existe,enpotencia,unamenortoleranciaalosataquesmaliciososqueenunanubepblica, partiendodelsupuestodequelosrecursosdisponibles(especialmenteentrminosde capacidaddecomputacin)puedensermenosadecuadosquelosdeunanubepblica.En algunoscasos,tambinesposiblequelaexperienciainternadelproveedornoseasuficiente. Haymenosresistenciaparasatisfacerlospicosdedemandainesperados,debidoalaescasez derecursos.Estorequiereplanificarlacapacidadyunaevaluacincomparativaantesde trasladarsealanube. Siendorealistas,esposiblequeunanubeprivadapuedadefinirunrgimenderedundancia completo;sinembargo,esmuypocoprobablequeestoseaigualomejorqueelrgimende redundanciaofrecidoporlanubepblicadeunimportanteproveedordenube. Lafaltadegeoredundanciaesunproblemaencuantoalacontinuidaddelnegocio.En general,eltiempoquetardaenrecuperarsedeunfallounanubeprivadapuedeserbastante superioraldeunanubepblica,amenosqueelproveedorimplementemecanismosy polticasespecficos.Enestesentido,debedefinirseunacuerdodeniveldeservicioadecuado conelproveedor. Sensibilidaddelareputacin:lareputacindelosgobiernosylosorganismospblicospuede serextremadamentesensiblealafugadeinformacinyacualquierincidentedeseguridad, incluidoelusodeunainfraestructurapropiedaddelasadministracionespblicasparalanzar ataquesmaliciosos.

Oportunidades
Seguimiento:enunanubeprivada,losmecanismosdeseguimientoorientadosalusuarioylas aplicacionessepuedenimplementarrealizandounajusterpidodelosrecursosparacubrirlos posiblespicosdedemanda.Adems,sepuedencontrolarporcompletoloseventosde

56

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

seguridaddeinters.Comocontrapartida,silaescaladelanubeprivadanoeslaapropiada,el manejodelospicosdedemandaderecursospuedeserbastantecomplejoynoexisteuna solucineficazparalospicosimprevistos.Noobstante,losrecursosdelanubedebenser explotadosparamejorarelrendimientodelasaplicacionesquesetrasladenalanube. Controldeacceso:siesnecesario,sepuedenadoptarmsfcilmentepolticasdeacceso basadasensistemasdecontroldeaccesonodiscrecional(p.ej.,MAC(controldeacceso obligatorio)oRBAC(controldeaccesobasadoenroles))paralimitaranmsacadausuarioy minimizarlosflujosilegtimosentreusuarios.

Amenazas
Ungobiernoounorganismopblicodispuestoacrearyutilizarunanubeprivadadebeestar preparadoparaenfrentarsealassiguientesamenazas: Ataquesconmotivospolticos:mientrasquelacantidaddeinformacingestionadaporla nubepuedenoresultaratractivaporsmisma,eldeteriorodeunsitiodelgobiernopuedeser atractivopormotivospolticos.(Obviamente,estaamenazanoselimitaalasnubesprivadas, perounanubegubernamentalprivadapodrapresentarunaconcentracinmuyelevadade recursosy,porlotanto,elincentivoparaunatacantemotivadoseraanmayor). Efectogranhermano:elhechodequelasadministracionespblicasrecopilenygestionen informacinacercadelosciudadanosy,alalarga,delasempresas(encasodequelanubese utilicecomounviverodeempresasparalaspymes)puedeserpercibido,desdelaperspectiva delusuariofinal,comounmodoposibledeestablecerunsistemadevigilanciaydecreacin deperfiles. Laaltavolatilidadenlautilizacinderecursosylospicosinesperadosenlassolicitudespodra obligaraunanubeprivadaaescalarhorizontalmenteaunanubepblica(nubehbrida),fuera delalcancedelapolticadeseguridaddefinida.Entalcaso,elcontrolsobrelainformacinen lanubesepierdeparcialmentesiemprequenosedefinalapolticadeseguridad,quemarca lasnormassobrelainformacinquesepuedeexportar. Malaplanificacin:porejemplo,ladefinicindelosrequisitosylaclasificacindelosactivos puedeoriginarunaprdidadeseguridadeintegridadcuandosepasadeunanubeprivadaa unanubehbrida. Ladefinicininadecuadadeloscontratosconlossocioscomerciales(operadordenube,socios tecnolgicos,proveedoresdehardwareysoftware,etc.)ylafaltadeseguimientodela ejecucindeloscontratospuedesercrticaenrelacinconeltamaodelproveedor.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

57

3.6. Nubecomunitaria
Alanalizarunanubecomunitaria,sedebeconsiderarque,enprincipio,suspuntosfuertesydbilesse encuentranentrelosdeunanubeprivadaylosdeunapblica.Engeneral,elconjuntoderecursos disponiblesesmayorqueenunanubeprivada,conventajasevidentesentrminosdeelasticidad.Sin embargo,elconjuntonoestangrandecomoeldeunanubepblica,yestolimitalaelasticidadque ofreceunanubecomunitaria.Porotrolado,elnmerodeusuariosenunanubecomunitariaesmucho menorqueenunanubepblica,loquetieneventajasobviasentrminosdeseguridad.

Puntos fuertes
Requisitosylimitacionescomunesyperfilderiesgo:losusuariosdeunanubecomunitaria tienenrequisitossimilaresdesdeunaperspectivadeseguridadyrendimiento.Estohaceque laimplementacindelaspolticasparasatisfacerdichosrequisitosseanmseficientesy rentables,inclusoparaelproveedor,loquesetraduceenunmenorcosteglobal. Losrequisitosylosperfilesderiesgocomunessimplificanlaconfiguracindemecanismosy herramientasparaprotegerlasaplicacionesqueseejecutanenlanubedeataquesinternosy externos. Losusuariostienenmspoderdenegociacincomogrupo(enrelacinconelproveedorde nube)debidoalmayornmerodeusuariosconnecesidadessimilares. Capacidadparaestablecerloscriteriosdeinclusin:lamembresaseotorgadeacuerdoconla resistenciadelosmiembrospotenciales.Estoreducemucholosriesgosdebidosaataquesde otrosusuariosdelanube. Unamayorescalayunamejorrespuestaalospicoselevadosdedemandaderecursos(en comparacinconunanubeprivada):eltamaodelasagrupacionesderecursospuedeser notablementemayorqueeldeunanubeprivadayestosimplificalagestindelospicosde demandaderecursos.

Puntos dbiles
Existemscompetenciaporlosrecursosentrelossocios,yaquetienenobjetivoscomunes. Algunosdelosbeneficiosderivadosdelhechodedisponerdeunmayornmeroderecursosse pierdenporquelosusuariosdelamismacomunidadpuedenpresentarpatronessimilaresala horadeaccederalosrecursos,porloquesepuedenproducirenunmismoespaciodetiempo picosdesolicitudesderecursosporpartedevariosusuarios. Encomparacinconunanubeprivada,unacomunidadesunobjetivomsatractivoparalos atacantesmotivadosdebidoalamayorvisibilidadalcanzadaporlosataquesconxito. Adems,lasaplicacionesdeotrosusuariospuedenproporcionarunavaparalosataques. Elcontroldeaccesoylaautenticacinestndebilitadosencomparacinconunanubeprivada debidoalmayornmerodeusuarios.

58

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Eldeteriorodelrendimiento(IaaS,PaaSySaaS)debidoalamalacalidaddelaconectividad(p. ej.,zonasrurales,especialmenteenlospasesdelsuryelestedelaUE)puedereducirla calidaddelservicioparaalgunosusuariosdelacomunidad(quenoestnubicadoscercadelos puntosdesuministro),encomparacinconunanubeprivada.

Oportunidades
Losrequisitossimilaresqueseregistranenlacomunidad(vanselospuntosfuertes)podran permitirlamejoradelaspolticas,losparmetrosdereferenciaylasnormasdeseguridad,as comoprcticascomunesparaelanlisisylaevaluacinderiesgos,elregistroyelseguimiento. Estopuededarlugaraimplementacionesaltamenteeficientesquereducenelcostede adopcinparacadausuarioypropicianunaarquitecturamsfiable. Lossistemasdegestindeincidentescomunesycompartidospuedensimplificarlaadopcin demecanismosparaalmacenaryadministrarlaspruebasinformticoforenses. Elintercambiodeinformacinentreotrosmiembrosdelacomunidad(lasmejoresprcticas deuso,laexperienciadeincidentesanteriores,etc.)puedepropiciarunamayordifusindelas mejoresprcticas,ajustadaporlosmiembrosmsexpertosdelacomunidad. Sepuedeobtenerunaseguridadmsestrictaporquelainformacinsobrelaspolticasde seguridadyeldiseoylaimplementacindelanubesolosecompartedentrodela comunidad.Encomparacinconunanubepblica,estoincrementaladificultad,paraun atacante,deadquiririnformacinparaponerenprcticasusataques.

Amenazas
Faltadeacuerdosobrelaslneasbsicasdelaseguridadylosmecanismosdeseguridad:para aprovecharlaoportunidaddecompartirmecanismosparaprotegerydefenderlainformacin, sedebenegociarunacuerdoentretodoslosmiembrosdelacomunidad.Lamayoradelas veces,unarenegociacin,inclusoaunqueabarqueaunnmeroreducidodeusuarios,puede serbastantecomplejaynotenerxito. Lascomunidadespuedencrecerdemasiadodeprisa,loquealalargareducelasventajasdela nubecomunitariaentrminosderesistencia,encomparacinconunanubeprivada,opueden crecermuylentamente,loqueeventualmenteafectaralaescalabilidaddinmica. Msdifcilprediccindelusoderecursos(queenunanubeprivada):elmayornmerode usuariosincrementalacomplejidaddeanticiparsealassolicitudesderecursosdecada usuario.Enunanubecomunitaria,esmsprobablequeseproduzcanerroresenla planificacindelacapacidaddelanube. Unfalloenlosmecanismosdeaislamientopuedecausarlafiltracindeinformacin,quees msdifcildecontrolardebidoalmayornmerodeusuarios.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

59

Esdifcilidentificaralaentidadjurdicaqueesresponsabledeactuarcontraunmiembrodela comunidadoelproveedorcuandoestnimplicadosasuntossupranacionales.

Situacioneshipotticasquesirvencomoejemplo
Enestecaptuloseexponelaesenciadelmodelosencillodetomadedecisionescontressituaciones hipotticas.Estassituacionesficticiassebasanenparteenexperienciasconcretasdelavidareal. Lassituacionessebasanenlossiguientescasosprcticosdeuso: Nubesanitaria:elusodelacomputacinenlanubeparaimplantarunserviciodehistorias clnicaselectrnicasparaautoridadessanitariasnacionales,regionalesylocales; Autoridadeslocalesyregionales. Nubegubernamentalcomounviverodeempresas.

Enarasdelabrevedad,solamentesehaincluidoenestecaptulounadescripcinyanlisisdecuatro ejemplosdeservicioquesonrepresentativosdeestassituacioneshipotticas:1)Historiaclnica electrnica(HCE),2)Procedimientoadministrativoelectrnico(PAE),3)correoelectrnicoy4) aplicacionesderecursoshumanos Paramsdetallessobrelassituacioneshipotticas,sepuedeconsultarelAnexoII.

5.1 Descripcindelservicio
Historiaclnicaelectrnica(HCE) LaHistoriaClnicaElectrnica(HCE)esunalmacndeinformacinsobreelestadodesaluddeun pacienteenunformatoprocesableporelordenador,guardadoytransmitidodeformaseguray accesiblepormltiplesusuariosautorizados.Poseeunmodelolgicodeinformacinnormalizadoo decididodecomnacuerdoqueesindependientedelossistemasdeHCE.Suobjetivoprincipalesel apoyoalaatencinsanitariaintegradacontinua,eficienteydecalidadycontieneinformacinquees retrospectiva,concurrenteyprospectiva(22). LaHCErepresentaparalosmdicosunafuentedeinformacincentralizadaenelpacienteque essegura,entiemporealyprocededelcentrodeatencin. LaHCEayudaalosmdicosatomardecisionesmedianteelaccesoalainformacinregistrada sobrelasaluddelospacientesdondeycuandolanecesitenymediantelaincorporacinde ayudaparalatomadedecisionesbasadaenlaevidencia.

60

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

LaHCEautomatizayracionalizaelflujodetrabajoclnico,cerrandobuclesenlacomunicacin ylarespuestaquepuededarlugararetrasosodeficienciasenlaatencin. LaHCEtambinpuedesimplificarlarecopilacindedatosparausosdistintosalaatencinclnica directa,talescomofacturacin,gestindelacalidad,informesderesultados,planificacinderecursos yvigilanciadeenfermedadesqueafectenalasaludpblicaysuscorrespondientesinformes. LosrequisitosesencialesdelaHCE(23)sonlossiguientes: Proporcionarunaccesoseguro,fiableyentiemporealalainformacindelahistoriaclnica delpacientedondeycuandosenecesiteparaayudarenlaatencinadichopaciente. Garantizarlaconfidencialidadyseguridaddelainformacinsanitariadelpaciente. Seraccesibleyfiableentodomomento. Serlosuficientementeadaptativaparaintegrarseconelflujodetrabajoclnico. Seraccesiblecuandosenecesite,enhospitalesyambulatorios,conaccesoremoto.

Procedimientoadministrativoelectrnico(PAE) Elprocedimientoadministrativoelectrnico(PAE)serefiereenesenciaalastareasdeenvo electrnico,yaserviciosdedocumentacinsobrelainteraccindelasadministracionespblicascon losciudadanos,lasempresasyotrasreasdelasadministracionespblicas.Tcnicamente,describela gestinelectrnicadelosprocedimientosadministrativosrelativosaarchivosyregistros. Comotal,elPAEcomprende,porejemplo,solicitudesenlneaenmateriadesubvenciones,ayudas, licencias,certificadosoformulariosy,paraapoyarestassolicitudes,puedepermitir: Lapresentacindelassolicitudes. Larecuperacinyelaccesoalainformacindelestadodelasrdenesolosprocesos. Elaccesointeractivoalassolicitudesoprocesospendientes Lainformacinsobrelasinteraccionesolosdocumentosnecesarios. Facilidadesparaproporcionarinformacinosuministrardocumentosdirectamente. Notificaciones. Recuperacindedocumentosyformularios. Pagoselectrnicos.

Unadescripcindetalladadeestosservicios,ascomootrosserviciosofrecidospororganizaciones pblicasquesetienenencuentaenesteinforme,estpublicadaenelAnexoII,juntoconlas situacionesdeloscasosprcticos.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

61

Correoelectrnico Elcorreoelectrnicoeselconocidomediodecomunicacinutilizadoparaelintercambiodemensajes digitales. Elcorreoelectrnicoesconsideradoenmuchasorganizacionescomounserviciocrticodelnegocioy, amenudo,seintercambiainformacinconfidencialporcorreoelectrnico. Aplicacionesderecursoshumanos LasaplicacionesderecursoshumanossonaquellosserviciosdeTIqueproporcionanapoyoalagestin delosrecursoshumanos.Consistenenelseguimientodelosdatosexistentesdelostrabajadores,lo cualincluyetradicionalmentelashistoriaspersonales,aptitudes,capacidades,logrosysalario.Los sistemasdegestinderecursoshumanosabarcanlossiguienteselementos: Nmina Tiempodetrabajo Administracindebeneficios Sistemasdegestindelainformacinderecursoshumanos Contratacin Sistemasdegestindelaformacinydegestindelaprendizaje(SGA) Registrosderendimiento

Elmdulodenminaautomatizaelprocesodepagomediantelarecopilacindedatossobrelashoras detrabajoylaasistenciaaltrabajodelempleado,calculalasdiversasdeduccioneseimpuestosy generachequesperidicosdepagoeinformesfiscalesdeltrabajador.Engeneral,losdatosse recopilanapartirdelosmdulosderecursoshumanosydecontroldelapuntualidadparacalcularlos depsitosautomticosylascapacidadesmanualesdeemisindecheques.Estemdulopuedeabarcar todaslastransaccionesrelacionadasconlosempleados,ascomolaintegracinconlossistemasde gestinfinancieraexistentes. Elmdulodeltiempodetrabajorecopilaeltiempodetrabajoestandarizadoylosesfuerzos relacionadosconeltrabajo.Losmdulosmsavanzadosproporcionanunagranresistenciaenlos mtodosderecopilacindedatos,capacidadesdedistribucinlaboralycaractersticasdeanlisisde datos.Lasprincipalesfuncionessonelanlisisdecostesylamedicindelaeficiencia. Elmdulodeadministracindeprestacionesproporcionaunsistemaparaquelasorganizaciones administrenycontrolenlaparticipacindelosempleadosenlosprogramasdeprestaciones.Algunas deellassuelenserseguros,indemnizaciones,repartodebeneficiosyjubilacin. Elmdulodegestinderecursoshumanosesuncomponentequeabarcamuchasotrasfuncionesde recursoshumanos,desdesolicitudesdeempleohastajubilacin.Elsistemaregistradatosbsicos sobredemografaydomicilio,seleccin,formacinydesarrollo,gestindecapacidadesy conocimientos,registrosdeplanificacindecompensacionesyotrasactividadesrelacionadas.Los

62

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

sistemasmsavanzadostienenlacapacidadde'leer'lassolicitudesdeempleoeintroducirlosdatos pertinentesenloscamposdeunabasededatos,notificaralosempleadoresyfacilitarlagestinyel controldelpuesto.Lafuncindegestinderecursoshumanosconsisteenlacontratacin,colocacin, evaluacin,compensacinydesarrollodelosempleadosdeunaorganizacin. Lacontratacinenlneasehaconvertidoenunodelosprimerosmtodosempleadosporlos departamentosderecursoshumanosparareuniracandidatospotencialesparalospuestos disponiblesdentrodeunaorganizacin. Elmdulodeformacinproporcionaunsistemaparaquelasorganizacionesadministrenycontrolen losesfuerzosenformacinydesarrollorealizadosporsusempleados.Sofisticadossistemasdegestin delaprendizaje(SGA)permitenalosadministradoresaprobarlaformacin,presupuestosy calendariosjuntoconlagestinyevaluacindelrendimiento(24).

3.7. Parmetrosyrequisitos
Lasorganizacionesgubernamentalesylasautoridadeslocalesficticiasconsideradasenesteinforme deberantenerencuentaalgunosparmetrosclavealahoradeevaluarelimpactoenel coste/beneficiodeunaestrategiadenubeenlosserviciosdeseguridadyrecuperacin.

Enlatabla"Atributosdelservicio"incluidaenelAnexoIII,sesugierenunaseriedeparmetrosde carctergeneralyseindicanlosrequisitosasociadosparaeltipodeservicioconsiderado.Cabesealar que: Unavezms,losparmetrosdebenentendersesolocomoejemplosdeposibles combinacionesdelasvariablesmencionadasenelcaptulo3(Modeloparalatomade decisiones).Estotienecomoobjetivoserinstructivoparaellectorymostrarlecmo interpretarlasvariablesanteriores. Losrequisitossederivandelasrespuestasdirectasacuestionariosrespondidospor autoridadeslocalesyregionalesyautoridadessanitariasoestnbasadosenlaexperienciade losmiembrosdelgrupodeexpertos. Ejemplodeservicio

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

63

HCE

Parmetros Sensibilidaddelosdatos DatosPersonales Tipodedatos Datossensibles

PAE Correoelectrnico Aplic.recursos Procedimientos humanos administrativos electrnicos Requisitos DatosPersonales Datossensibles DatosPersonales DatosPersonales Datos Datossensibles empresariales

Requisitosde seguridady resistenciade lainformacin

IntegridadAlta IntegridadAlta IntegridadMedia IntegridadAlta ConfidencialidadAlta ConfidencialidadAlta Confidencialidad Confidencialidad DisponibilidadAlta DisponibilidadMedia (especficade Alta contenido) Disponibilidad Disponibilidad Media Media EscalabilidadGestindelademanda Volatilidaddela Alta(paraalmacn Alta Media Media demanda accesibleporpacientes einvestigadores) Baja(paraHCE) Nuevosservicios S S No No requeridos Prevencindelas Predecible Predecible Predecible Predecible necesidadesde almacenamiento paralosprximos cincoaos Picodeusuarios Alto Alto Alto Medio concurrentes Proporcindelos Bajo Medio Bajo Medio datosenusoactivo Niveldeacceso Bajo Bajo Bajo Bajo 18 administrativo (usuario privilegiadodpto. deTI)requerido FiabilidaddelservicioDisponibilidadyrendimientoencasodedificultades(performability) Disponibilidad 99,9%(Alta) 98%(Media) 97%(Media) 98%(Media) requerida Requisitosde Muybreve Menosde Menosde Menosde
18

Partiendo de la base de que para el sistema se ha diseado una arquitectura adecuada

64

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

tiempode menosdeunahora 4horas 2horas 4horas inactividad noplanificado Respuestaen Baja Media Media Media tiemporeal Colaboracineinteroperabilidad Otrasautoridades S S No S sanitariasy administraciones pblicas necesitanacceder al servicio Gestindeidentidades,autenticacinyacceso Gestinde Lasidentidadesdelos LasidentidadesdelosLasidentidadesdelLasidentidadesdel identidades pacientes ciudadanosse usuariosepueden usuariosepueden debengestionarse puedengestionar gestionar gestionar internamente internamenteo internamenteo internamenteo medianteun medianteun medianteun proveedorexterno(p.proveedorexterno proveedorexterno ej.,proveedordela (p.ej.,proveedor (p.ej.,proveedor nube) delanube) delanube) Provisinde Elprocesode Elprocesode Elprocesode Elprocesode credencialesy provisinde provisinde provisinde provisinde permisos credencialesypermisoscredencialesalos credencialesalos credencialesalos paralosusuarios paralosusuarios usuarios(ciudadanos, usuariospuedeserusuariospuedeser (pacientes,mdicos, personal gestionado gestionado personalde administrativo,etc.) internamenteo internamenteo administracin,etc.) puedesergestionado medianteun medianteun debesergestionado internamenteo proveedorexterno proveedorexterno internamente medianteun (p.ej.,proveedor (p.ej.,proveedor proveedorexterno(p.delanube) delanube) ej.,proveedordela nube) RBAC S S NO S Solidezdela Alta 2factoresde Media Contrasea autenticacin Requisitolegal autenticacin (opcional) (opcionalmente) Serequiere S S No No federacin Cifrado Cifrado Seneltrnsitose Opcional Opcional Recomendadoen recomiendacifrarel eltrnsito(segn

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

65

restosegnlos requisitoslegales Accesoalasclaves Provisinde credencialesy permisos paraaccederala administracin Proveedorpara proporcionar credencialesde autenticacinparael accesoala administracin Legalidadycumplimiento ProteccindedatosAplicable Proveedorpara proporcionar credencialesde autenticacinparael accesoala administracin Aplicable

normativa)

Proveedorpara Proveedorpara proporcionar proporcionar credencialesde credencialesde autenticacinpara autenticacinpara elaccesoala elaccesoala administracin administracin Aplicable Aplicable

Localizacinde Ambosdebenser Ambosdebenser datosy especificados(laleyen especificados(laley jurisdiccinlegal algunospasesimpone enalgunospases elrequisitodequelos imponeelrequisito datosnopuedensalir dequelosdatosno delterritorionacional) puedensalirdel territorionacional)

Ambosdebenser Ambosdebenser especificados(laley especificados(la enalgunospases leyenalgunos imponeelrequisito pasesimponeel dequelosdatosno requisitodeque puedensalirdel losdatosno territorionacional) pueden salirdelterritorio nacional) Controldeacceso Sedebeestableceruna Sedebeestablecer Sedebeestablecer Sedebe combinacinde unsistemadecontrolunsistemade establecerun sistemasdecontrolde deaccesoobligatoriocontroldeacceso sistemadecontrol accesoobligatorio (MAC)ounRBAC. obligatorio(MAC)o deacceso (MAC)19ydecontrolde unRBAC. obligatorio(MAC) accesobasadoenroles ounRBAC. (RBAC). Rendicinde S S S S cuentas (accountability) (registros admisiblesenun tribunal) AccesomedianteID S S NO NO digital(carnetde
SehasugeridoelsistemaMACcomorequisitoparalaHCEporlasrazonessiguientes:1)ElpacienteeselpropietariodesuHCEy debesercapazdedecidir:a)quinpuedeaccederaqutipodedatosyb)aquindelegaestadecisin.2)Laconfidencialidadyla integridadtieneunaimportanciafundamentalenlaHCE,yelpacientedebesercapazdehacercumplirlasreglasacercade cualquierposibleaccesoanivelessuperioresomsalldelmodelodepropiedad(p.ej.,superusuarioorootenunsistemaUNIX). Basndoseenestossupuestos,elsistemaMACparecesermsapropiadoque,porejemplo,uncontroldeaccesodiscrecional, dadalaposibilidadqueofreceMACdeestablecerlasnormasdefinitivasdeacceso.Paramsinformacin,vase: (http://en.wikipedia.org/wiki/Discretionary_Access_Control),(http://en.wikipedia.org/wiki/Mandatory_Access_Control)y (http://en.wikipedia.org/wiki/RoleBased_Access_Control).
19

66

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

identidadde ciudadano) Firmadigital

Losprocesosy Loscorreos NO documentosdeben electrnicos servalidadosconuna oficialessepueden firmadigital firmardigitalmente. (internamenteopor losciudadanos).

Losproveedores sanitariosestn firmandolosdatos. SSOsinglesignonOpcional Opcional Opcional Norepudio S S S Consignacinde Snecesariapara Algunosdocumentos NO fecha registrosdeauditora, (p.ej.,permisos, yhoraelectrnica etc.,para licencias,pagos,etc.) investigaciones presentadoso mdicas emitidos,deben tenerunsellode fechayhora concedido porunaautoridad certificada. Contraseasnicas S S S o nombresdeusuario nicos Aplicacindel S S S principiodela necesidad desaber (aplicacin) Transparenciadela Serequieretotal Serequieretotal Serequieretotal cadenade transparencia transparencia transparencia suministro frenteaterceros frenteaterceros frenteaterceros proveedores. proveedores. proveedores.

Opcional S NO

Serequieretotal transparencia frenteaterceros proveedores.

Diligenciadebida dela cadenade suministro

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

67

TABLA1:ATRIBUTOSDELSERVICIO

5.3. Evaluacincomparativaderiesgos
Enesteapartado,realizamosunanlisiscomparativodelasnubespblicas,privadasycomunitarias paraaveriguarqutipodenube,enelcontextodelassituacioneshipotticaspropuestas,podraserla solucinmsadecuadaparasatisfacerlasnecesidadesdeserviciodescritasenelapartado5.2. Comoyaseexplicalprincipiodeestecaptulo,lasnecesidadesdeservicioenlasquesebasala evaluacinrepresentansoloposiblesconfiguracionesdesituacionesdelavidarealynodeben considerarseanlisisconcretostalcual.Demuestrancmopuedeutilizarselametodologadeeste documentoparatomarunadecisin.

Comoloscuatroserviciospresentanrequisitossimilares,hemosreflejadoenlatablasiguientesolouna evaluacincomparativadelservicioHCE.Sinembargo,tambinhemosincluidounareferenciaalos otrosservicios,mencionandosuscaractersticasespecficas. Historiaclnicaelectrnica(HCE) Parmetro:Importanciaysensibilidaddelosdatos Requisito HCE:alfacilitarhistoriasclnicaselectrnicas,unaautoridadsanitariagestionadatospersonalesy sensibles.LosrequisitosderesistenciayseguridaddelainformacinparaelservicioHCEsonalta integridad,altaconfidencialidadyaltadisponibilidad.Adems,elnorepudioylosregistrosde auditorasonrequisitoscadavezmsimportantesenlasHCE.

68

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

PAE,CORREOELECTRNICOyAPLICACIONESDERECURSOSHUMANOS:Losrequisitosderesistencia yseguridaddelainformacinparaestosserviciossonaltaintegridad,altaconfidencialidady disponibilidadmedia. Comunitaria Privada Pblica HCE:Elmodelodenubecomunitaria tienepuntosfuertessimilaresauna nubeprivadaencuantoalcontrol sobrelosdatos,confidencialidade integridad,perosihayque compartirentremiembrosdela comunidad,entoncesel debilitamientodelapolticade seguridaddevariasislasdenubes privadas(oinfraestructurasdeTI internas)parapodercompartir puedeprovocarproblemasde seguridadyconflictosdepolticas quecreanunentornomsinseguro queunanubecomunitaria,donde loscontrolesypolticasdeseguridad seadaptanalacomunidad. Tambinpuedeofrecerseunalto niveldedisponibilidad, especialmentesilaescalade infraestructurasdelacomunidades adecuada. Unafederacindenubesaporta beneficiosderesistenciaencuantoa disponibilidad,elasticidadygestin deincidencias.Hayquesealarque unafederacindeislasdenubes privadascombinadaconciertotipo decapadegestindecomunidades virtualespuedeserunamejor opcinqueunacomunidadalojada cuandoserequiereunequilibrio entreservicioscompartidosy privadosseparadospero interdependientes. Lafaltadeconfianzaentre miembrosesunaseriaamenazaal buenfuncionamientodeunanube HCE:Unanubeprivadaparecela mejorsolucinparagarantizarel controltotalsobrelaintegridady confidencialidaddelosdatos. Elpropietariodelanube(por ejemplo,unaentidadpblica nacional,regionalolocal)es responsabledecrear,gestionar, mantenerysupervisarlosservicios deTI,ydesuevolucin. Solosepuedeconseguirmejor rendimientoencuantoa disponibilidaddedatosqueconlos serviciosdeITinternossi: Laescaladelanubees adecuada. Lanubesegestiona, mantieneysupervisa correctamente. PAE,CORREOELECTRNICOy APLICACIONESDERECURSOS HUMANOS:Unanubeprivada parecelamejorsolucinpara garantizarelcontroltotalsobrela integridadyconfidencialidaddelos datos. Almismotiempo,unanube privadapodraofrecerfcilmente disponibilidaddedatosmedia. Enunanubeprivadaresultams fcilarmonizaryvelarporel cumplimientodelapolticade seguridad,ascomoaplicar mtodosuniformesdeevaluacin deriesgos. Unanubeprivadapareceserla solucinqueofreceelentornoms HCE:Lasnubespblicas degranescalaparecen ofrecerunaalta disponibilidaddedatos. Laprdidadecontrol eninfraestructuras (IaaS),yposiblemente plataformas(PaaS)y aplicaciones(SaaS), representaunaseria amenazaala confidencialidade integridaddedatosyel cumplimientolegal. PAE,CORREO ELECTRNICOy APLICACIONESDE RECURSOSHUMANOS: Paralosrequisitosde integridady confidencialidadse aplicanlasmismas consideracionesqueen elanlisisdelasanidad electrnica(esdecir,la prdidadecontrol suponeunaseria amenazaquerequiere consideracinespecial respectoalas dificultadesde introducirelderechoa auditarencontratos). Laoportunidadde teneralta disponibilidad, garantizadamediante unanubepblicade granescala,nose

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

69

comunitaria.Conlatransparencia comoprincipiorectordela comunidad,puedenestablecersey reforzarserelacionesdeconfianza entrelosmiembros. PAE,CORREOELECTRNICOy APLICACIONESDERECURSOS HUMANOS:VeranlisisdeHCE.Es discutiblesilasautoridadeslocales tendranpodersuficientepara negociaruncontratocon proveedoresdenubesgrandes, aunqueanensusnecesidades (especialmentedeseguridad). Unanubecomunitariatendra menosconocimientosespecializados sobreseguridadymantenimiento queunanubeprivadaperomsnivel deconocimientosrespectoalas aplicacionesreales. Enconcreto,paraelserviciode CORREOELECTRNICO:Algunos proveedoresdenubepblica proporcionanfuncionesde seguridadcomofiltradode contenido,antiphishing,antispamo dejanquelosusuariosapliquensus propiassolucionesdeseguridad.

estable,unacomunidadde interesados,propiedad(el propietarioserunaorganizacin pblica),etc. Laoportunidaddeteneralta disponibilidad,garantizada medianteunanubepblicade granescala,noseexplota completamentealofrecerun serviciodecorreoelectrnico,ya querequiereunnivelmediode disponibilidad.

explotacompletamente alofrecerPAE,yaque requierenunnivel mediode disponibilidad. Enconcreto,parael serviciodeCORREO ELECTRNICO:Algunos proveedores proporcionandenube pblicaofrecen funcionesdeseguridad comofiltradode contenido, antiphishing,antispam odejanquelos usuariosapliquensus propiassolucionesde seguridad.

Parmetro:Escalabilidadygestindelademanda Requisito LainfraestructuradeTIdebedisearseparagestionarconrentabilidad: 1)Cargasdetrabajoescasasymuyescasas. 2)Picosestacionales(ej.,gripe,nminas,etc.). 3)Picosrepentinoseinesperadosdebidosacambiosenprocedimientosadministrativosola aplicacindenuevasleyesynormativas. 4)Implementacindenuevosservicios. 5)Cambiosdemogrficos. 6)CiberataqueseincidentesdeTIC. Comunitaria Privada Pblica Unanubecomunitariapuedeofrecer capacidadesdegestindedemanday Unanubeprivada,en funcindesuescala,esla Lasnubespblicas garantizanunaltonivel

70

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

deresistenciayuna escalabilidadqueestnacaballoentrelas opcinmenosadecuada paragestionareventos gestineficazdela solucionesprivadasypblicas.Puede inesperados,ciberataques demanda. escalarmejorqueunanubeprivada(para PAE:Losrequisitosde satisfacerlademanda)yaque,enprincipio, (ej.,DDoS)eincidencias deTIC. escalabilidadsoniguales existeunainfraestructuramayor;sin embargo,nopuedeexplotar PAE:Losrequisitosde queparalaHCE.Se completamenteeconomasdeescala. escalabilidadsoniguales aplicanlasmismas PAE:Losrequisitosdeescalabilidadson queparalaHCE.Seaplican consideraciones. igualesqueparalaHCE.Seaplicanlas lasmismas mismasconsideraciones. consideraciones. CORREOELECTRNICOyAPLICACIONESDERECURSOSHUMANOS:Lademandaentrminosde almacenamientoypotenciacomputacionalespredecible;porlotanto,suponemosquenohayuna diferenciasignificativaenelvalorquepodranproporcionarlostresmodelosdenuberespectoala gestindelademandaylaescalabilidad. Parmetro:Fiabilidaddelservicio:disponibilidadyrendimiento Requisito Elserviciodebeestardisponibleel99,9%deltiempoyeltiempodeinactividadnoplanificadodebe serinferiora1hora.Serequierealtaproduccin(throughput)ytiempodeesperareducido. PAEyAPLICACIONESDERECURSOSHUMANOS:Elserviciodebeestardisponibleel98%deltiempoy eltiempodeinactividadplanificadoynoplanificadodebeserinferiora4horas.Serequierealta produccin(throughput)ytiempodeesperareducido. CORREOELECTRNICO:Elserviciodebeestardisponibleel97%deltiempoyeltiempode inactividadnoplanificadodebeserinferiora2horas.Serequiereproduccin(throughput)mediay tiempodeesperareducido. Comunitaria Privada Pblica Unanubeprivadapuedeofrecer Unanubecomunitariapodraser inadecuadaporlanecesidaddegran granreplicacinyrendimientosolo replicacinyrendimiento. silaescaladelanubees suficientementegrande. Elasticidad,resistencia, rentabilidadytotal disponibilidadsonlos puntosfuertesdeuna nubepblicadegran escala. PAE,CORREOELECTRNICOyAPLICACIONESDERECURSOSHUMANOS:Todaslassoluciones propuestaspuedensatisfacerlanecesidaddedisponibilidadmedia. Unanubepblicaeslasolucinque,comoyasemencionvariasvecesenesteinforme,puede ofrecerlamayordisponibilidad. Lasnubesprivadasycomunitariaspodranofrecermsrendimientodeservicioqueunanube pblica,debidoasucercanaalosusuariosfinales.Unanubepblicadegranescalanormalmente ofrecedistribucingeogrficapordefecto,peroconcentrasuscentrosdedatosenpocosEstados miembros. Parmetro:Continuidaddelnegocio

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

71

Requisito HCE,PAE,CORREOELECTRNICOyAPLICACIONESDERECURSOSHUMANOS:Losproveedoresde estossistemasdebenaplicarplanesdecontinuidadcomercialyestarpreparadosparala recuperacinantedesastres. HCE:Unplandecontinuidadcomercialdebetenerencuentaquecualquiertiempodeinactividad puededurarmsde1hora. PAEyAPLICACIONESDERECURSOSHUMANOS:Unplandecontinuidadcomercialdebeteneren cuentaquecualquiertiempodeinactividadpuededurarmsde4horas. CORREOELECTRNICO:Unplandecontinuidadcomercialdebetenerencuentaquecualquier tiempodeinactividadpuededurarmsde2horas. Comunitaria Privada Pblica HCE:Unanubecomunitariaesalgo mejor(aunquesimilar)queuna nubeprivada,amenosquese apliqueenvariasregionesypases. PAE:unanubecomunitariaesalgo mejor(aunquesimilar)queuna nubeprivada,amenosquese apliqueenvariasregionesypases. Laposibilidaddeobtenermejores nivelesdecontinuidaddelnegocio dependedelnmerodeentidades queseunanalacomunidad. Cuantomayoreselnmeroyla escaladelasentidades (organismospblicos)que participanenlacomunidad,mayor eslaposibilidaddealcanzarun niveldecontinuidaddelnegocio similaralosnivelesqueofrecenlas nubespblicas. HCE(ascomoelrestode servicios):Enunanube privadaelgradode continuidaddelnegociose reduceencomparacincon unanubepblica. HCE:Unanubepblica,que implementaunproveedor grande,puededistribuirse geogrficamente.Cuando cumplelalegislacinsobre proteccindelosdatosde saludenundeterminado pas,simplificalacontinuidad delnegocio. Unanubepblica,que implementaunproveedor grande,puededistribuirse geogrficamente.Sicumple losrequisitosdeauditora, rendicindecuentas (accountability)y responsabilidad,ascomola legislacinsobreproteccin dedatosdeunpasen concreto,simplificala continuidaddelnegocio. CORREOELECTRNICO:Una nubepblica,que implementaunproveedor mayor,puededistribuirse geogrficamente.Sicumple losrequisitosdeauditora, rendicindecuentas (accountability)y responsabilidad,ascomola legislacinsobreproteccin dedatosdeunpasen

72

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

concreto,simplificala continuidaddelnegocio. Parmetro:Colaboracineinteroperabilidad Requisito HCE:Potencialmente,todosloshospitales,clnicas,etc.enterritorionacionalyenlosEstados miembrosdelaUninEuropeapodranrequeriraccesoalservicio. PAE:Potencialmente,todaslasadministracionespblicasdecualquiernivel(local,regionaly nacional)ylosorganismosquevelanporelcumplimientodelasleyespodranrequeriraccesoal servicio. Comunitaria Privada Pblica HCE,PAEyAPLICACIONESDE RECURSOSHUMANOS:Enunanube comunitaria,elnivelde interoperabilidadintracomunitario yextracomunitarioseacuerda segnlasnecesidadesyrequisitos delosmiembros. EspecficodePAE:Lasautoridades localesnecesitaranfederaralgunos serviciosenunanubecomunitaria, porloquelasautoridadeslocales tendranqueconsiderarla disponibilidaddecadanodoyla interoperabilidad.Enunanube comunitaria,habrainclusoque garantizarlaconsistenciadela identificacinylaidentificacinde autoridades. HCE,PAEyAPLICACIONESDE RECURSOSHUMANOS:Lasnubes privadaspermitenalosusuarios utilizarciertasconfiguraciones, aunquelainteroperabilidaddebe introducirsesobreodesdefuentes externas.Resultamssencillocrear serviciosauxiliaresencima. HCE,PAEy APLICACIONESDE RECURSOSHUMANOS: Enunanubepblica,la interoperabilidades unapropiedad intrnsecaypuede permitirunenfoque sistemtico.

Parmetro:Identidad,autenticacinygestindeacceso Requisito HCE:Lasidentidadesdepacientesdebengestionarseinternamente. Elprocesodefacilitarlascredencialesylospermisosdelosusuarios(pacientes,mdicos,personal administrativo,etc.)debegestionarseinternamente. SeutilizaunacombinacindeRBACyMAC.Loshospitales,clnicas,etc.suelenposeerdatos.Los proveedoressanitariosdefinenlaspolticasdecontroldeaccesosegnelconsentimientodel pacienteydelaspolticasdelaorganizacinynacionales. PAE,CORREOELECTRNICOyAPLICACIONESDERECURSOSHUMANOS:Lasidentidadesdelos ciudadanospuedegestionarseinternamenteomedianteunproveedorexternooproveedorde nube. Elprocesodefacilitarlascredencialesdelosusuarios(ciudadanos,personaladministrativo,etc.)

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

73

puedegestionarseinternamenteomedianteunproveedorexternooproveedordenube. SerequiereunsistemadecontroldeaccesobasadoenrolesparaPAEyAPLICACIONESDERECURSOS HUMANOS. Comunitaria Privada Pblica HCE:Ennubesprivadas: Existecontrolalaccesoadministrativo. Esmsfcilofreceraccesoparadatosde pacientes. Esmsfcillagestindeidentidades. ResultamssimplelaaplicacindelMAC. PAE,CORREOELECTRNICOyAPLICACIONESDE RECURSOSHUMANOS:Ennubesprivadasy comunitarias,existecontrolsobrelaidentidady sistemasdecontroldeaccesoparausuariosy administradores. Puedenutilizarsetarjetasinteligentesexpedidaspor lasadministracionespblicas. Lasadministracionespblicaspuedenfacilitar infraestructuradeclavepblica(PKI). HCE:Unsistemadegestindeacceso complejo,resultantedeunacombinacin deRBACyMAC,esdifcildeintegraryde aplicarenunanubepblica. PAEyAPLICACIONESDERECURSOS HUMANOS:Unsistemadegestinde accesocomplejoesdifcildeintegraryde aplicarenunanubepblica. Elsistemaespaolparagestionar identidadesparecedeespecialintersa esterespecto.Dehecho,enEspaael nuevocarndeidentidad(DNIe)incorpora undispositivoparacrearyverificaruna firmaelectrnica.Laverificacinserealiza segndossistemasformalesparavalidar loscertificados:LaFbricaNacionalde MonedayTimbredelMinisteriode Industria,TurismoyComercioyel MinisteriodelaPresidencia.Elsistema funcionaparaciudadanosenlossectores pblicoyprivadoyahoralascaractersticas tcnicassonpblicasparapermitir distintosdesarrollos.Adems,laFbrica NacionaldeMonedayTimbresirvecomo infraestructuradeclavepblica(PKI)para administracionespblicas.Labasejurdica delenfoquecomnparalossectores pblicoyprivadoenelsistemaespaol paragestionaridentidadesseencuentraen laley59/2003espaola,queesuna transposicindelaDirectiva1999/93/CEde laUEsobrelafirmaelectrnica. CORREOELECTRNICO:Unsistemade gestindeaccesocomplejoesdifcilde integrarydeaplicarenunanubepblica, especialmentesiseconsideraelmodelo SaaS.

74

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Parmetro:Cifrado Requisito HCE,PAEyAPLICACIONESDERECURSOSHUMANOS:Elcifradodedatosentrnsitoyenreposoes unrequisitodeseguridad.Debeserposiblegestionarlaclaveprivada. CORREOELECTRNICO:Elcifradodedatosentrnsitoyenreposoesunrequisitodeseguridad. Debidoalanaturalezadelaaplicacin,elintercambiodecorreoelectrnicofueradeldominioode lasoberanagubernamentalsedescifrarusandoelremitentedelmensaje,eldestinatarioylos routersencuestin.Estodebetenerseencuentadurantelaespecificacindelrequisitodecifrado. Debeserposiblegestionarlaclaveprivada. Comunitaria Privada Pblica HCE,PAE,CORREOELECTRNICOyAPLICACIONES DERECURSOSHUMANOS:Enlasnubesprivadasy comunitarias,losprocesosdedistribuciny revocacindeclavesdecifradosonmsfcilesde aplicar,ascomolosmecanismosde almacenamientoyproteccindeclaves. HCE,PAE,CORREOELECTRNICOy APLICACIONESDERECURSOSHUMANOS:Es difcilintegrarunsistemadegestindeclaves externoenunanubepblica. Duranteelprocesamiento,puedeser necesariodescifrarconjuntosdedatosy,porlo tanto,exponersucontenidoenuna infraestructurapblicapotencialmente compartidaporotrosmilesdeabonados;por lotanto,serequierenmecanismosrobustosde aislamiento. Puedeimplementarseunanlisisdeltrfico aunquetodoslosdatosestncifrados.

Parmetro:Cumplimientolegal Requisito HCE,PAE,CORREOELECTRNICOyAPLICACIONESDERECURSOSHUMANOS:Debeespecificarsela ubicacindedatosylajurisdiccinlegal.Lalegislacindeciertospasesimponeunrequisito:los datosnopuedensalirdelterritorionacional. Esnecesarialatransparenciatotalfrenteaotrosproveedores.Paragarantizarlaresponsabilidad,se requierenregistrosadmisiblesenlosjuzgados. Comunitaria Privada Pblica Ennubescomunitarias,el cumplimientolegalpuedeconseguirse fcilmente,debidoa: Losrequisitoslegalescomunes delosmiembrosdela comunidad. Elcontrolsobrelacadenade suministrodeservicios. Lasnubesprivadas permitenlamxima confianzaenquepuede conseguirseel cumplimientolegal. Ennubespblicas,conseguirel cumplimientolegaly normativoresultadifcilo inclusoimposibledebidoa: Jurisdiccioneslegalesy ubicacionesdedatos inciertas. Derecholimitadoala

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

75

auditora. Todaslasalternativasdenubespuedencumplirlosrequisitosderegistrosadmisiblesenlosjuzgados. Lasnubescomunitariasyprivadaspuedencontrolarmejorlarecopilacin(niveldedetalle)y retencinderegistros.

5.4. Seleccindelasolucineidentificacindeamenazasy debilidades


Laslimitacioneslegalespuedenrequerirlaretencindelosdatossanitariosenunlugarfsicoconcreto. Enestecaso,lasnubesprivadasycomunitariassonlasmejoressolucionesparaimplementarservicios deHCE(ascomoPAE,CORREOELECTRNICOyAPLICACIONESDERECURSOSHUMANOS).Estose debealacapacidaddeestosmodelosdenubedeofrecercumplimientojurdicoynormativoycontrol delosrequisitosparaaltosnivelesdeconfidencialidadeintegridad.Espreferibleunasolucindenube comunitariaqueanevariasorganizacionessanitariasregionales,nacionalesointernacionalesfrentea unanubecomunitariaquecombinelasanidadconotrossectores. Apartedelaslimitacioneslegales,sielenfoqueprincipalesofrecerlosbeneficiossanitariosdeun sistemadeHCE,lasnubespblicasdegranescalatienenelmejorpotencialparacumplirlosestrictos requisitosdedisponibilidadyresistenciadeunsistemadeHCEauncosterazonable.Sisesuperanlas dificultadesdecumplimientolegalynormativo,sepreferirnfrentealasnubesprivadasy comunitarias,amenosquelasautoridadessanitariaspuedanpermitirseinversionessignificativasen especialistasdeseguridadyprovisinenexcesoderecursos. Existenamenazasquehayqueconsideraralutilizarnubesgubernamentalesprivadasycomunitarias paraserviciosdeHCE: Faltademasacrticaparalainfraestructura. Ataquesmotivadospolticamente. FiltracionesdeHCEenunfalloirreversiblequecubreunperiodomuylargodehistorial personal. Laextremasensibilidaddelasreputacionesdegobiernos,administracionesyorganismos pblicosalafiltracinderegistrossanitariosyotrasincidenciasdeseguridad,comoelusode infraestructuragubernamentalparalanzarataquesmaliciosos. Prdidadeintegridaddedatos. Nodisponibilidaddedatos. Maladefinicinderequisitosyclasificacindeactivos. Trminosycondicionesinadecuadosencontratosconsocioscomerciales. Faltadecontroldelaejecucindecontratos. Fallodeaislamiento(verinformede2009),conlocualseabrelapuertaalafiltracinde informacin(controlilegal),ascomoaproblemasoperativos Gestindeidentidadesysistemasdecontroldeaccesoinadecuados.

76

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Incumplimientodenormativasdeproteccindedatos.

Lalistaanteriordeamenazasobviamentedebeintegrarseenelrestodeamenazastcnicasincluidas enelAnexoIV. Paramitigarlasamenazasmencionadas,lasautoridadessanitariasdebentenerencuentalasmedidas ycontrolesdeseguridaddescritosenelcaptulo6.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

77

Preparacindeunasolicituddeoferta

Enestecaptuloproponemosunconjuntodecuestionesdeseguridadyresistenciaquepueden utilizarsecomoguaalprepararunasolicituddeoferta.Debenverseobiencomomedidasde seguridadquehayqueincluirenlasespecificacionesdelcontratoobiencomodemandasquetiene quesatisfaceruntercero.Adems,debeutilizarseelmismoconjuntodepreguntasparaprepararel plandemitigacinenlafasedetratamientoderiesgos.Lascuestionescubrensolicitudesdeofertade servicioporpartedenubespblicas,proveedoresdeserviciosindependientes,proveedoresdegestin deserviciosdeinfraestructuras,serviciosdeseguridadyotrosproveedoresdegestindeserviciosque conaccesoprivilegiadoainfraestructurasyplataformas(porejemplo,serviciodeapoyooserviciode asistenciatcnica,gestindecapacidad,consultores,gestindeincidentes,etc.). Adems,aconsejamosaprovecharloscontrolesincluidosenelmarcodegarantaorientadoalanube, comoelInformationAssuranceFramework(MarcodeGarantadelaInformacin)deENISAyla ControlsMatrix(MatrizdeControl)delaCSAalprepararlasolicituddeofertadeserviciooelplande mitigacinderiesgos. Porltimo,sugerimosevaluarelpotencialdelproyectoCommonAssuranceMaturityModel(CAMM) (2),diseadocomomarcoparacalificaryprobarcontransparencialacapacidaddeunasolucin seleccionadaparaofrecergarantadelainformacinentodalacadenadesuministro. A. Preparacin Disponedesistemasdegestindeseguridaddelainformacin?

78

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Cmofacilitarloscertificadosdeauditorayotroscertificadosnecesarios? Puedeapoyarmiplandeclasificacindedatosyservicios? Qufacilidadesderegistroofrece,cmosegarantizalaintegridaddelosregistrosycmose controlaelaccesoaestos? Qumedidasdeseguridadpersonalapoya? Muestrecmocumplelosrequisitosgubernamentalesparaseleccionaryvetarapersonalque tieneaccesoadatos,infraestructuraygestin. Cmoprotegeelaccesoprivilegiado? Cmoseaslanmisdatosdelosdeotrosclientes? Cmosecontrolaygarantizaelaccesoautorizadoporlosjuzgadosamisdatos? Qumecanismosadmiteparagestionarlosderechosdeaccesoalosdatossegnlos diferentesrolesousuarios? Admitelaautorizacindevariosjefesovariosniveles? Cmoprevieneydetectaelaumentodeprivilegiosylaunindecompartimientos? Puedeaplicarygarantizarlaseparacindedeberesentrevariasentidadesgubernamentales? Cmosecontrolaelaccesoalosdatos? Qudistintosnivelesdeaccesoseadmitenycmosecontrolanendistintascategorasde usuariosyoperadores? Cmoseadmitenlosdistintostiposdecredencialesdeautenticacin? Seadmiteelaccesosegnroles,yquresistenciatienelagestinderoles? Qumediosadmiteparafacilitardatosespecficosarazdecitacionesjudicialeso investigacionesdeinformticaforense? Cmogarantizarlaseparacindeinteresesentreserviciosdeclientesquepuedenser competidores? Seofrecealusuariofinalasesoramientoyherramientasapropiadasparafacilitarel almacenamientodeinformacincondistintosrequisitosdeseguridad,disponibilidady cumplimiento? Cmogarantizaquelostiposdedatosseasocienconsuspropietarios?[Polticasde seguridadmultinivel?]Elsistemadegestindeaccesotraduceadecuadamentela autorizacindeparesdeclasificacin(clearanceofclassificationpairs)delasTICtradicionales? Elproveedorofreceseparacinderegistrosporusuariocliente? Cmoofrecertransparenciaenacuerdosdesubcontratacinqueestablezcanyquetengan unefectomaterialenunacuerdodeniveldeserviciodelasadministracionespblicascon usted? Cmofacilitarlacoherenciadelapolticaconlainteroperacindeservicios?

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

79

Cmosegarantizarlainterconexinentrelossistemasylosserviciosheredadosyla infraestructuradenube? Qumedidasdeseguridadycontroldeaccesoadmiteelsistemaheredado? Quincumplimientospodranproducirseenlainterconexin? Cmocompruebaelprocesodecontratacindehardware(especialmenteparaoperaciones sensiblesdelasadministracionespblicas)?

B. Prestacindeservicios Quniveldedisponibilidadpuedegarantizar? Quniveldedisponibilidaddelosdistintoscomponentesexisteenlasolucinycmoafectan aladisponibilidaddelservicio? Qumecanismosexistenparagarantizarlacoherenciadelosdatos? Qumedidastomaparagarantizarqueborracompletamentelosdatos? Qumedidasdefensivasprofundasadmiteparaprotegersecontraamenazasy vulnerabilidadesdesconocidas? Quprocesoutilizaparamitigaralteracionesporaplicarcambiosenlaconfiguracinyenel software? Qucambiosdesoftwareyconfiguracindeprocesosdegestinrealiza? Cmogarantizaquesuinfraestructuraysoftwareestnlibresdevulnerabilidadesconocidas? Culessupolticayprocesodenotificacindeactualizacionesenelsoftwaredela plataformaquerequierenlaadaptacindeaplicacionesdesoftwaredelcliente? Lascategorasdecambiosestnclaramentedefinidas? Solicitelanotificacincontinuadecategorasdecambiopararealizarunaevaluacinyanlisis deriesgosconlafrecuencianecesaria.

C. Respuestayrecuperacin Conqurapidezpuederestaurarseelserviciotrasunainterrupcin? Cmoserecuperadeunfallopermanentedelproveedordeserviciosenlanube? Haprobadosuplandecontinuidaddelnegocioyrecuperacinantedesastres(BC/DR)? Sisurgeunincidente,culeslapolticaparanotificarloeinformardelmismo?

D. Cumplimientolegalynormativo Puedegarantizarelcumplimientoderequisitosenlazonageogrficadelosdatos? Siserecibeunacitacinjudicialdeobtencindedatosqueentraenconflictoconla jurisdiccinlocal,culessonlosmediosparaapelar?

80

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Diligenciadebidareguladora.Porejemplo:sehacenalgunassimulacionesparaverificarel cumplimiento? Puedegarantizarelaccesoaregistrosparademostrarquinhaaccedidoaqudatosy cundo? Cmogarantizalaintegridadyelnorepudioderegistros? Lostrminospropuestosdeservicioexpresanclaramentequinesresponsabledequpartes delapolticadeseguridadyenqucasos? Cmoseaplicaelprincipioderendicindecuentas(accountability)? Supongaqueexisteunaclusuladeproteccindedatoscomercialesenlalegislacindeun EstadomiembrodelaUEsobrelaproteccindedatosdeciudadanos.Debidoaunincidente conunciudadanoextranjero,seabreunainvestigacin.Lasautoridadesdelotropastendrn accesoalosdatos? Cmocontroloelcumplimientodelcontrato?Cmosemideelcontrolentiemporealdel cumplimientodelacuerdodeniveldeservicios(comoporejemplo,jitter,toleranciadecarga, entrega?

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

81

Conclusionesyrecomendaciones
Apartirdelanlisisdelospuntosfuertes,puntosdbiles,oportunidadesyamenazassobrela seguridadyresistenciadelostresmodelosdenube(comunitaria,privadaypblica)realizadopor ENISAconlaayudadelgrupodeexpertos,sellegalassiguientesconclusiones: Elmodelocomercialdecomputacindelanube,porunaparte,puedeofreceralas administracionespblicasnumerososbeneficiosymejorasencomparacinconlaprovisindeTI actual,como: o Msdisponibilidadyfiabilidad,yaquelaagrupacinderecursossimplificaelmanejoy elenmascaramientodefallosdehardwareydeprdidaderendimientodebidoapicos dedemanda. Msseguridad,yaquemuchosproveedoresdeserviciosenlanubetienenmsy mejorconocimientoespecializado,gestinycontroldelaseguridadqueempresasy organismosgubernamentales. Msvalor,yaqueelmodelodenubeofreceeconomasdeescalayserviciosdenube quepuedencambiarsefcilmentecomorespuestaalasnecesidadescambiantesdelos organismosgubernamentalesencuantoaTI.

Porotraparte,siguemostrandodebilidadesyexposicinaamenazassignificativasquepodran socavartodalaexplotacindelosbeneficiosquepodraofrecerdichomodelo.Lasdebilidadesy amenazasestnvinculadasprincipalmenteconlafaltadegobernanzaycontrolsobreoperaciones deTIyelposibleincumplimientodeleyesynormativas.Lasleyesynormativasnacionalesdelos EstadosmiembrosdelaUninEuropeaimponenactualmenteciertasrestriccionesalmovimiento dedatosfueradelterritorionacional;adems,existeunproblemaparadeterminarlalegislacin aplicable(leyesreguladoras)cuandosealmacenanyprocesandatosfueradelaUninEuropeao porunproveedordeserviciosquenoesdelaUE.Lascuestionesprincipalesquedebeabordar cadaorganizacinpblicay,msengeneral,cadaadministracinpblicacentraldelaUEson: o Silosactualesmarcoslegalespuedencambiarseparafacilitarlacomunicacin,el tratamientoyelalmacenamientodedatosfueradelterritorionacionalsinexponerla seguridadyprivacidaddeciudadanosylaeconomayseguridadnacionalariesgos inaceptables. Enesecaso,simoverlosdatosdelosciudadanosfueradelterritorionacionalesun riesgoquesepuedeasumir.

82

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Silasolucindecompromisoentrelosriesgosdeperdercontrolsobrelosdatosylos efectosbeneficiososdeladistribucingeogrficaespositivaparaellos.

Estasconsideracionesseaplicanengeneralatodoslosmodelosdeimplementacindenube(es decir,pblica,privada,comunitariaehbrida),peroelimpactodelasdebilidadesyamenazasvara segnelentornointernoyexternoconcretodelasorganizacionespblicasenlosdistintosEstados miembrosysegnelmodelodeimplementacinyprestacinconsiderado.Entrminosjurdicosy degobernanzadedatos,lasnubespblicas,sinduda,representanlasolucinmsarriesgadaen comparacinconnubescomunitariasyprivadas,porlossiguientesmotivos: o Lospropietariosdenubes(proveedoresdenubespblicas)yusuarios(organismos pblicos)tienendistintasmisioneseintereses,queavecespuedenentrarenconflicto. EmpresasquenosondelaUEpuedenserpropietariasdenubespblicas. Losproveedoresdenubespblicasofrecenmenostransparenciasobresusmedidasde seguridadyresistenciaencomparacinconotrasopcionesdenubesoTIinterna. Losproveedoresdenubesnoestnobligadosainformardeincidenciasdeseguridady resistencia.Aunquelosusuariospuedenidentificarlasincidenciasquetenganenla disponibilidaddelservicio,noresultafcilidentificarincumplimientosdeintegridad, confidencialidadyproteccindedatosysuimpacto.Encuantoalasnubesprivadasy comunitarias,damosporsentadoqueelpropietariodeunanubeprivadaylos miembrosdeunanubecomunitariatendrnunaactitudmstransparentealahorade informardeincidenciasaciudadanosousuariosyque,enelcasodeunanubeque operauntercero,elcontratopuedeincluirunaclusulaqueobligueanotificar incidencias.

o o

Laconectividaddeinternetesunabasefundamentaldelmodelodenube;sinconectividad, obviamente,noesposibleaccederalosserviciosennube.Lacalidadyelrendimientodelos serviciosdecomunicacin(capacidad,latencia,etc.)muchasvecesnosonhomogneosenla UninEuropeayanexistenzonas(especialmenterurales)envariosEstadosmiembrosdondela calidaddelservicioesbastantedeficiente. Lafaltadegobernanzaycontrol,comosehamencionadoenelpunto2deesteapartado,parece serunadebilidadinherentealmodelodenube(especialmenterespectoalasnubespblicasyel SaaS),aunque,comoyamencionvariasvecesENISA(porejemplo,enelinformede2009),la situacinpuedemejorarseconsiguiendotransparenciaenelmercadoynegociandotrminosy condicionesapropiadosenloscontratos.Hayquesealarqueelprincipiodetransparencia(es decir,transparenciaparalosinteresados)tambinsemencionaenelborradordelacomunicacin delaComisinEuropea"AcomprehensiveapproachonpersonaldataprotectionintheEuropean Union"("UnaenfoqueglobaldelaproteccindelosdatospersonalesenlaUninEuropea")(19),

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

83

ascomoenelrecientediscursodelaComisariaNatalieKroessobrelacomputacinenlanubeyla proteccindedatos(25). Alalcanzarunniveladecuadodetransparenciaentrminosdeseguridadyrequisitosde resistenciaparaorganismospblicosyentrminosdecontrolesyprcticasdeseguridadaplicados porlosproveedoresdelanubeodeservicios,esposiblecombinarlosrequisitosdeseguridaddel clienteconlosnivelesdeseguridaddeservicioqueseofrecen.LarecientepublicacindelNIST "ProposedSecurityAssessmentandAuthorizationforU.S.GovernmentCloudComputing"(26)yel proyectoCAMM(CommonAssuranceMaturityModel),enelqueparticipadirectamenteENISA, sonexplcitamenterelevantesaqu. Paralasaplicacionessensibles,lasnubesprivadasycomunitariasparecenserlassolucionesque mejorencajanactualmenteenlasnecesidadesdelasadministracionespblicas,yaqueofrecenun mayorniveldegobernanza,controlyvisibilidad,aunque,alplanificarunanubecomunitariao privada,debeprestarseespecialatencinalaescaladelainfraestructura,yaquenose conseguirnlosbeneficiosderesistenciayseguridaddelmodelodenubesinosealcanzalamasa crticanecesariadeinfraestructuras. Laopcindenubepblicayapuedeproporcionarunserviciomuyfiableconunnivelsatisfactorio asociadodegarantadedatos,siendolamsrentable.Adems,lanubepblicapuedeofrecerel mayorniveldedisponibilidaddelservicio,perodebidoalacomplejidadnormativaactualde transferenciadedatostransfronteriza,dentroyfueradelaUE,suadopcindebelimitarsea aplicacionesnosensiblesonocrticasyenelcontextodeunaestrategiadefinidaparalaadopcin delanube,quedebeincluirunaclaraestrategiadesalida.Almismotiempo,variasiniciativas emergentes,comolaCSAGuidance(DirectricesdelaCSA)yotrasdosiniciativasdelaCSA,Control MatrixyConsensusAssesment,ascomolalabordelconsorcioCommonAssuranceMaturityModel (CAMM)(2),estnimpulsandoelcriteriodereferenciaencuantoaofrecerunatransparenciay garantaquepermitanusarelmodelodelanubepblicaenaplicacionesmssensibles. Independientementedelmodelodeimplementacinelegido,esevidentequesolopuede conseguirseymantenerseunnivelsatisfactoriodeseguridadyresistenciadelserviciosi: o Seidentificanclaramentelosrequisitosdelservicio. o Sedefineclaramenteunnivelaceptabledeservicio. o Sesupervisacontinuamenteelcumplimientodeparmetrosdeseguridady resistencia. o Existecoordinacinentrelasupervisin,lagestindeincidentesylosprocesosde gestindecontinuidaddelnegocio.

7.1 Recomendacionesagobiernos,administracionesy organismospblicos


1. Serecomiendaalasadministracionespblicasadoptarunenfoqueescalonado,conla capacidaddedarmarchaatrsencadaetapa,dadoquelacomplejidaddelentornodenube

84

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

introducevariablesdesconocidasquepodransermuydifcilesdegestionar.Losgestores pblicosdecualquierniveldebenconsiderarlainterconexinylasinterdependenciasdel sistema(lamayoradelascualespuedenserdesconocidas),especialmentealtrasladar simultneamentevariosserviciosaunsistemadenube.Losgestorespblicosdeberntener encuentaestacuestinenelcontextoactual,enelqueelentornocambiadeformadinmica, ynuestrosconocimientossobrelavulnerabilidadylosmecanismosdeataque,ascomola complejidaddeloscontrolesrelacionados,sonincompletos.Losgestorespblicosnodebern darporsentadoquelaimplementacinconxitodeunaaplicacinenunentornodelanube supone,deformaautomtica,unindiciopositivoqueaconsejellevaracabomuchasotras implementaciones,sinoquedebernexaminarsedeformadetenidaeindividuallosrequisitos deseguridadyresistenciadecadaaplicacinycompararseconlasarquitecturasdelanubey loscontrolesdeseguridadyadisponibles. 2. Lasadministracionespblicasnacionalesdebenelaborarunaestrategiasobrecomputacinen lanubequetengaencuentalasimplicacionesencuantoalaseguridadylaresistenciaque tendrndichosmodelosdesuministrodeserviciosenelcontextodesuseconomasnacionales yserviciosparalosciudadanosenlosprximos10aos.Quieneslosadoptenenprimerlugar encadaEstadomiembropodrnpercibirsecomoposiblesbancosdepruebas,aunqueser esencialcontar,almenosenelmbitonacional,conunplanteamientocoherentey armonizadorespectoalacomputacinenlanubeconelfindeevitar:1)laproliferacinde plataformasyformatosdedatosincompatibles(ausenciadeinteroperabilidaddeservicios),2) unplanteamientoincoherenterespectoalaseguridadylaresistencia,incluidoun planteamientoincoherenteeineficazrespectoalagestinderiesgosy3)laausenciademasa crtica. 3. Recomendamosalasadministracionespblicasqueestudienelpapelquedesempearla computacinenlanubeenelcontextodelaproteccindelasinfraestructurasdela informacincrtica.Noresultadescabelladopensarquelacomputacinenlanube,entodas susposiblesimplementaciones,prestarservicio,enunfuturocercano,aunaparte significativadeciudadanos,pequeasymedianasempresasyadministracionespblicasdela UninEuropeay,portanto,lasinfraestructurasenlanubedesdelasqueseprestandichos serviciosdeberndisponerdeproteccin.Enotraspalabras,lasestrategiasnacionalesde computacinenlanubedeberndirigirseacomprenderyabordar,entreotrascuestiones,los efectosdelainteroperabilidadeinterdependenciasdelasnubesnacionalesysupranacionales, ascomoaevaluarelimpactodeposiblesfallosencascada,valorarlaoportunidadde introducirunplandeinformesdeincidenciasparaproveedoresdelanubesimilaralqueyase adoptenelsectordetelecomunicaciones(enconcreto,nosreferimosalmecanismode generacindeinformesqueintroducenlosartculos4y13delarecientementeadoptada Directiva2009/140/CE 20 )yprepararseparaposiblesgestionesdecrisisencasodeproducirse incidentesagranescaladeestandole.

20

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0037:0069:EN:PDF

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

85

4. RecomendamosalasadministracionespblicasnacionalesyalasinstitucionesdelaUnin Europeaquecontineninvestigandoelconceptodeunanubegubernamentaleuropeacomo unespaciovirtualsupranacionalenelquepuedaaplicarseunconjuntodenormascoherentey armonizado,tantoentrminosdelegislacincomodemedidasdeseguridad,endonde puedanpromoverselainteroperabilidadylaestandarizacin.Adems,unainfraestructurade laUninEuropeadeestaamplitudpodraemplearseenelcontextodeunplandeayuday asistenciamutuaspaneuropeoparacasosdeemergencias.

Msconcretamente,silosorganismospblicosdecidenfinalmentepasarsealacomputacinenla nube,deben: Teniendoencuentalaestrategianacional,definirsusrequisitos(posiblementeutilizando comoayudalossugeridosenesteinforme)paraidentificarqusolucindenubeseadaptaa susnecesidades.Losgestorespblicosdeberntenerencuentatambinlosfactoreshumanos (talescomolaconcienciacinsobrelaseguridadylaresistencia,olaresistenciaalosnuevos modelosdemedidasdeseguridad)ylosmarcosnormativos. Paraunabuenagobernanza,establecerunprocesodegestindeseguridaddelainformacin, queincluyagestinderiesgos,unapolticaparalaresistenciayseguridaddelainformacin, gestindeactivos(fsicosydeinformacin),etc.,basndoseenlasbuenasprcticas disponibles. Losgestorespblicosdebencentrarseenuncatlogodeserviciosgeneralesyunaclasificacin deactivosfsicosydeinformacin;paracadaservicioyactivodebenespecificarselos requisitosapropiadosderesistenciayseguridad.Sabemosquelamayoradelasgrandes institucionesnopodrncompletardichatareaenuntiemporazonable,yaquesomos conscientesdequeenciertoscasosannotienenunaimagencompletadesusactivos.Una alternativaviable,enelcontextodelenfoqueescalonadohacialacomputacinenlanube, seraempezarconladefinicindecategorasmacrodeactivosyservicios(porejemplo,no sensiblesynocrticos,desensibilidadycriticidadmedia,etc.)yelaborarunaclasificacin detalladadeactivossegnlalgicasencilladequeelprimerservicioenmigraralanubedebe serelprimeroenclasificarse(antesdelamigracin). Definirnivelesaceptablesdeservicio(unareferencia,porejemplo,disponibilidad)parasus requisitos.Utilizarnlasreferenciasparamedirelrendimientodesusservicios. Identificarelconjuntodecontrolesysugradodeespecificidadparaalcanzarunnivelmnimo aceptabledegarantadedatosyresistenciadeservicios. Asegurarsedequetodoslosrequisitosesencialesdeseguridad,resistenciayjurdicosestn detalladosensusrequisitosdeniveldeserviciosyespecificadosensusacuerdosdenivelde servicio.stosdebenredactarsealplanificarunamigracindeservicio.Porejemplo,los

86

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

acuerdosdeniveldeserviciodebenincluirelderechodeauditar(oalmenoselaccesoaun informedeauditoraindependiente),losmediospararecuperardatosyaplicaciones(esdecir, evitarelbloqueo)ydetallarelniveldesupervisinyelaboracindeinformes,etc. Establecerunmarcodemedida(incluyendoindicadoresprincipalesdeobjetivosy rendimiento)paraevaluarcontinuamentesisecumplelosiguiente: o o o Objetivo(s)deniveldeservicio. Niveldepreparacinycapacidaddeprevencinencasodeincidenciascomofallosy ataquesmaliciosos. Eficienciayefectividaddelafasedereaccinyrecuperacintrasuneventoperjudicial.

Tenerencuentalasnormativasrelevantesnacionaleseinternacionalesqueseaplicana terceros(porejemplo,directivasdefirmadigitalelectrnica,garantasdetercerosISO)para garantizarlaresistenciadelascomunicacionesentretodaslaspartesimplicadasenel suministrodelservicio(administracionespblicas,ciudadanos,proveedoresdeservicios, gruposcomerciales,ascomolossistemas).Debengarantizarselaautenticidaddelas identidadesdelaspartesysuautorizacinpararealizarunaaccin,elmomentoeneltiempo (esdecir,sellodefechayhora)ylaubicacin. Aplicar,enlosprocesosdecontroldeidentidadesyacceso,losprincipiosdenecesidadde saber,mnimoprivilegioyseparacindefunciones. Tenerherramientas,metodologasyestructurasdegobernanzapara,p.ej.,garantizarla diligenciadebida. Comprobarlaestabilidadfinancieraysolvenciadelossocioscomerciales,incluidaslaslneas relevantesdenegociosparaevitarinterrupcionesinesperadasdelosserviciosoelbloqueo. Garantizarquesemantenganconexionesdetelecomunicaciones,dependenciascrticas(por ejemplo,electricidad),potenciadeprocesamientoycapacidaddealmacenamientodeforma satisfactoria. Comprobarlaprioridaddereanudacindecomunicacionesdetercerosyserviciosdenubeen casodeinterrupciones. Probarelplandecontinuidaddelnegocioalolargodetodalacadenadesuministrode servicios. Paraaplicacionesmuycrticas,planificarantelaposibleindisponibilidaddelserviciodenube. DebehaberunmecanismoparapermitirelaccesoaserviciosdeTIinclusocuandonoest disponiblelaconexinala(s)nube(s).

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

87

Porltimo,losproveedoresdelanubeylosproveedoresdeserviciosindependientesdebern considerarlasrecomendacionesqueseincluyenenesteinformecomoposiblefuentedeinformacin alahoradealinearsusofertascomercialesypropuestasdevaloresconlasnecesidadesyrequisitosde losusuarios.

Glosario
AAC AC Activo ANS AP API(ensusiglaeningls) Aplic. ARP(ensusiglaeningls) ASL Ataqueporcanallateral Autenticacin,autorizacinycontabilidad. Autoridaddecertificacin. Elobjetodelaproteccinenunanlisisdeseguridad. Acuerdodeniveldeservicio. Autoridadpblica. Interfazdeprogramacindeaplicaciones:especificacindeun interfazpublicadoporunproveedordesoftware. Enesteinformeseutilizacomoabreviaturadeaplicaciones. Protocoloderesolucindedirecciones.(2) Autoridadsanitarialocal. Cualquierataquebasadoeninformacinobtenidaapartirdela implementacinfsicadeunsistema.Porejemplo,lainformacin detiempo,elconsumodeenerga,fugaselectromagnticaso inclusoelsonidopuedenproporcionarunafuenteadicionalde informacinquepuedeseraprovechadapararomperelsistema. BritishStandard. Bundesdatenschutzgesetz.(LeydeProteccindeDatosalemana) Criterioscomunes. Directorejecutivo. DirectordeSeguridaddelaInformacin. Enestecontexto,ordendeunaautoridadlegalparaconfiscar pruebas. CommonAssuranceMaturityModel. Garantizaquelainformacinestaccesiblenicamenteal personalautorizadoaaccederadichainformacin(ISO17799). Usocompartidodelosrecursosdehardwareosoftwareporlos clientesdelosserviciosdelanube. Unidaddeprocesamientocentral. Listadecertificadosrevocados. Gestindelarelacinconlosclientes. DirectordeSeguridad. DirectordeTecnologa. Directorioactivo. Debilidades,amenazas,fortalezasyoportunidades. Ataquedistribuidodedenegacindeservicio. Elprocesodeaplicarlaretiradadelusodeunrecurso,ode

BS BSDG CC CEO(ensusiglaeningls) CISO(ensusiglaeningls) Citacinjudicial Confidencialidad Coresidencia CPU(ensusiglaeningls) CRL(ensusiglaeningls) CRM(ensusiglaeningls) CSO(ensusiglaeningls) CTO(ensusiglaeningls) DA DAFO DDoS(ensusiglaeningls) Desprovisin

88

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Disponibilidad DNIe DPD EDoS(ensusiglaeningls) EEE Encargadodeltratamientode datos(dataprocessor) Escrow

Fiabilidad FIM(ensusiglaeningls) Resistencia

Hipervisor

HSM(ensusiglaeningls) Https IaaS(ensusiglaeningls) IDS(ensusiglaeningls) Informacinclasificada

Integridad

Interesado

IP(ensusiglaeningls) IPS(ensusiglaeningls) ISO(ensusiglaeningls) ISV(ensusiglaeningls)

desautorizarsuusoporungrupodeusuarios. Laproporcindetiempodurantelaqueunsistemapuederealizar sufuncin. DocumentoNacionaldeIdentidadElectrnico. DirectivasobreProteccindeDatos. Denegacineconmicadesustentabilidad. EspacioEconmicoEuropeo. Personafsicaojurdica,autoridadpblica,agenciauotro organismoqueprocesalosdatospersonalesennombredel responsabledeltratamientodelosdatos. Elalmacenamientodeunrecursoporunterceroquetieneacceso adichorecursocuandosesatisfacenunaseriedecondiciones biendefinidas. Medidadelaconformidadconlaqueuncomponenteinformtico funcionadeacuerdoasusespecificaciones. Gestindeidentidadesfederadas. Lacapacidaddeunsistemadeofrecerymantenerunnivel aceptabledeservicioenelsupuestodequeseproduzcaunfallo (involuntario,intencionadouoriginadodeformanatural). Plataformadevirtualizacindelsoftwareohardwaredelequipo quepermiteutilizar,almismotiempo,diferentessistemas operativosenunmismoequipoanfitrin. MdulodeSeguridadHardware. ConexinHttpmedianteTLSoSSL. Infraestructuracomoservicio(arquitecturadelanube). Sistemadetectordeintrusos. Informacincatalogadacomoconfidencialporelsistemade clasificacindeunaadministracinpblicaoempresa.Unsistema declasificacintpicoincluyevariosniveles:sinclasificar, restringida,confidencial,secretaoaltamenteconfidencial.La informacinclasificadacorrespondetpicamentealnivelde informacin"restringida"oaunnivelsuperior. Lapropiedaddequelainformacinnohasidomodificada maliciosaoaccidentalmenteduranteelalmacenamientoo transmisin. Personafsicaidentificadaoidentificable(vaselaDirectivadela UE95/46/CE)delaqueserecopilanlosdatosy/odelaquese procesanlosdatos. ProtocolodeInternet. Sistemadeproteccinanteintrusiones. InternationalOrganizationforStandardization(Organizacin InternacionaldeNormalizacin). Proveedoresindependientesdesoftware.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

89

ITIL(ensusiglaeningls)

Jitter

LAN(ensusiglaeningls) Latencia LDAP(ensusiglaeningls) Linkability

LMS(ensusiglaeningls) MAC(2)(ensusiglaeningls) MAC(ensusiglaeningls) MITM(ensusiglaeningls) Motordelservicio MSS(ensusiglaeningls) MV NIS(ensusiglaeningls) NIST(ensusiglaeningls) Norepudio

NRA(ensusiglaeningls) Objetivodeseguridad

OCSP(ensusiglaeningls) OTP(ensusiglaeningls) OVF(ensusiglaeningls) PAE Perfildeproteccin

Perimetrizacin PN Portscan

LaBibliotecadeInfraestructuradeTecnologasdeInformacin (ITIL)esunconjuntodeconceptosyprcticasparalagestinde losserviciosdelatecnologadelainformacin(ITSM)yel desarrolloylasoperacionesdelatecnologadelainformacin. Lavariacineneltiempoenlallegadadelospaquetes,causada porcongestindered,prdidadesincronizacinoporlas diferentesrutasseguidas. Redderealocal. Eseltiemponecesarioparaqueunpaquetedeinformacinse transfieradeunlugaraotro. ProtocoloLigerodeAccesoaDirectorios. Lalinkabilitydescribelaprobabilidaddequeunconjunto determinadodeinformacinpermitaestablecerunaidentidad entredosomsseudnimos. Sistemadegestindepermisosdetrabajo. MandatoryAccessControl. MediaAccessControl(direccindeunnododeredenIP). ManintheMiddle(ointermediario,unaformadeataque). Elsistemaresponsabledeofrecerserviciosdenube. Serviciodeseguridadgestionada. Mquinavirtual. SeguridadderedydelaInformacin. NationalInstituteofStandardsandTechnology(EstadosUnidos). Lapruebamediantelacualunaparteenunacontroversiano puederepudiarorechazarlavalidezdeunadeclaracino contrato. Autoridadreguladoranacional(paratelecomunicaciones). Documentoenelqueseespecificanloscriteriosdeevaluacinde seguridadparacorroborarlodeclaradoporunfabricanterespecto alaspropiedadesdeunproducto(trminoutilizadoenCriterios comunes). Protocolodelestadodelcertificadoenlnea. Contraseadeunsolouso(tipodeautenticacin). Formatodevirtualizacinabierto. Procedimientoadministrativoelectrnico. Documentoenelqueseespecificanloscriteriosdeevaluacinde seguridadparacorroborarlodeclaradoporunfabricanterespecto aunafamiliadeproductosdesistemasdeinformacin(trmino utilizadoenCriterioscomunes). Controldeaccesoaunactivoogrupodeactivos. Proveedordelanube. Deteccindeloshostdelaredactivosparaverqupuertosestn abiertosyquserviciosofrecen.

90

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Cantidaddedatosquesontransmitidosenunadireccinatravs deunenlacedivididoentreeltiempoquesetardaen transferirlos,generalmenteexpresadoenbitsobytespor segundo. Provisin Proporcionarunrecurso. PSN Proveedordelosserviciosdelanube. PVLAN VLANprivada. QoS(ensusiglaeningls) Calidaddeservicio. RBAC(ensusiglaeningls) Controldeaccesobasadoenroles. Redperimetral Enestecontexto,unareddeequiposquepermiteprocesary almacenardatosqueentregarcercadesudestinofinal. Responsabledeltratamientode Personafsicaojurdica,autoridadpblica,agenciauotro datos(datacontroller) organismoquedeformaindependienteoconjuntaconotros, determinaelobjetoylosmediosmediantelosqueseprocesanlos datospersonales;dondeelobjetoylosmediosdelprocesamiento sedeterminenmedianteleyesonormativasnacionaleso comunitarias,elresponsabledeltratamientooelcriterio especficoparaestanominacinpuedeserdesignadoporlasleyes nacionalesocomunitarias. ROI(ensusiglaeningls) Retornodelainversin. ROSI(ensusiglaeningls) Retornodelainversinenseguridadinformtica. RPO(ensusiglaeningls) Objetivodepuntoderecuperacin. RTO(ensusiglaeningls) Objetivodetiempoderecuperacin. RTSM(ensusiglaeningls) Controldeseguridadentiemporeal. SaaS(ensusiglaeningls) Softwarecomoservicio(arquitecturadelanube). Sistemaoperativoanfitrin Elsistemaoperativodelproveedordelanube,queopera (HostSO) mltiplessistemasoperativosinvitados. Sistemaoperativoinvitado Sistemaoperativobajocontroldelclientedelanube,queopera (GuestOS) unentornovirtualizado. SO Sistemaoperativo. SSL(ensusiglaeningls) ProtocolodeCapadeConexinSegura(usadoparacifrareltrfico entrelosservidoresdelawebylosnavegadores). SVA Serviciosdevaloraadido. TDU Trminosdeuso. TFUE TratadodefuncionamientodelaUninEuropea. TLS(ensusiglaeningls) SeguridaddelaCapadeTransporte(utilizadoparacifrareltrfico entrelosservidoresdelawebylosnavegadores). Tolerancia Lacapacidaddeunsistemaderesponderadecuadamenteaun falloinesperadodehardwareosoftware. UPS(ensusiglaeningls) Sistemadealimentacinininterrumpida. VLAN(ensusiglaeningls) ReddereaLocalVirtual. VPC(ensusiglaeningls) Nubeprivadavirtual. VPN(ensusiglaeningls) Redprivadavirtual.

Produccin(Throughput)

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

91

Vulnerabilidad

WAN(ensusiglaeningls) XML(ensusiglaeningls)

Cualquiercircunstanciaoeventoconpotencialdetenerun impactonegativosobreunactivoatravsdeunaccesono autorizado,destruccin,revelacin,modificacindeinformacin, y/odenegacindeservicio. Reddereaamplia. Lenguajeextensibledemarcado.

92

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Referencias
1.ComisinEuropea.[Enlnea]2010. http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1602&amp;format=HTML&amp;age d=0&amp;language=EN&amp;guiLanguage=fr. 2.CAMMCommonAssuranceMaturityModel.[Enlnea]http://commonassurance.com/. 3.DiarioOficialdelaUninEuropea.[Enlnea]2010.http://eur lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0037:0069:EN:PDF. 4.IDA.[Enlnea] https://www.ida.gov.sg/News%20and%20Events/20050907165443.aspx?getPagetype=21. 5.Etro,Federico.[Enlnea]2009.http://www.intertic.org/Policy%20Papers/RBE.pdf. 6.ComisinEuropea.[Enlnea]2010. http://europa.eu/press_room/pdf/complet_en_barroso___007__europe_2020__en_version.pdf. 7.Declaracinministerialsobrelaadministracinelectrnica(Malm,Suecia).[Enlnea]2009. http://www.tecnimap.es/userfiles/ministerialdeclarationonegovernment.pdf. 8.ComisinEuropea.[Enlnea]2010.http://eur lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:52010DC0245%2801%29:EN:NOT. 9.ENISA.[Enlnea]20072010.http://www.enisa.europa.eu/act/res/technologies/tech/tech. 10.TheTelegraph.[Enlnea]2010.http://www.telegraph.co.uk/technology/news/8186376/Cloud computingcouldsaveEUeconomies645bnovernextfiveyears.html. 11.O'Reilly.Enlnea]2010.http://radar.oreilly.com/2010/06/randilevinoncostsavingthr.html. 12.Wikipedia.[Enlnea]http://en.wikipedia.org/wiki/Information_security. 13.OfficeofGovernmentCommerce.ITILServiceOperation.2007. 14.InstitutodeIngenierosElctricosyElectrnicos(IEEE).[Enlnea] http://www.ieee.org/education_careers/education/standards/standards_glossary.html. 15.ENISA.[Enlnea]2009.http://www.enisa.europa.eu/act/rm/files/deliverables/cloudcomputing riskassessment.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

93

16.GrupodeTrabajosobreProteccindeDatosestablecidoenvirtuddelArtculo29.[Enlnea] 2010.http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf. 17.ConsejodeEuropa.[Enlnea]2010. http://www.coe.int/t/dghl/cooperation/economiccrime/cybercrime/Documents/Reports Presentations/2079_reps_IF10_yvespoullet1b.pdf. 18.Paolo,Balboni.[Enlnea]2010.http://commonassurance.com/wp content/uploads/P_Balboni_SecurityandPrivacy. 19.ComisinEuropea.[Enlnea]2010. http://ec.europa.eu/justice/news/consulting_public/0006/com_2010_609_en.pdf. 20.NIST.[Enlnea]http://csrc.nist.gov/groups/SNS/cloudcomputing/. 21.ComisinEuropea.[Enlnea]2010.http://cordis.europa.eu/fp7/ict/ssai/docs/cloudreport final.pdf. 22.ISO.[Enlnea]2005. 23.HIMSS.[Enlnea]http://www.himss.org/content/files/EHRAttributes.pdf. 24.Wikipedia.[Enlnea]http://en.wikipedia.org/wiki/Human_resource_management_system. 25.Kroes,Neelie.[Enlnea]2010. http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/10/686&format=HTML&aged=0&l anguage=EN&guiLanguage=en. 26.NIST.[Enlnea]2010.http://www.cio.gov/pagesnonnews.cfm/page/FederalRiskand AuthorizationManagementProgramFedRAMP. 27.ENISA.http://www.enisa.europa.eu/act/rm/files/deliverables/cloudcomputingriskassessment. [Enlnea]2009.http://www.enisa.europa.eu/act/rm/files/deliverables/cloudcomputingrisk assessment. 28.ComisinEuropea.[Enlnea]2010. http://europa.eu/rapid/pressReleasesAction.do?reference=IP/10/1602&amp;format=HTML&amp;age d=0&amp;language=EN&amp;guiLanguage=fr.

94

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

AnexoIAnlisisjurdico Metodologa
Enlosanlisisjurdicosutilizamoslasiguientemetodologa. PASO1:Enprimerlugar,nuestroprincipalobjetivoesresponderaestasseiscuestiones fundamentales: Quservicios("Servicios")identificadosenlasituacinhipotticaestconsiderandomigrara lanubelaautoridadpblica(AP)/gobierno? ExistealgunaleyonormativaespecficaqueseadeaplicacinalosServiciosyculessonlas obligacionesoresponsabilidadesquecorrespondenalaAP/gobierno(p.ej.,retencindelos datos,proteccindelosdatos,interoperabilidad,gestindelosexpedientesmdicos, revelacinalasautoridades,etc.)? CuleslanaturalezadelosdatosoinformacinqueseprocesaraconestosServicios? Qudisposicioneslegalesenparticularsondeaplicacinaltipodedatosoinformacinque seprocesaryculessonlasobligacionesoresponsabilidadesquecorrespondenala AP/gobierno(p.ej.,proteccindelosdatos,propiedadintelectual,confidencialidad, seguridad,etc.)? Cmoeselflujodelosdatosoinformacin(interno 21 yexterno 22 )duranteelfuncionamiento deestosServicios? Qusujetos(personasfsicasy/ojurdicas)participanenelfuncionamientodelosServiciosy culessonsusroles(responsabilidades,deberes,obligacionesycompromisos)?

Estaspreguntasserespondernrespectoacadasituacinparticulartratada. TendremosencuentaprincipalmentelalegislacindelaUE.Cuandolalegislacinonormativa pertinentenohayasidoarmonizadaaniveleuropeo,especificaremoslosaspectoscorrespondientesy ofreceremosalgunosejemplosdelasleyesenvigorenlosEstadosMiembros. PASO2:Unavezquesehayanrespondidoestascuestiones,podremos: Confeccionarunalistadeleyesynormativasqueseandeaplicacin,ascomodelas obligacionesyresponsabilidadespertinentesdelaadministracinpblica/gobierno. Identificarlascuestioneslegalesylosriesgoslegalesasociados.

PASO3:Posteriormente,analizaremoselimpactoquetienenlascuestioneslegalesylosriesgoslegales asociadosenlamigracindelosServiciosalanubeporlaAP/gobierno(y,deforma msgeneral,portodaslaspartesimplicadas).Msespecficamente,identificaremos


21 22

Dentro de la AP/gobierno De una AP/gobierno a otra AP/gobierno y/o de la AP/gobierno a los ciudadanos

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

95

losprosyloscontras,ascomolosbeneficiosylosriesgosdemigrarlosServiciosala nube.Respectoalosriesgos,propondremoslaformadetratarlos.Conelfinde mejorarlamigracindelosServiciosalanube,finalizaremosofreciendounaseriede recomendacionessobrelassolucionesy/oformasdehacerparalasautoridades competentes.

Principalescuestionesnormativas
Vaseelprrafo3.3.

Nuberegionalparalasanidadelectrnica:situacinnm.1
Losserviciosrelacionadosconlasanidadelectrnicarepresentanunsectorenelquelas administracionespblicasdelosEstadosmiembrostienenquehacerfrenteaunosimportantesretos. Dehecho,porunapartedebeofrecerseunagrancalidadyunaltorendimiento,mientrasqueporotra existeunapresincadavezmayorparareducirlosgastospblicos.Enotraspalabras,esnecesario ponerenprcticaelfamosodicho:"Hagamsconmenos":Enestecontexto,laintroduccinde nuevastecnologas,nuevosmodelosyserviciosempresariales(porejemplo,identificadordepaciente nico,historiaclnicaelectrnica,archivosanitarioelectrnico,programacinenlneadecitaspara exmenesmdicos,provisinenlneaalospacientesdelosregistrosderevisinrelacionados)puede solucionarestosdesafos. Lasanidadelectrnicaesunmercadoenrpidocrecimientoparalosproveedoresdeservicios asociadosaestarea.AtravsdelPlandeAccinenSanidadElectrnica,emitidoen2004,laComisin Europeahafomentadoestecrecimiento. 23 Adems,debidoalcrecimientoenlasoportunidadesy demandasdelmercado,elreadelasanidadelectrnicahasidoseleccionadacomopartedela iniciativademercadoslderes. 24 En2008,laComisindelaUEemitiunarecomendacinsobrela interoperabilidadtransfronterizaenlossistemasdehistoriaclnicaelectrnica. 25 Estarecomendacin prevlaadopcindeunmarcolegalglobalparalainteroperabilidaddelossistemasdehistoriaclnica electrnica.Estemarcolegaldebeidentificaryabordarlanaturalezaconfidencialdelosdatos personalesrelativosalasaludyofrecergarantasespecficasyadecuadasqueamparenlosderechos fundamentalesrelativosalaproteccindelosdatospersonalesdelindividuoencuestin."Adems, animaalosEstadosMiembrosaimplementarlainteroperabilidaddelossistemasdehistoriaclnica
23

Comisin Europea, e-Health making healthcare better for European citizens: An action plan for a European eHealth Area, Comunicacin de la Comisin al Consejo, el Parlamento Europeo, el Comit Econmico y Social Europeo y el

Comit de las Regiones, COM(2004) 356 final, Bruselas, 30 de abril de 2004. Para ms informacin sobre la estrategia de la Comisin sobre sanidad electrnica, vase ICT for Health y i2010: Transforming the European healthcare landscape: Towards a strategy for ICT for Health, Oficina de Publicaciones de la Unin Europea, Luxemburgo, 2006. El objetivo final es permitir el acceso a la historia clnica electrnica y a los datos de emergencia del paciente desde cualquier lugar de Europa. Vase tambin el Grupo de Trabajo establecido en virtud del Artculo 29 (WP 131/2007) el Documento de Trabajo sobre el tratamiento de datos personales relativos a la salud en las historias clnicas electrnicas; COM (2008) 414 Propuesta de Directiva del Parlamento y del Consejo Europeo relativa a la aplicacin de los derechos de los pacientes en la asistencia sanitaria transfronteriza; COM(2008) 415 Marco Comunitario para la aplicacin de los derechos de los pacientes en la asistencia sanitaria transfronteriza. 24 Vase: <http://ec.europa.eu/information_society/activities/health/policy/lmi_ehealth/index_en.htm>. 25 Vase: <http://ec.europa.eu/information_society/newsroom/cf/itemlongdetail.cfm?item_id=4224>.

96

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

electrnicacomoparteintegraldelasestrategiasregionalesynacionalesdesanidadelectrnica".La recomendacininvitaalosEstadosMiembrosacomunicaranualmentealaComisinlasmedidas adoptadasenrelacinconlaimplementacindelainteroperabilidadtransfronterizadelossistemasde historiaclnicaelectrnica." ElmarcolegalenelqueseenmarcanlosserviciossanitariosofrecidosenEuropaesbastantecomplejo. Losnivelesdelaatencinsanitariaprimariaysecundariainteractanimponiendodeberesy obligacionesatodoslosactores:administracinpblica,autoridadessanitariaslocales,hospitales, consultasprivadas,mdicos,personaladministrativo,etc.Elmarcolegalnoestarmonizadoentodos losEstadosMiembrosdelaUninEuropea. 26 Estosedebealhechodequeelsectorsanitarioesun dominioquesiguesiendoengranmedidacompetenciadelosEstadosmiembros.Antesdela promulgacindelTratadodeLisboa(1dediciembrede2009), 27 laUninEuropea(y,previamente,la ComunidadEuropea)solotenaunpapeldeapoyoycoordinacincomplementarioenestesector (competenciacomplementariaparalela). 28 Podautilizarinstrumentoscomolasresolucionesno obligatorias(p.ej.,lasrecomendaciones)paracoordinaryfomentaraccionesespecficaseneste campo,quedandoexcluidasexplcitamentetodaslasmedidasdearmonizacin.ElTratadodeLisboa deberaabrirunanuevafaseenlaarmonizacindelaUEenestesector,clarificandoyampliandolas competenciasdelaUEenlaesferadelsectordelaatencinsanitariapblica.ElArtculo4.2(k)(dela versinconsolidada)delTratadosobreelFuncionamientodelaUninEuropea 29 clasificalos "problemasdeseguridadcomunesenlosasuntosdesaludpblica,paralosaspectosdefinidoseneste Tratado,comocompetenciascompartidasentrelosEstadosMiembrosylaUnin".Adems,de acuerdoconelArtculo6,laUEtieneunacompetenciacomplementariaparalelaparalaprotecciny mejoradelasaludhumana.Seindicanacontinuacinunaseriedeimportantesintervenciones directaseindirectasdelaUEenestecampo: Marcolegaleuropeoparalosproductossanitarios 30 ; DirectivaEuropearelativaalatransparenciadelasmedidasqueregulanlafijacindeprecios delosmedicamentosparausohumano 31 . DirectivaEuropeasobreelcomercioelectrnico 32 ,quecontribuyealfuncionamientodel mercadointernogarantizandoelmovimientolibredelosserviciosdelasociedaddela informacin,incluidoslosserviciosrelativosalasaludsanitariaentrelosEstadosMiembros.

Vase el Study on the Legal Framework for Interoperable eHealth in Europe ("Estudio sobre el Marco Legal de la Salud electrnica Interoperable en Europa") de la Comisin Europea (2009), pgs. 11 y siguientes, disponible en: <http://ec.europa.eu/information_society/activities/health/docs/studies/legal-fw-interop/ehealth-legal-fmwk-final-report.pdf>. 27 http://www.consilium.europa.eu/showPage.aspx?id=1296&lang=en 28 Vase, por ejemplo, Schutze, Co-operative federalism constitutionalised: the emergence of complementary competences in the EC legal order, European Law Review 2006, pg. 179. 29 Disponible en: <http://eur-lex.europa.eu/JOHtml.do?uri=OJ:C:2010:083:SOM:EN:HTML> 30 Disponible en: <http://ec.europa.eu/consumers/sectors/medical-devices/regulatory-framework/index_en.htm> 31 Directiva 89/105/EEC; disponible en: <http://ec.europa.eu/enterprise/sectors/healthcare/competitiveness/pricingreimbursement/transparency/index_en.htm>. 32 La directiva 2000/31/CE establece los requisitos relativos a la informacin impuestos a los proveedores de servicios en la sociedad de la informacin, las normas que rigen las comunicaciones comerciales, las normas que rigen los contratos formalizados electrnicamente y la responsabilidad de los proveedores de servicios intermediarios. Disponible en: <http://ec.europa.eu/internal_market/e-commerce/directive_en.htm>.

26

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

97

LegislacindelaUEsobreellibremovimientodeprofesionales,incluidosprofesionales sanitarios 33 . Marcoregulativoeuropeoparalaproteccindedatospersonales 34 yparalaproteccindela privacidadenlascomunicacioneselectrnicas 35 . Enjuniode2008,laComisinpublicunapropuestadedirectivasobrelosderechosdelos pacientesenlaatencinsanitariatransfronteriza 36 .Convienedestacarqueelartculo16se relacionaespecficamenteconlasanidadelectrnicayprevlaadopcinde"medidasespecficas paralograrlainteroperabilidaddelossistemasdetecnologadelainformacinylacomunicacin enelcampodelaatencinsanitaria,aplicablessiemprequelosEstadosmiembrosdecidan introducirlas.Estasmedidasreflejarnlasnovedadesqueseproduzcanenlastecnologasdela saludyenlascienciasmdicas,yrespetarnelderechofundamentalalaproteccindelosdatos personales,deconformidadconlaleyaplicable.Enparticular,especificarnlasnormasy terminologasnecesariasparalainteroperabilidaddelossistemasdetecnologadelainformacin ylacomunicacinconelfindegarantizarlaprovisindeserviciosdesaludtransfronterizos seguros,dealtacalidadyefectivos.Asimismo,debemencionarsequeelartculo14propuesto solicitaalaComisinla"adopcindemedidasquepermitanaunfarmacuticooaotro profesionaldelasaludcomprobarlaautenticidaddeunarecetaysistahasidoemitidaenotro Estadomiembroporunapersonaautorizada,paraloquesedesarrollarunaplantilladerecetas comunitariasyseapoyarlainteroperabilidaddelasrecetaselectrnicas.

Situacinhipottica
Parallevaracabounanlisisexhaustivodelascuestiones,ydadalafaltadearmonizacinenelsector delasanidadelectrnicaenlosEstadosmiembros,sehadiseadounasituacinhipotticaaescala local.Atalefecto,sehaconsideradoelhechodequediversasautoridadessanitariaslocales(ASL) italianasestncontemplandoformalizaracuerdosconjuntosconunaempresanacionalde telecomunicacionesparacrearsupropianube.Dichasautoridadesprevnmigraralanubeservicios comolahistoriaclnicaelectrnica,elarchivosanitarioelectrnico,programacinenlneadecitas paraexmenesmdicos,provisinenlneaalospacientesdelosregistrosderevisinrelacionadosy otrosserviciosdemenorimportancia,comolosserviciosadministrativos(backend),recursos humanos,nminasyaprendizajeelectrnico. Losprincipalespuntosquesedebeninvestigarsonladisponibilidaddeserviciosydatos,la autenticidaddelosdatos,laintegridad,laaplicacindeunaseguridadfiabledelainformacin,la

La directiva 2005/36/CE tiene por objeto garantizar que los Estados miembros promulguen normas uniformes, transparentes y no discriminatorias que reconozcan las cualificaciones profesionales y la experiencia para trabajar temporal o permanentemente en la Unin Europea; disponible en: <http://ec.europa.eu/internal_market/qualifications/future_en.htm>. 34 Directiva 95/46/CE - Directiva sobre la Privacidad y la Proteccin de Datos, http://ec.europa.eu/justice/policies/privacy/index_en.htm 35 Directiva 2002/58/CE - Directiva sobre la Privacidad y las Comunicaciones Electrnicas, http://eurlex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexapi!prod!CELEXnumdoc&numdoc=32002L0058&model=guichett&lg=en 36 Comisin Europea, Propuesta de Directiva del Parlamento y del Consejo Europeo relativa a la aplicacin de los derechos de los pacientes en la asistencia sanitaria transfronteriza, COM(2008)414 final, http://ec.europa.eu/health/ph_overview/co_operation/healthcare/docs/COM_en.pdf

33

98

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

resistenciadelosservicios,laproteccindedatospersonalesylaadherenciaalosrequisitoslegales (enespecialenloquerespectaalalegislacinsobreproteccindedatos). Tiposdedatosyflujodedatosentrelaspersonasimplicadas Tantolahistoriaclnicaelectrnica(HCE)comoelarchivosanitarioelectrnico(ASE)contienen informacinsobrelasaluddeunapersonarelativaaepisodiosclnicospasadosypresentes(por ejemplo,observacionesmdicas,historialdehospitalizacinycuidadosdeemergencia)conelfinde documentarelhistorialmdicodelapersonaencuestin.Losdatospersonalesseinterrelacionan empleandodiversasherramientasinformticas,queencualquiercasopermitenalosdiversos profesionalesdelasaludyorganismosquehayanfacilitadocuidadosmdicosaesapersonaenalgn momentorecuperarybuscarfcilmentelosdatos. Msenconcreto,elarchivosanitarioelectrnico(ASE)esunarchivocreadoporunorganismode atencinsanitariaqueactacomoelresponsablenicodeltratamientodelosdatos(porejemplo,un hospitalounaresidencia),enelquetrabajanvariosprofesionalesdelasalud.Porelcontrario,la historiaclnicaelectrnicaesunarchivocreadoporlaagrupacindedatosprocedentesdediferentes responsablesdeltratamientodelosdatosque,porreglageneral(aunquenoessiempreelcaso), operandentrodelamismazonageogrfica(p.ej.,unaunidaddeatencinmdicayunlaboratorio privadoqueoperanenlamismareginorea).Losarchivossanitarios,porejemplo,tambinpueden estarconstituidosporelconjuntodeinformesdesaludenpoderdelosresponsablesdedatos individualesqueparticipanenunainiciativadeHCEanivelregional.Enconsecuencia,lahistoriaclnica electrnicayelarchivosanitarioelectrnicoestnntimamenteinterrelacionados. "Programacinenlneadelascitasparaexmenesmdicos"indicaquelospacientespueden formalizarcitasinteractuandoconelsistemadereservasenlneadelaautoridadsanitarialocal. "Accesoenlneaaregistrosderevisin"significaqueelpacientepuedeaccederaun"registrode revisin"enlnea;enestecaso"registroderevisin"eselregistroescritoelaboradoporunmdico sobreelestadoclnicodelpacientetrasunarevisinclnicay/olosresultadosdelaprueba.Enalgunos casos,tambinpermitedescargarlas"observaciones",esdecir,losresultadosdelarevisinmdicao deunapruebarealizadaalpaciente,comounaradiografa,unaecografaounanlisisdesangre,junto conelregistroderevisinelaboradoporelmdico. Todoslosserviciosquelasautoridadessanitariaslocalespiensanmigraralanubeentraanel procesamiento,nosolodedatospersonales,sinotambindedatosconfidenciales(categoraespecial dedatossobresalud,vaseelartculo8delaDirectiva95/46/CE)porpartedediferentesresponsables yencargadosdeltratamientodedatos,salvoenelcasodeserviciosadministrativos(backend), nminayaprendizajeelectrnico,porejemplo,dondeseprocesandatospersonales,peroesmenos probablequeseprocesendatosconfidenciales.Duranteelfuncionamientodeestosservicios,fluyen datoseinformacininternos 37 yexternos 38 .Enellosparticipandiversaspersonascondistintosroles encuantoalaproteccindedatos,queademstransfierendatosentres.
37

Dentro de la autoridad pblica o el gobierno.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

99

Cuestioneslegales Entrminosgenerales,lasnormasquerigenlashistoriasclnicaselectrnicas,losarchivossanitarios electrnicos,laprogramacinenlneadecitasparaexmenesmdicosylaprovisinalospacientes deregistrosderevisinenlnearelacionadosserecogenenlalegislacinsobresanidaddelosEstados miembros,enlalegislacinsobrelosderechosdelospacientes 39 yenlasnormativassobreproteccin dedatos,dondeseespecificannormassobrecmodebenguardarycompartirlashistoriasclnicaslos proveedores,ascomosucontenido,archivadoyderechodeaccesoparalospacientes,etc. 40 Elpresenteanlisissecentrarenlaproteccindedatosy,desdeunpuntodevistamsgeneral,enel cumplimientodelosrequisitoslegales.Comopuntodereferencia,setomarnlasnormativas europeaseitalianassobreestamateria.Esdeesperarqueelrazonamientogeneralylasconclusiones sepuedanaplicaralamayoradelosEstadosmiembros.Nuestroobjetivoessealarcuestionesde importanciaparalasituacinseleccionadayofrecerunmtododeanlisisquesepuedautilizarpara evaluacionesenotrosEstadosmiembros. Sinduda,lalegislacinmsimportanteeslarelativaalaproteccindedatos.Enconcreto,la AutoridadItalianadeProteccindeDatosemitidirectricessobrelaprovisindehistoriasclnicas electrnicas,archivossanitarioselectrnicos 41 yregistrosderevisinenlnea. 42 Sideseanconsultarun anlisisdecuestionesrelativasala"soberanagubernamentalyelcontroldelainformacinylos datos","adquisicionesdelsectorpblico","negligenciaprofesionaldelosproveedoresdeserviciosen lanube"y"subcontratacindeserviciosenlanubeycambiodecontroldeproveedordeserviciosen lanube",lesremitimosalapartado"Principalescuestionesnormativas",yaquesetratadecuestiones generales(ynosonespecficasdelapresentesituacin).Otrascuestiones,como"protecciny seguridaddelosdatos","interoperabilidad/transferenciaalorigen/cautividaddelmercado",se

De una autoridad sanitaria local a otra autoridad sanitaria local y de la autoridad sanitaria local a los ciudadanos. Vase tambin la Carta Europea de Derechos de los Pacientes (2002); disponible en: <www.patienttalk.info/european_charter.pdf>. 40 "En diversos Estados miembros, se ha delegado a las regiones la responsabilidad de importantes reas del sistema de atencin sanitaria. Sin embargo, esta descentralizacin se ha llevado a cabo de distintas formas y en diverso grado. [] Los gobiernos regionales italianos, a travs de sus departamentos sanitarios, son los responsables de cumplir a nivel regional los principales objetivos nacionales del Plan Nacional de Salud. Los departamentos regionales de salud deben garantizar las prestaciones a la poblacin por medio de una red de unidades sanitarias locales y de hospitales pblicos y privados. Son responsables de funciones legislativas y administrativas, de planificar actividades de cuidados de salud, de organizar los suministros de conformidad con las necesidades de la poblacin y de supervisar la calidad, la idoneidad y la eficacia de los servicios prestados. Las regiones tienen funciones legislativas y ejecutivas, as como funciones de asistencia tcnica y de evaluacin. Comisin Europea (2009) Study on the Legal Framework for Interoperable eHealth in Europe ("Estudio sobre el Marco Legal de la Salud electrnica Interoperable en Europa"), pg. 21; para ver cmo se ha aplicado la descentralizacin en diversos Estados miembros, consulte las pginas 21-24; vanse tambin las pginas 18 y 75 y siguientes; disponible en: <http://ec.europa.eu/information_society/activities/health/docs/studies/legal-fw-interop/ehealth-legal-fmwk-final-report.pdf>. 41 Autoridad Italiana de Proteccin de Datos (2009) Guidelines on the Electronic Health Record and the Health File (publicado en la Gaceta Oficial de Italia, nm 178, con fecha de 3 de agosto de 2009); disponible en: <http://www.garanteprivacy.it/garante/doc.jsp?ID=1672821>. 42 Italian Data Protection Authority (2009) Guidelines on Online Examination Records (documento adoptado el 25 de junio de 2009 y presentado a consulta pblica de conformidad con la nota publicada en la Gaceta Oficial de Italia, nm 162, del 15 de julio de 2009); disponible en: <http://www.garanteprivacy.it/garante/doc.jsp?ID=1634292>.
39

38

100

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

abordarnenlamedidaenquetenganrelacinconlasituacinplanteadaahora.Paraotrosasuntos, lesremitimosalapartadoyacitado,"Principalescuestionesnormativas".

Proteccindelosdatosyseguridaddelosdatos
Enesteapartadoabordaremossolocuestionesmuyconcretasrelativasalapresentesituacin,y presentaremosunaintroduccinacuestionesgeneralesdeproteccinyseguridaddelosdatos. Transferencia ElGrupodeTrabajodelArtculo29,enelDocumentodeTrabajo(WP131/2007)sobreeltratamiento dedatospersonalesrelativosalasaludenlashistoriasclnicaselectrnicas(HCE),hasubrayadoque "Teniendoencuentaelelevadoriesgoqueexisteparalosdatospersonalescontenidosenunsistema deHCEenunmediosinproteccinadecuada,[]todotratamiento(sobretodo,elalmacenamiento) dedatosdelasHCEdeberrealizarseenjurisdiccionesqueapliquenlaDirectivasobreproteccinde datosdelaUEounmarcojurdicoadecuadodeproteccindedatos". 43 Adems,amenosqueel interesadoopacientehayadadosuconsentimientoexplcito(obligatoriamenteporescritoendiversos Estadosmiembros,sisetratadedatosconfidenciales)losdatospersonalesdelaHCE"deben transferirseapasesquenoformenpartedelaUninEuropeaodelEspacioEconmicoEuropeode formaannimao,almenos,utilizandopseudnimos". 44 Seguridaddedatos Debeimplantarseunaltoniveladecuadodeseguridaddedatosparafavorecerelrendimientototaldel sistema(artculo17delaDirectiva95/46/CE). Gestindeidentidades,controldeaccesoeintegridaddedatos Msconcretamente,paraqueunsistemaseaaceptabledesdeelpuntodevistadelaproteccinde datos,debeevitarse,deformaqueseacasiimposible,elaccesodepersonasnoautorizadas.Almismo tiempo,ladisponibilidaddelsistemaparaprofesionalesautorizadosdebesercasiilimitada,sila necesidaddesaberesgenuina.EstoesloqueelGrupodeTrabajodelArtculo29recomiendaenel documentoWP131/2007. 45 Adems,"elmarcojurdicoporelquesecreaunsistemadeHCEdebera preverlaaplicacindeunaseriedemedidastcnicasyorganizativasadecuadasdestinadasaevitarla prdidadedatosolaalteracin,tratamientoyaccesonoautorizadosalosdatosenelsistemade HCE"."Laintegridaddelsistemadebegarantizarsehaciendousodelosconocimientoseinstrumentos

43

Grupo de Trabajo del Artculo 29, en el Documento de Trabajo (WP 131/2007) sobre el tratamiento de datos personales relativos a la salud en las historias clnicas electrnicas, pg. 19; disponible en: <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp131_en.pdf>.

44 45

Id

Grupo de Trabajo del Artculo 29, en el Documento de Trabajo (WP 131/2007) sobre el tratamiento de datos personales relativos a la salud en las historias clnicas electrnicas, pg. 19; disponible en: <http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp131_en.pdf>.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

101

msavanzadosenmateriadeinformticaytecnologadelainformacin. 46 ElGrupodeTrabajo sealtambinqueelcifradonodebeusarsesoloparalatransferencia,sinotambinparael almacenamientodedatosensistemasHCE. 47 Comoconclusin,elmarcojurdicorelativoalasmedidasdeseguridaddebepreverespecialmentela necesidadde: Desarrollarunsistemafiableyefectivodeidentificacinyautenticacinelectrnica,ascomo registrosactualizadosdemaneraconstante,paracomprobarlaautorizacindepersonascon accesooquesolicitenaccesoalsistemadeHCE. Registroydocumentacinexhaustivosdetodoslospasosdeprocesamientoquehayantenido lugardentrodelsistema,enespecial,solicitudesdeaccesodelecturaoescritura,combinadas concomprobacionesinternasperidicasyseguimientodelasautorizaciones. Mecanismosefectivosdecopiadeseguridadyrecuperacinparagarantizarelcontenidodel sistema. ImpedirelaccesonoautorizadoolaalteracindelosdatosHCEenelmomentodela transferenciaodelalmacenamientodecopiasdeseguridad,porejemplo,utilizando algoritmoscriptogrficos; Instruccionesclarasydocumentadasatodoelpersonalautorizadosobrecmoutilizar correctamentelossistemasdeHCEycmoevitarriesgosyviolacionesdelaseguridad. Unaclaradistincindefuncionesycompetenciasenrelacinconlascategorasdepersonasa cargodelsistemao,almenos,implicadasenelsistema,conprevisinderesponsabilidadesen casodedeficiencias. Auditorasdeseguridadperidicas,tantointernascomoexternas 48 .

Todosestosrequisitosdeseguridadtanestrictosdebenrespetarseconstantementeenelentornode lanube,almargendequeelproveedorseaconsideradoresponsableoencargadodeltratamientode losdatos.Dehecho,laobligacindeimplantarogarantizarunelevadogradodeseguridaddedatos recaesobreelresponsabledeltratamientodelosdatos,quelatransferiralencargadodel tratamientodelosdatospormediodeuncontratoodeunacartadenombramiento(artculo17.2,3y 4). Acontinuacin,presentamosalgunosejemplosdedisposicionesespecficasrelativasamedidasde seguridadtalycomoseestablecenenGuidelinesontheElectronicHealthRecordandtheHealthFile (G_EHR)oenGuidelinesonOnlineExaminationRecords(G_OER),delaAutoridadItalianade ProteccindeDatos,queprevunagestinrigurosadelaidentidad,elcontroldedatosylaintegridad dedatos. Deber/Obligacin Fuente

46 47

Id, pg. 19 Id 48 Id, pgs. 19-20

102

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Deber/Obligacin Dadalaconfidencialidaddelosdatosprocesadosmedianteunahistoria clnicaelectrnica/archivosanitarioelectrnico,debenformalizarse acuerdostcnicosespecficosparagarantizarunnivelapropiadode seguridad(apartado31delCdigodeSeguridaddeDatos),sinperjuiciode lasmedidasmnimasquelosresponsablesdeltratamientodelosdatos debentomarencualquiercaso,deconformidadconelCdigo(seccin33y siguientes). Siseutilizansistemasdealmacenamientooarchivado,debenllevarsea cabolasoperacionesadecuadasparaprotegerlosdatoscontraelusono autorizado,elroboolaprdidatotaloparcialdelsoportede almacenamientoodelosdispositivosdeprocesamientofijosoporttiles; paraestefin,debenaplicarsetecnologasdecifradoalossistemasde archivoolasbasesdedatos,obienaplicarotrasmedidasdeproteccin paraimpedirquelosdatosseancomprensiblesparaentidadesno autorizadas. Debentomarsetambinlassiguientesmedidas: Debenaplicarsesistemasadecuadosdeautenticacinyautorizacin alaspersonasacargodelprocesamiento,enrelacinconsus respectivosrequisitosdeprocesamientoyacceso(porejemplo, parabuscar,cambiaryaadirregistros). Debenimplantarseprocedimientosparacomprobar peridicamentelacalidadylauniformidaddelascredencialesde autenticacinylosperfilesdeautorizacinqueseaplicanalas personasacargodelprocesamiento. Debenespecificarsecriteriosparacifraromantenerseparadoslos datosquepudieranrevelarlasaludolavidasexualdeotrosdatos personales. Debenregistrarselosaccesosylasoperaciones. Debeimplantarseunregistrodeauditoraparacontrolarlosaccesos alabasededatosydetectaranomalas.

Fuente ParteII Seccin10 (G_EHR)

ComoenelcasodelasHCE,debendesplegarseprotocolosdecomunicacin segura,aplicandonormasdecifradoparacomunicacioneselectrnicasde datosentrelosdiversosresponsablesdeltratamientodelosdatos. Seccin6 Lanaturalezaaltamenteconfidencialdelosdatospersonalesquese (G_OER) procesanenrelacinconelaccesoenlneaalosregistrosderevisin requierequeseestablezcandisposicionestcnicasespecficaspara garantizarunniveldeseguridadadecuado,comoestablecelaseccin31del Cdigo,sinprejuiciodelasmedidasmnimasqueseexigendecada

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

103

Deber/Obligacin responsabledeltratamientodelosdatosenvirtuddelCdigo(vasela seccin33ysiguientes),yenespeciallasestablecidasenlaRegla24delas EspecificacionesTcnicasalasmedidasmnimasdeseguridad(AnexoBdel Cdigo),porlasquelatransferenciadedatosquepuedanrevelarla identidadgenticadeunindividuosolosepermiteenformatocifrado. Consultaenlneaderegistrosderevisinpormediodeserviciosweben Internet Sielservicioquesevaafacilitarconsisteenpermitirqueuninteresado accedaalsitiowebdelorganismodeatencinsanitariaquehallevadoa cabolarevisinencuestinconelfindedescargarelrespectivoregistro, debentomarseprecaucionesespecficas,comolassiguientes: Protocolosdecomunicacinsegura,basadosennormasdecifrado paratransferenciaselectrnicasdedatos,incluidoscertificados digitalesdelossistemasqueproporcionanserviciosdered (protocoloshttpSSLCapadeConexinSegura). Disposicionesadecuadasparaprevenirqueseadquierala informacincontenidaenelregistroelectrnico,siestese almacenaensistemascachlocalesocentralizadosdespusde habersidoconsultadoenlnea. Sistemasdeautenticacinadecuadosbasadosencredenciales estndaro,preferiblemente,enslidosprocedimientosde autenticacin. Disponibilidadacortoplazo(mximo45das)delregistrode revisinenlnea. Posibilidaddequeelusuarioimpidalavisualizacinenlneadelos registrosderevisincorrespondientesodequeborredichos registros,enparteoporcompleto,delsistemadeaccesoenlnea.

Fuente

Envoporcorreoelectrnicodelosregistrosderevisin Sielresponsabledeltratamientodelosdatospiensaenviarunacopiadelos registrosderevisinaladireccindecorreoelectrnicodelinteresado,de conformidadconunasolicitudconcretadeste,deberntomarselas siguientesprecaucionesconrespectoalosregistrosdigitales: Losregistrosderevisindebernenviarseenformadedatos adjuntosalmensajedecorreoelectrnico,ynocomotexto incrustadoenelcuerpodelmensaje. Deberprotegerseelarchivoelregistrooregistrosderevisinpara evitarlaadquisicinilcitaonodeseadadeinformacinpor

104

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Deber/Obligacin entidadesdiferentesaldestinatarioencuestin.Paraestefin,debe protegersemediantecontraseaelarchivo,oaplicarseunaclavede cifrado,quesenotificaralosinteresadosporcanalesde comunicacindiferentes(vaselaRegla24delasEspecificaciones Tcnicas,anexoBalCdigo).Esterequisitopuedeincumplirsesiel interesadoaslosolicita,trashabersidodebidamenteinformado, dadoqueelenvoderegistrosderevisinaladireccindecorreo electrnicoespecificadaporelinteresadonodalugarauna transferenciadedatosmdicosentredosresponsablesdel tratamientodelosdatos,yconsisterealmenteenunacomunicacin dedatosentreelproveedordeatencinsanitariayelinteresado,a instanciasdelinteresado. Lasdireccionesdecorreoelectrnicodebernservalidadaspor mediodeunprocedimientodecontrolenlneaadhocparaevitarel envodedocumentoselectrnicos(aunqueestnprotegidos mediantecifrado)aotrosdestinatariosdistintosalusuarioconcreto queloshayasolicitado.

Fuente

Debernaplicarseentodosloscasoslassiguientesmedidasparaprocesar datosconelfindefacilitarestosserviciosenlneaalosusuarios: 1.Debernimplantarsesistemasdeautenticacinyautorizacinalas personasacargodelprocesamiento,enfuncindesusrespectivosrolesy requisitosdeaccesoyprocesamiento(considerando,porejemplo,si puedenbuscar,modificarocompletarlainformacin);deberaplicarseuna slidaautenticacinbiomtricasilosdatosprocesadospuedenrevelarla identidadgenticadeunapersona. 2.Losdatosquepuedanrevelarlasaludylavidasexualdebern mantenerseseparadosfsicaylgicamentedeotrosdatospersonales, procesadosparafinesadministrativosocontables. Esms,elresponsabledeltratamientodelosdatosdebedisear procedimientosadhocparadesactivarinmediatamentelaconsultaenlnea ointerrumpirelenvoporcorreoelectrnicoderegistrosderevisin relacionadosconunapersonaquehayanotificadoelroboolaprdidade suscredencialesdeautenticacin,oencualquierotracircunstanciaque puedaponerenpeligrolaconfidencialidaddesusdatospersonales. Encualquiercaso,debenaplicarsetodaslasmedidasdeseguridad necesariasparacumplirlaprohibicindedivulgardatosmdicos establecidasenelCdigo(vanselassecciones22.8y26.5delCdigo). Derechodelpacienteointeresado

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

105

Comosemencionenlaintroduccin,elresponsabledeltratamientodelosdatostienelaobligacin degarantizarelderechodeaccesodelinteresadoalosdatos,comosedescribeenelartculo12dela Directiva95/46/CE.Sinembargo,cuandoseprocesandatospersonalesrelativosalasalud,las restriccionesalderechodeaccesodelpacienteointeresadodebencombinarseconlosderechos especficosdeaccesoaregistrosdesalud,establecidosendisposicionesnacionalessobrelosderechos delpaciente.Enestecasoconcreto,noslosehaaplicadodeformapocouniformelaDirectiva 95/46/CE,sinoquelosderechosdelospacientessehandefinidoyaplicadotambindeforma diferentesegnlasdiversaslegislacionesnacionales. Interoperabilidad/Transferenciaalorigen/"Cautividaddelmercado" Lainteroperabilidaddelossistemasdehistoriaclnicaelectrnica(HCE)esunacondicinnecesaria establecidatantoenlaRecomendacinde2008delaComisinEuropeasobrelainteroperabilidad transfronterizaenlossistemasdehistoriaclnicaelectrnica 49 comoenlacomoenlaPropuestade directivade2008delaComisinEuropeasobrelosderechosdelospacientesenloscuidadosdesalud transfronterizos. 50 Latransferenciaalorigenylacautividaddelvendedordebentenerseencuentaenelsectordela sanidadelectrnica,yaquerepresentangravesamenazasparalacontinuidaddelservicio.Dehecho,la nodisponibilidad(temporal)olaineficaciadelosserviciossupondrunaconsiderableresponsabilidad paralosproveedoresdesanidadelectrnica(esdecir,paralasautoridadessanitariaslocales,eneste caso). Consideracionesfinales Lasprincipalescuestionesrelativasalamigracindelosserviciosenlanube,comolashistoriasclnicas electrnicas(HCE),losarchivossanitarioselectrnicos(ASE),laprogramacinenlneadecitaspara exmenesmdicosyprovisinenlneaalospacientesdelosregistrosderevisinrelacionados,deben identificarseen: (i) Latransferenciadedatosdelpaciente. (ii) Laseguridaddedatosdelpaciente. (iii) Lainteroperabilidad. LamigracinalanubedeservicioscomolaHCE,elASE,laprogramacinenlneadecitaspara exmenesmdicosylaprovisinenlneaalospacientesdelosregistrosderevisinrelacionados, puedeofrecerseguridadyventajasdeinteroperabilidad.Dehecho,esmuyprobablequeunslido proveedordeserviciosenlanubetengapersonalmscompetenteycualificadoymayoresrecursos econmicosquecualquierautoridadsanitarialocal,loquepermitiradichosproveedoresgarantizar
Vase: <http://ec.europa.eu/information_society/newsroom/cf/itemlongdetail.cfm?item_id=4224>. Comisin Europea, Proposal for a Directive of the European Parliament and the Council on the application of patients rights in cross-border healthcare, COM(2008)414 final; http://ec.europa.eu/health/ph_overview/co_operation/healthcare/docs/COM_en.pdf
50 49

106

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

estndaresdeseguridaddelmsaltonivelypromoverlainteroperabilidadglobaldeesosservicios.Sin embargo,puedeserextremadamentedifcilquelosproveedoresdeserviciosenlanubeofrezcan serviciosquecumplantodoslosexigentes,yamenudonoarmonizados,requisitosregulativos mencionadosennuestroanlisis.Lasautoridadessanitariaslocalesdebenbuscarofertasadecuadas deproveedoresdeserviciosenlanube,yobtenerlasnecesariasgarantasregulatorias,negociando concuidadoloscorrespondientescontratos.Asimismo,lasautoridadessanitariaslocalespreocupadas porelcumplimientodelasnormativaspuedenempezarfamiliarizndoseconlastecnologasenla nubemigrandoserviciosmenoscrticos,comoserviciosadministrativos(backend),denminas,de aprendizajeelectrnicooderecursoshumanos(aunquesiemprehayquetenerencuentaque,muy probablemente,cuandosefacilitenserviciosderecursoshumanos,seprocesarndatos confidenciales). Porotrolado,seraconvenientemodificarlasnormativasparaintroducirmayorclaridadycoherencia enelmarcoregulatoriodelaUEenloreferentealaproteccindedatospersonales,comolosdatos relativosapacientes,creandoalmismotiempocondicionesregulatoriasviablesparalosproveedores deserviciosenlanube,paraascosecharlosbeneficiosdelainformticaenlanubeaplicadaalos serviciosdesanidadelectrnica.Enestesentido: Deberealizarseungranesfuerzoparaarmonizarlalegislacinsobreproteccindedatosenlos EstadosmiembrosdelaUE. Lasfuncionesdeproteccindedatos(delresponsabledeltratamientodelosdatos(data controller)ydelencargadodeltratamientodelosdatos(dataprocessor))enelentornodela nubedebenaclararsedefinitivamente. Debenperfeccionarselasiniciativasdeautorregulacin,comoloscdigosdeconductaolos cdigosdeprcticasparatransferenciasinternacionales(porejemplo,normasempresariales vinculantes),afindegarantizarporcompletolosderechosdelospacientesenlaatencin sanitariatransfronterizainternacional. DebenproponerseentodalaUninEuropeamedidasdeseguridadclarasyhomogneas,para incorporarlas,enlamedidadeloposible,alosserviciosenlanubequeofrezcanlallamada "privacidadeneldiseo"(privacybydesign)(19) 51 .Conrespectoalconceptode"medidasde seguridadadecuadas",recomendamoselGrupodeTrabajodelArtculo29. Losderechosdelospacientesylosinteresadosdebenarmonizarseigualmenteentodala UninEuropea,deformaquelospacientespuedanesperarydisfrutardeunaproteccin uniforme.Deestaforma,creemosqueunproveedordeserviciosenlanubeestaren condicionesdeprepararofertasparaserviciossanitariosconmayorfacilidad,deconformidad conlosrequisitosjurdicosyregulatorioscorrespondientes. Losproveedoresdeserviciosenlanubedebenexplicarclaramentecmopuedenlas autoridadessanitariaslocales(y,msengeneral,susclientes)migraraotroproveedorde serviciosenlanube(evitandoelriesgode"cautividaddelmercado"paralasautoridades sanitariaslocales)yasgarantizartambinlacontinuidaddelserviciodelasautoridades

51

El principio de "Privacidad en el diseo" (Privacy by design) supone la incorporacin de la privacidad y la proteccin de datos a todo el ciclo de vida de las tecnologas, desde el diseo inicial hasta su aplicacin, uso y eliminacin final. Este principio figura entre otros en la comunicacin de la Comisin Una Agenda Digital para Europa COM(2010) 245.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

107

sanitariaslocalesdurantelatransferenciaalorigenylamigracindeinformacinydatos. Tambinseinstaalosproveedoresdeserviciosenlanubeaofrecerinteroperabilidad.

108

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Serviciosinformticosgubernamentalesenadministracionespblicas municipales:situacinnm.2
Lasadministracionespblicasutilizancadavezmslainformticaparallevaracabosustareas administrativas.Graciasasusprometedorasventajas,lasadministracionespblicasestn considerandolaposibilidaddemigrarsusserviciosainfraestructurasinformticasenlanube.El siguienteanlisissecentrarenlascuestionesjurdicasrelacionadasconcretamenteconlaofertade serviciosbasadosenlanube,ysoloabordarlosasuntosrelacionadosconcretamenteconnubesde administracionespblicas.Qunormasynormativasdebenobservarse?Qudeberesyobligaciones debencumplirse?Culeselnivelderiesgoderesponsabilidad?Lasrespuestasaestaspreguntas dependenengranmedidadelanaturalezadelosserviciosqueseofrecenenlanube. Situacinhipottica Elsiguienteanlisissecentrarenunasituacinenlaquelasprovinciasoregionesconfigurany ofrecenunanubecomoservicioalosmunicipios(nubeprivadaocomunitaria).Aefectosdelanlisis jurdico,puedenidentificarsecuatropartes(sujetos):Lareginoprovinciaqueeselproveedorde serviciosenlanube,elterceroquegestionalanube,losmunicipiosquelautilizancomoabonadosy losciudadanos. Lareginoprovinciaeslapropietariadelainfraestructuradelanube,perosugestinsesubcontrata aunaentidadprivada.Lasadministracionespblicassernquienesseencarguedelacontratacinde estetercero,alqueconfiarnlaconfiguracinyelfuncionamientodelainfraestructuradelanube.Los serviciosquesevanaofreceralosmunicipiossebasarnenlosmodelosPaaSoSaaS.Enconcreto, estosserviciossonlossiguientes: Gestinelectrnicadesolicitudes:permitiralosciudadanossolicitarelectrnicamente,desde suhogar,unsubsidio,unaayuda,unalicencia,noticiassobrelamarchadesussolicitudes,etc. Plataformamunicipaldegestin/oficinaadministrativa:contabilidad,recursoshumanos,etc. Puedeincluir,enconcreto,serviciosdefacturas,basesdedatosdeciudadanos(como expedientespenales)ydiversosinformesautomatizados. Plataformadepagoenlnea:parapagarimpuestos,multas,etc.

Tiposdedatosyflujodedatosentrelaspartesimplicadas Dadoquesemanipulandatospersonales,esnecesarioobservarlasnormasnacionalesdecadapas sobrelaproteccindedatos. 52 Enestasituacin,lanaturalezadelosdatospuedeoscilardesde informacinpersonalaparentementepocoimportante,hastainformacinaltamenteconfidencial, comoexpedientespenalesyregistrosrelativosalasuspensindelderechoalvotoydelicencias.


52

Tal y como se establece en la Directiva 95/46/CE sobre proteccin de datos.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

109

Debertenerseencuentalaconfidencialidaddelosdatosparalosserviciosqueseejecutanenla nube,ytambinparalainfraestructuradelanubeens. Dadalanaturalezadelasllamadasnubesprivadasycomunitarias,esdecir,infraestructurasque operanbajoelcontroldelaregin,delaprovinciaodeunacomunidaddedichasentidades,en circunstanciasnormales,nohabrflujodedatosnosolicitado.Solopodrntrabajarconlosdatosla reginoprovinciaquegestionalanube,elmunicipioylosciudadanos(pormediodesucliente electrnico). Cuestioneslegales Legislacinaplicable:DirectivasobreProteccindeDatos LaDirectiva95/46/CEnodiferenciaentreelprocesamientodedatosporentidadesprivadasopblicas, esdecir,lasdisposicionesdelaDirectiva95/46/CEdebernserobservadasdelamismamanerapor regiones,provinciasymunicipiosyporentidadesprivadas.Debeprestarsemuchaatencinalhecho dequesepuedanprocesardatosconfidencialesenlanube.Estoactivalasnormasdelartculo8dela Directiva95/46/CE,quecontienedisposicionesespecficassobredatosconfidenciales.Sielservicioen cuestinprocesadatosquerevelanorgenestnicos,raciales,opinionespolticas,credosfilosficoso religiosos,pertenenciaasindicatosydatosrelativosalasaludolavidasexual,paragestionarlos debercumplirunadelasexcepcionesenumeradasenelartculo8.2,segnsuincorporacinala legislacinnacional. Aunquenosepuedeaplicaraestasituacin,debehacersenotarque,deconformidadconel artculo13.1,delaDirectiva95/46/CE,losEstadosmiembrospuedenrestringirlaaplicabilidadde dichadirectivaenloscasosdeseguridadnacionalypblicaoparaelenjuiciamientoylaprevencinde delitos.As,deconformidadconlalegislacinlocalenunEstadomiembro,puedequealgunostiposde datosgestionadosporlosmunicipiosnoestnsujetosalaDirectiva95/46/CE.Enestasituacin,nose procesaesetipodedatos. LaDirectivasobrelaProteccindeDatosasignadiversosdeberesyobligacionessegnlafuncindela entidadenlagestindedatospersonales.Esteinstrumentodistingueentreresponsable(controller)y encargado(processor)deltratamientodelosdatos(vaseelartculo2.dye,delaDirectiva95/46/CE). Dadoquesonlosmunicipiosquienesdeterminan,comoabonadosdelanube,losfinesymedios concretosdelprocesamientodedatos,sonelloslosresponsablesdeltratamientodelosdatos.Como proveedornicodeserviciosdeinfraestructuras,quetrabajaenrepresentacindesucliente,laregin olaprovinciaeselencargadodeltratamientodelosdatos.Elcontratistanogestionadatos.No obstante,deberserpartedelconceptodeseguridaddelosdatos(verarriba). Elresponsabledeltratamientodelosdatosesquiendebegarantizarelcumplimientodelalegislacin sobreproteccindedatosincorporadaalalegislacinnacional.Puedequeselepidan responsabilidadessinocumplelasnormas(artculo17.2y3delaDirectiva95/46/CE).Paraatenuar eseriesgo,elresponsabledebesolicitargarantasconcretasdelencargado.Msenconcreto,deben aplicarsenormasydirectricessobrelagestindedatos.Estopuedellevarseacaboenformade

110

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

contratosoacuerdos,odeunactolegislativoentrelareginoprovinciaylosmunicipios,comose solicitaenelartculo17.3delaDirectiva95/46/CE.Dichosacuerdosdebentenerencuentala confidencialidaddelosdatos,segnelservicioconcretoquesevayaaofrecer.Acontinuacin,se ofrecerndirectricessobrelascondicionesentreestaspartes(deconformidadconlas recomendacionesjurdicas).Asimismo,debehacersenotarquetantoelresponsablecomoel encargadodeberngarantizarlaseleccinylasupervisindeuntercercontratistafiablequegestione lanube.Estatareadebeformarpartedelconceptodeseguridadparaelserviciogubernamentaldela nube. Deconformidadconelartculo20yenconsonanciaconlalegislacinnacional,puedequesea necesariollevaracabocomprobacionesantesdelprocesamiento,segneltipodeservicioydelos tiposdedatosquesevanaprocesar. Legislacinaplicable:adquisicionesdelsectorpblico Dadoquesedebecontrataraunterceroparaconfigurarymantenerlainfraestructuradelanube, debenobservarselasnormativasdelaUEsobreadquisicionesdelsectorpblico. 53 Enesesentido,no habrunadiferenciasignificativaconrespectoalasadquisicionesenotrasreas,porloquelas provincias,lasregionesylosmunicipiosdebernaplicarsusconocimientosyexperienciasenrelacin conlalegislacinylanormativaaplicable. Legislacinaplicable:contratos Enestasituacin,elmunicipioformalizauncontratoconlareginoprovinciaque,asuvez,empleaa unterceroparagestionarlanube.Losrequisitosjurdicosrelativosalasregionesoprovinciasdeben reflejarseenlacadenacontractual.Estoseaplicaespecialmentealosrequisitossobreelresponsabley elencargadodelosdatos,queyasehanexpuesto.Acontinuacin,seincluirnrecomendaciones sobrelascondicionescontractualesquepuedanreflejarygarantizarelcumplimientodeestos requisitos. Legislacinaplicable:leyesdeprocedimientocivilypenal Losoperadoresdeserviciosenlanubedebenserconscientesdelhechodeque,talvez,sesoliciten datosalmacenadosenlanubecomopruebasenprocesoscivilesopenales.Alexistirrelacionesentre variaspartesenestasituacin,sonvariaslaspersonasquepuedenrecibircitacionesosolicitudespara transferirpruebas.Estoplanteaelproblemadeaquindirigiresassolicitudes.Deigualforma,deber tenersecuidadodepreservarelprincipiodesoberanagubernamental,segnelcuallas administracionespblicassiguencontrolandosusdatosysolodebenpresentarloscuandoasselo exijalaley.Elhechodecolocardatosbajoelcontroldeentidadesprivadaspuedeserarriesgado;por ley,puedequeseobliguealasentidadesprivadasapresentarpruebasqueobrenensupoderen determinadascircunstancias(16).Puedeserelcasodeunaempresaconsedeenotropasque gestionelainfraestructuradelanubeenlaqueseguardandatosdelasadministracionespblicas.Por
53

http://ec.europa.eu/internal_market/publicprocurement/legislation_en.htm

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

111

mediodesusfilialesenotrospases,estaentidadestaraexpuestaalostribunalesdeotrospases.Por ejemplo,podransurgirestetipodeproblemasenelprocesodeobtencindedatosparafines judiciales(pretrialdiscovery)delasjurisdiccionesangloamericanas. 54 ElGrupodeTrabajodelArtculo29haelaboradoundocumento 55 enelqueseabordanlascuestiones prcticasqueplantealagestindeunasolicituddeesetipo. Consideracionesfinales Unodelosprincipalesproblemaslegalesalosquetienenquehacerfrentelosgobiernosylas autoridadespblicasengeneral,eslasoberanayelcontrolsobrelainformacintratada.Losrganos gubernamentalesautorizadoslegalmenteparaeltratamientodelainformacinconservanla responsabilidaddetratarestainformacindeformaadecuada,ydebengarantizarquesus obligacionesrelativasalaproteccindelainformacinseextiendanalosproveedoresmediante contrato.Enaquelloscasosenlosquelainfraestructuradelanubevamsalldelajurisdiccinlegal local,elrganopblicodebeconsiderarlasimplicacionesygarantasasociadasofrecidasporsus proveedores.Silainformacindelasadministracionespblicasestratadaporunaentidadprivadaen unajurisdiccinextranjera,existeelriesgodequelostribunalesextranjeroscitenalaentidadprivada yestoafectealainformacingubernamental.Porlotanto,losrganosgubernamentalesdeben garantizarquelosproveedoresexternosimponenmedidasadecuadasdeseguridadyqueexisteuna seriedemecanismosyprocedimientosquegarantizanque,enrespuestaaunademandalegtimade unaautoridadjudicial,sloseentregarlainformacinpertinente. 56 Elcumplimientodelosrequisitoslegalesportodaslaspartesqueparticipanenunanube gubernamentaldebeimplementarseatravsdelasrelacionescontractuales.Enlaprctica,obiense negocianclusulasquegaranticenelcumplimientodelosrequisitoslegalesexigidosobiensedecide formalizarcontratosnicamenteconaquellossocioscuyostrminosycondicionesestndaresincluyan lasgarantasnecesarias.Debennegociarsey/oevaluarseatentamentetodaslasfasesdelacadena contractualentrelosmunicipios,provinciasoregionesyelproveedordeserviciosexternos.Este aspectoesespecialmenteimportantecuandoseadeaplicacinlaproteccindelainformacin,yaque lalegislacindelaUEylalegislacinnacionaldeproteccindedatosrequierenunaseriedemedidas deseguridadenlastecnologasdelainformacin.Sepuedetrasladar,porejemplo,enacuerdosde niveldeservicioyprovisionesqueestablezcanlasmedidastcnicasyorganizativasnecesariaspara garantizarlaseguridadenlastecnologasdelainformacin.Enlasiguientetablasemuestranlas recomendacionessobrelaseguridaddelosdatosquesederivan,directaoindirectamente,dela Directiva95/46/CE.Sepuedenencontrarrecomendacionesyorientacionescomplementariassobrelos contratosdeserviciosdelanubeenunestudioanteriordeENISAsobrelacomputacinenlanube 57
Para ms informacin, vase Geercken/Holden/Rath/Surguy/Stretton, Computer und Recht International 2010, pg. 65. http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp158_en.pdf 56 Esto incluye verificar si las pruebas han sido solicitadas de forma correcta (mediante citacin o durante la fase de obtencin de datos). Vase el Documento 1/2009 del Grupo de Trabajo del Artculo 29 sobre la presentacin de pruebas en la fase previa al juicio en litigios transfronterizos, 11 de febrero de 2009, WP 158; disponible en: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2009/wp158_en.pdf 57 http://papers.ssrn.com/sol3/papers.cfm?abstract_id=1662374.
55 54

112

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

(15).Debetenerseencuentaquelalegislacinnacionalolaspolticasgubernamentalespueden requerirgarantasespecficasadicionalesparalainformacinqueseatratadaporterceros(privados). Recomendacionesespecficassobrelosserviciosenlanuberelativasalcumplimientoconladirectiva deproteccindedatos:

Responsabilidad /Obligacin Capacidaddeserauditados enseguridaddemanera espontneaysinprevio aviso Transparenciade informacinalos interesadosenrelacincon laspartesimplicadas Transparenciade informacinalos interesadosenrelacincon todoslospasosenel tratamientodelosdatos ("flujodedatos") Notificacinsobrela violacindelosdatose incidentesdeseguridad Polticasdeseguridad adaptadasalosriesgos

Fuente Artculos16,17.1

Especficoparalanube No

Artculos1012

No

Artculos1012

No

42aBDSG(Alemania)

No

Artculos17(1)

No

LacolumnaEspecficoparalanubeindicasiesterequisitoesespecficodelacomputacinenlanube osiesdeaplicacingeneralalacontratacinexternaenTI.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

113

Infraestructuradelanubeofrecidaporlasadministracionespblicas: situacinnm.3
Esposiblequelasadministracionespblicasnosolooptenporlacomputacinenlanubecomomedio parasatisfacersuspropiasnecesidadesenelreadelatecnologadelainformacin,sinoquetambin puedenelegiroperarunainfraestructuradenubecomounservicioparasusciudadanos:elobjetode estasituacin.Esteltimoservicioestdirigidofundamentalmenteapequeasymedianasempresas quepuedanalquilarlainfraestructuradelanubealasadministracionespblicasenunmodelode implementacinenlanube.Estascompaaspuedenutilizaresteservicioparaoperaryofrecer SoftwarecomoServicio(SaaS).Estosignificaquelasempresasprivadasoperarneninstalacionesde lanubedelasadministracionespblicas,loqueimplicaunaseriedeproblemaslegalestpicoseneste tipodesituacin.Noobstante,siguensiendoaplicablestodoslosaspectostradicionalesrelativosala computacinenlanube. 58 Elsiguienteanlisissecentrar,portanto,enlosaspectoslegalesque surgenespecficamentecuandoseofrecenserviciosbasadosenlanube,yslotratarnalgunosdelos aspectosmsimportantesyparticularesdelasnubesgestionadasporlasadministracionespblicas. Tiposdedatosyflujodedatosentresujetosimplicados Elmodelodenubede"InfraestructuracomoServicio"dejaparticularmenteabiertoslostiposdedatos involucradosylaformadeprocesarytransmitirlosdatos.Enconsecuencia,noesposible predeterminareltipodedatospersonalesquesevanagestionar.Enestemodelodenube,noexiste lmitealflujodedatosentrelaspartes,nienrelacinconterceros.Elcontroldelosdatoscorreacargo delosabonadosysusclientes,yenunanubegubernamentalpuedehaberdatospersonalesy delicados,informacinconfidencial(porejemplo,knowhow)ypropiedadintelectual. Cuestioneslegales Lapresentesituacinessimilaraunentornodelanubedeempresaaempresa(B2B)casitpico.Por tanto,lasprincipalescuestionesrelativasalaproteccindedatossehansealadoyaeneltrabajode ENISA(2009)CloudComputingRiskAssessment 59 yenelapartadopertinente,Principalescuestiones normativas,enespeciallaspartesrelativasa"Confidencialidadypropiedadintelectual", "ResponsabledeltratamientodelosdatosEncargadodeltratamientodelosdatos","Medidastcnicas yorganizativasadecuadasdeseguridaddelosdatos","Transferenciadedatosapasesfueradel EspacioEconmicoEuropeo","Derechodeaccesoalosdatosporpartedelosinteresados", "DisposicionessobreInteroperabilidad/Transferenciaalorigen/Cautividaddelmercado", "Negligenciadelosproveedoresprofesionalesdeserviciosenlanube"(aplqueseaqumutatis mutandis). 60
58

ENISA (2009) Cloud Computing Risk Assessment, pg. 97 y siguientes. Disponible en: <http://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport>. 59 Id. 60 Si desea consultar un anlisis de estas cuestiones en el entorno de la nube de empresa a empresa, consulte el documento de debate del Consejo de Europa (2010) Cloud computing and its implications on data protection. Disponible en: <http://www.coe.int/t/dghl/cooperation/economiccrime/cybercrime/Documents/Reports-

114

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Leyaplicable:TratadosobreelFuncionamientodelaUninEuropea CuandolasadministracionespblicasdelaUEdecidenapoyarlacomputacinenlanube,debe considerarlasnormasestablecidasenlosArt.107109delTFUE. 61 Estasdisposicionesprohbenlas ayudasdelasadministracionespblicasquedistorsionenoamenacencondistorsionarlacompetencia favoreciendoaciertasempresas.Unainfraestructuradeunaadministracinpblicaenlanubepuede violarestasnormasdetresmaneras:Enprimerlugar,puededistorsionarlacompetenciafavoreciendo lainformticaenlanubeendetrimentodeotrasformasmstradicionalesdesubcontratacindeTI. Ensegundolugar,lacompetenciasepuedeverafectadasisolosealquilaninfraestructurasaclientes nacionalesy,porltimo,puedeafectarnegativamenteaotrosproveedoresprivadosdelanube. Leyaplicable:DirectivasobreComercioElectrnico Dadoquepuedenconsiderarseserviciosdelasociedaddelainformacin, 62 lasnubesdelas administracionespblicasestnsujetasalasnormascontenidasenlaDirectivasobreComercio Electrnico. 63 Entantoqueactancomoproveedoresdehosts,elart.14delaDirectivasobre ComercioElectrnicolesprotegederesponsabilidadesporlainformacinalmacenadaasolicitudde unclientedelservicio.Enestasituacin,elclienteeselabonadodelanubeque,asuvez,establece ofertasSaaS.Elart.14.1.adelaDirectivaestablecequelasadministracionespblicasnosern responsablesenlamedidaenquenotenganconocimientorealdelaactividadoinformacinilegaly, enloqueserefiereaunaaccinpordaosyperjuicios,enlamedidaenquenotenganconocimiento dehechosocircunstanciasporlosquelaactividadolainformacinrevelesucarcterilcito.Elart. 14.1.bexigealproveedorretirarlainformacinoimpedirelaccesoaestaencuantosetenga conocimientodelospuntosmencionados. Esms,elart.15aclaraquenoexisteningunaobligacingeneraldesupervisarlosdatosquese transmitanoalmacenen,sinembargo,elcontenidoalmacenadopuedeconstituirunriesgode resistenciaparalasadministracionespblicas.Elconsiderando45deladirectiva2000/31/CEestablece quelaslimitacionesdelaresponsabilidadnoafectanalaposibilidaddeentablaraccionesdecesacin. Aefectosprcticos,estosignificaqueexistelaposibilidaddequesecierretodoelserviciodelanube porunaordenjudicial. Leyaplicable:contratos Lasrelacionesentrelasadministracionespblicasyotraspartestienendosvertientes.Porunlado, estelcontratodeabastecimientoconelsubcontratistaprivadoqueoperaygestionalanube.Por otro,existeunacadenacontractualquevadesdelasadministracionespblicas,pasandoporel proveedordesoftware,hastalosconsumidores.Losproblemascontractualesentrelas
Presentations/2079_reps_IF10_yvespoullet1b.pdf>; Balboni, P. (2010) Security and Privacy in Cloud Computing: The European Regulatory Approach, Executive Action Report, No.335, The Conference Board, October 2010. Disponible en: <http://common-assurance.com/wp-content/uploads/P_Balboni_Security-and-Privacy-in-Cloud-Computing.-The-EuropeanRegulatory-Approach.pdf>. 61 Tratado sobre el Funcionamiento de la Unin Europea, Nmero de informacin 2010/C 83/01, pgs. 91 62 Como se define en el artculo 1.2 de la Directiva 98/34/CE, enmendado por la Directiva 98/48/CE. 63 Vase el artculo 2.a de la Directiva 2000/31/CE.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

115

administracionespblicasyelsubcontratistagiranentornoalasgarantasdecumplimientodela proteccindedatosydeabastecimientodelasadministracionespblicas(verarriba).Estacadena contractualpuede,sinembargo,cumplirunafuncinmuyconcreta:sonelnicomedioporelquelas administracionespblicaspuedencontrolarelcumplimientodeciertosdeberesyresponsabilidadesen relacinconloqueseestejecutandoenlanube,ydeprotegersecontraposiblesresponsabilidades conexas. Consideracionesfinales Limitacionessobreeltipodedatosyelflujodedatos Comopropietariasdelanube,lasadministracionespblicastienendeberes,responsabilidadesy obligacionesimpuestasporleyyporcontrato.Dentrodelacadenacontractual,quevadesdelas administracionespblicas,pasandoporelvendedorSaaS,hastalosclientes,ciertasdisposiciones puedengarantizarquelasadministracionespblicascumplantodaslasleyespertinentes.Enla prctica,estosepuedehacerpormediodecondicionesestndarqueseanobligatoriasyno negociablesparatodoslossocioscontractuales. TratadosobreelFuncionamientodelaUninEuropea Entrminosgenerales,lasreglasrecogidasenlosartculos107109delTFUEseaplicansolosilaayuda delasadministracionespblicasreduceselectivamentelascargaseconmicasodeotrotipo. 64 Enesta situacin,eseseraelcasosilanubedelasadministracionespblicasnooperaraapreciospordebajo delmercado.Sioperaapreciosdemercado,suinfluenciasobreelmercadonoesdiferentealadeuna infraestructuradenubeprivadadentrodelaUE.Paraexcluirunaviolacindelartculo107delTFUE,la nubegubernamentalnodebetenerunprecioinferioraldelservicioofrecidoporsuscompetidores comercialesenlaUE.Losincentivosnoeconmicossobrecompetidoresprivados,comolaadherencia estrictaalasreglasynormativasdeproteccindedatos,nosepuedenconsiderarunadistorsin amenazantedelmercado,yaqueseesperaelcumplimientodelosrequisitoslegalesporpartede cualquierempresa. Noobstante,lospreciosinferioresalosdeloscompetidorespuedensercompatiblesconelmercado interno,deconformidadconelartculo107.3.cTFUE.Estadisposicinpermitelasayudasparafacilitar eldesarrollodedeterminadasactividadesoreaseconmicas.Noobstante,laayudanodebeafectar negativamentealascondicionesdemercado,hastaelpuntodecontravenirelinterscomn.De conformidadconelartculo108TFUE,esresponsabilidaddelaComisinEuropeadecidirsilas administracionespblicasafectannegativamentealmercado,alfacilitarayudaalosvendedoresSaaS enformadepreciosnocompetitivos. DirectivasobreComercioElectrnico

ECJ, orden del 18 de febrero de 1960, De gezamenlijke Steenkolenmijnen in Limburg / ECSC High Authority (30/59, ECR 1961 pg. 48) (FR1961/00091 NL1961/00093 DE1961/00099 IT1961/00089 EN1961/00048 ES1961-1963/00049), disponible en: http://eur-lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexplus!prod!CELEXnumdoc&lg=en&numdoc=61959O0030

64

116

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Legalmente,noexisteningunaobligacindesupervisarlainformacintransmitidaoalmacenadaenun entornodelanube.Sinembargo,elartculo14puedeofreceralosproveedoresqueactancomo hostsunpuertosegurofrentearesponsabilidadesporcontenidoilegalcuando,porejemplo,eliminen odesactivenelaccesoainformacinalsaberodarsecuentadequeelmaterialesilegaloviolalaley. Lasadministracionespblicasdebengarantizarqueexistaunprocedimientoyunsistemadeavisoy eliminacinenelcasodequesedebaeliminardelanubematerialilegaloqueviolelaley.Espreciso quelosproveedoresdeserviciosquedeseenaprovecharelpuertosegurodelaDirectivasobre ComercioElectrnicotomenprecauciones,diseandoserviciosenlanubedeformaque,porejemplo, sepuedaeliminaraunosabonadosconcretosdelanubeparacumplirunaordenjudicial.

AnexoIISituacioneshipotticas
Situacinhipotticadeatencinsanitariasituacinnm.1 SetratadeEuropa,enelao2011,ylasautoridadessanitariaslocalesdebenimplementarunnuevo serviciodestinadoalosciudadanos:lashistoriasclnicaselectrnicas. Unahistoriaclnicaelectrnica(HCE)esunregistroelectrnicodelainformacinsanitariadeun pacientegeneradaporunaomsvisitasmdicasencualquiermbitodelaatencinsanitaria.Esta informacinincluyedatosdemogrficosdelpaciente,notasdelosprogresos,problemas,medicacin, signosvitales,antecedentesmdicos,vacunas,datosdelaboratorioeinformesderadiologa. LaHCErepresentaparalosmdicosunafuentedeinformacincentralizadaenelpacienteque essegura,entiemporealyprocededelcentrodeatencin. LaHCEayudaalosmdicosatomardecisionesmedianteelaccesoalainformacinregistrada sobrelasaluddelospacientesdondeycuandolanecesitenymediantelaincorporacinde ayudaparalatomadedecisionesbasadaenlaevidencia. LaHCEautomatizayracionalizaelflujodetrabajoclnico,cerrandobuclesenlacomunicacin ylarespuestaquepuededarlugararetrasosodeficienciasenlaatencin. LaHCEtambinpuedesertilparalarecopilacindedatosparausosdistintosalaatencin clnicadirecta,talescomofacturacin,gestindelacalidad,informesderesultados, planificacinderecursosyvigilanciadeenfermedadesqueafectenalasaludpblicaysus correspondientesinformes.

Conelfindecumplirconlasrecomendacioneseuropeas 65 ylosrequisitosnacionalesysacarel mximoprovechodelosserviciosdesanidadelectrnica,sedebegarantizarlainteroperabilidadentre lasdiferenteshistoriasclnicaselectrnicaslocalesynacionales.Porejemplo,laComisinEuropea


Comisin Europea: e-Health making healthcare better for European citizens: An action plan for a European e-health Area. Comunicacin de la Comisin al Consejo, el Parlamento Europeo, el Comit Econmico y Social Europeo y el Comit de las Regiones, COM(2004) 356 final, Bruselas, 30 de abril de 2004. Para ms informacin sobre la estrategia de la Comisin sobre sanidad electrnica, vase ICT for Health y i2010: Transforming the European healthcare landscape: Towards a strategy for ICT for Health, Oficina de Publicaciones de la Unin Europea, Luxemburgo, 2006. El objetivo final es permitir el acceso a la historia clnica electrnica y a los datos de emergencia del paciente desde cualquier lugar de Europa.
65

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

117

publicunplandeaccinsobresanidadelectrnicaen2004y,enjuliode2008,unarecomendacin sobreinteroperabilidadtransfronterizadelossistemasHCE (http://www.semantichealth.org/PUBLIC/20080516/P0103 Semantic%20WS%20Gerard%20Comyn.pdf)paraquelosmdicospudieranteneraccesoainformacin vitalsobrepacientesprocedentesdeotrosEstadosMiembrosenlosquestoshabansidotratados. Situacinhipotticaparalanube Dadoquelosmodelosdenubesecentranmuchoenlainteroperabilidadyelimpactopositivo potencialenlaeficienciadelasempresas,unaseriedeautoridadessanitariaslocales(ASL)estn considerandolaposibilidaddecerrarunacuerdoconunaempresadetelecomunicacionesnacional paralacreacindesupropianube. LasASLplaneanmigrar,alanube,serviciostalescomolashistoriasclnicaselectrnicas 66 ,archivos sanitarioselectrnicos(ASE 67 ),laprogramacinenlneadelascitasparaexmenesmdicosyotros serviciosmenoscrticos,p.ej.,serviciosadministrativos(backend),recursoshumanos,nminasy aprendizajeelectrnico. MarcoRossi,DirectorGeneraldeunaASL,esunodelosprincipalespatrocinadoresdelenfoquedela nube,peroesconscientedequelosrepresentantesdeotrasASLensureginsemuestranreaciosa trasladarserviciosalanubey,portanto,lnecesitaesgrimirargumentosslidos,enparticularenlo queserefiereadisponibilidaddedatosyservicios,autenticidaddedatos,integridad,resistenciadela seguridaddelainformacin,resistenciadelosservicios,proteccindelosdatospersonalesy cumplimientodelalegislacin(enespecialrespectoalalegislacindeproteccindedatos). SabequeenlaprximaydecisivareuninconlosdirectoresgeneralesdelasdemsASLquepuedan estarpotencialmenteinteresadosenla"nubehbridaregionaldesanidadelectrnica",deberabordar lassiguientespreguntas: Culeselverdaderovaloraadidodelanubehbridaregionaldesanidadelectrnicaen trminosderesistenciayfiabilidad? Puedelaofertadenubesregionalofrecer,porlomenos,elmismonivelderesistenciay seguridaddedatosqueelqueposeenlasASLactualmente?Puedenfijarseestosrequisitosen losacuerdossobrenivelesdeinfraestructurasdeservicioentrelasASLylosproveedoresde infraestructuraenlanube?Quserviciosoinformacintendrpotencialmentemayorriesgo yculdeellospodraserinclusomssegurodeloqueesenlaactualidad?

el archivo sanitario es un archivo creado por un organismo de atencin sanitaria que acta como el responsable nico del tratamiento de los datos (p. ej., un hospital o una residencia), en el que trabajan varios profesionales sanitarios. Por el contrario, la historia clnica electrnica es un archivo creado por la agrupacin de datos procedentes de responsables del tratamiento de los datos que, por regla general (aunque no es siempre el caso), operan dentro de la misma zona geogrfica (p. ej., una unidad de atencin mdica y un laboratorio privado que operan en la misma regin o rea). Los archivos sanitarios, por ejemplo, tambin pueden estar constituidos por el conjunto de informes de salud en poder de los responsables de datos individuales que participan en una iniciativa de HCE a nivel regional."

67

118

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Qutipodeaccesosepuededesarrollardemodoquelosnivelesdeseguridadrequeridosse puedanaplicar? CmodebenlasASLabordarelcumplimientodeauditora,jurdicoydelasnormativas?Qu tipodeprocesosdeauditorayflujodetrabajodebenaplicarse? Qumodelodeimplementacin(privado,pblico,hbrido,comunitario)seadaptamejora lasautoridadessanitariaslocales?Debenlosserviciospblicos(p.ej.,almacenamientodelas historiasclnicas)residirenelmismoserviciodenubecomoserviciosadministrativosyde control(p.ej.,nminas,recursoshumanos,etc.)? Qumodelodeservicio(IaaS,PaaSoSaaS)seadaptamejoralasnecesidadesdelasASL? Culdeestosmodelosproporcionalamejorcombinacin(siexiste)entrelosmodelosde serviciosylosservicios(p.ej.,larecopilacinenlneadearchivossanitarios,programacinde citasenlneayotrosserviciosmenoscrticos,p.ej.,serviciosadministrativos(backend), recursoshumanos,nminas,aprendizajeelectrnico)?Teniendoencuentalosdiferentes requisitosdeservicio,qutiposdeacuerdosdeniveldeservicio(ANS)sedebenaplicar? Cmovaagestionarseeldiseo,implementacinyadministracindelainfraestructuraa travsdelasdiversasASL? Existenproblemasdeinteroperabilidadentreelsistemadenubeylosexistentesactualmente queproducenlosdatosmdicosenalgunoshospitales?Cmosepodrnsuperar?Cules sonlosrequisitosmnimosparalainteroperabilidaddelashistoriasclnicaselectrnicas? Culeselverdaderovaloraadidodelanubehbridaregionaldesanidadelectrnicaen trminosdereduccinenelcostedelaadquisicinyelmantenimientodeTI? CmopuedelaASLgarantizarloscontrolesdeseguridadefectivosenlasolucindeextremo aextremoresultante?Quformasdeauditoras,acuerdosdeniveldeservicio,sancioneso incentivoseconmicos,etc.,funcionarnmejorparaofrecerunagarantaadecuada? Quvaacambiar(siesquecambiaalgo)entrminosdelaprestacindelosservicios relevantesalospacientesydelausabilidaddedichosserviciosporpartedelosprofesionales (p.ej.,mdicosdehospitales,mdicosdemedicinageneral,personaldeunaASL)?

Historia clnica electrnica (HCE)


Unahistoriaclnicaelectrnica(HCE)esunalmacndeinformacinsobreelestadodesaluddeun pacienteenunformatoprocesableporelordenador,guardadoytransmitidodeformaseguray accesiblepormltiplesusuariosautorizados.Poseeunmodelolgicodeinformacinnormalizadoo decididodecomnacuerdoqueesindependientedelossistemasdeHCE.Suobjetivoprincipalesel apoyoalaatencinsanitariaintegradacontinua,eficienteydecalidadycontieneinformacinquees retrospectiva,concurrenteyprospectiva 68 . LaHCErepresentaparalosmdicosunafuentedeinformacincentralizadaenelpacienteque essegura,entiemporealyprocededelcentrodeatencin.

68

ISO/TR 20514:2005(E)

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

119

LaHCEayudaalosmdicosatomardecisionesmedianteelaccesoalainformacinregistrada sobrelasaluddelospacientesdondeycuandolanecesitenymediantelaincorporacinde ayudaparalatomadedecisionesbasadaenlaevidencia. LaHCEautomatizayracionalizaelflujodetrabajoclnico,cerrandobuclesenlacomunicacin ylarespuestaquepuededarlugararetrasosodeficienciasenlaatencin.

Atributosyrequisitosesenciales 69 ElsistemadeHCEdebe: Proporcionarunaccesoseguro,fiableyentiemporealalainformacindelahistoriaclnica delpacientedondeycuandosenecesiteparaayudarenlaatencinadichopaciente. Garantizarlaconfidencialidadyseguridaddelainformacinsanitariadelpaciente. Seraccesibleyfiableentodomomento. Serlosuficientementeadaptativaparaintegrarseconelflujodetrabajoclnico. Seraccesiblecuandosenecesite,enhospitalesyambulatorios,conaccesoremoto. Capturarygestionarlainformacindelahistoriaclnicaelectrnicaepisdicaylongitudinal. o Verificarlainformacincapturadaoimportadayproporcionarregistrosdefechay hora,lafuentedeinformacinymodificarelregistrodeauditora. o Cumplirconlasnormasindustrialesaprobadasparaelvocabularioyelcontenidode mensajes. o Aceptarlainformacinprocedentedesistemasexternosydispositivosautomatizados decapturadedatos,talescomomonitoresdepacientes,equiposdeanlisisde laboratorioyescneresdecdigodebarra. o Encondicionesideales,aceptareintegrarlainformacindelahistoriaclnica procedentedefueradelapropiaorganizacin,incluidalainformacinde administracindemedicamentosdelasfarmaciasdelacomunidad. o Proporcionarherramientasparaunaidentificacinnicadelpacienteylaintegracin delainformacinatravsdelossistemasyconfiguracionessinunidentificadorcomn delpaciente. o Permitirlaentradadedatoseficientedetodaslasrdenesydocumentacinporparte mdicosautorizados.Estoincluyelagestindelaescriturayreposicinderecetas mdicas.Encondicionesideales,deberasercompatiblecondiversosmediosde entradahabitualesenelsectormdico(p.ej.,reconocimientoporteclado,voz, punterooescrituramanual).Enprincipio,ladocumentacindeberaincluirel razonamientoybasetericamdica. o Permitirlafirmaelectrnica,cuandolopermitalaley. o Aceptarlainformacinsanitariadelpacientedeclaradaporlmismo. o Encondicionesideales,diferenciarentrelosdatoshistricosdelpaciente(aplicablea travsdevisitasyentodoelespectrodelaatencin,p.ej.,alergias)frentealosdatos episdicos(aplicableaunavisita,p.ej.,lossonidosrespiratoriosdelaltima

69 Los atributos de servicio y sus requisitos esenciales se basan principalmente en: http://www.himss.org/content/files/EHRAttributes.pdf

120

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

evaluacinrespiratoria)ypermitirlacopiadedatoscuandocorrespondaparaapoyar lacontinuidaddelaatencin,laprecisindelospedidosylaeficienciadela documentacinmdica.

Archivos electrnicos sanitarios


Unarchivosanitariopresentalosmismosatributosesencialesquelashistoriasclnicaselectrnicas,la nicadiferenciaesqueelarchivoestcreadoporunorganismodeatencinsanitariaqueactacomo responsablenicodelosdatos(p.ej.,unhospitalounaresidencia)enelquetrabajanvarios profesionalessanitarios.Porelcontrario,lahistoriaclnicaelectrnicaesunarchivocreadoporla agrupacindedatosprocedentesdediferentesresponsablesdedatosque,porreglageneral(aunque noessiempreelcaso),operandentrodelamismazonageogrfica(p.ej.,unaunidaddeatencin mdicayunlaboratorioprivadoqueoperanenlamismareginorea).Losarchivossanitarios,por ejemplo,tambinpuedenestarconstituidosporelconjuntodeinformesdesaludenpoderdelos responsablesdedatosindividualesqueparticipanenunainiciativadeHCEanivelregional. (http://www.garanteprivacy.it/garante/doc.jsp?ID=1672821)

Sistema regional de intermediacin e intercambio de registros electrnicos de pacientes


Unsistemaregionaldeintermediacineintercambiodehistorialeselectrnicosdepacientesesun puntodereferenciaregionalparatodalainformacinsanitariarelacionadaconunpacientequevive enesaregin. Lainformacin(historialeselectrnicosdepacientes)sedepositadirectamenteenunalmacn regionalcompartidocontodaslaspartesinteresadasnacionaleseinternacionales(hospitalesy clnicas,mdicosdemedicinageneral,etc.)obienseguardaanivellocal(autoridadessanitarias locales,hospitales,etc.)ysereferenciamedianteunenlaceenelsistemaregionaldeintermediacine intercambiodehistorialeselectrnicosdepacientes. Sonaplicablesaesteserviciolosmismosatributosyrequisitosesencialesidentificadosparalahistoria clnicaelectrnica. Nubecomunitarialocalyregionalsituacinnm.2 CasoprcticodeusodenubeenelqueparticipanautoridadeslocalesenEspaa ElgobiernoprovincialdeJan,enelsurdeEspaa,quieremejorarlaparticipacindelosciudadanos enlaSociedaddelaInformacinypromoverlosserviciosdelaadministracinelectrnica.Paraelloha impulsadounproyectodenominadoJanProvinciaDigital,quetienecuatroobjetivosestratgicos: 1.Proporcionarunainfraestructuradecomunicacionesdigitalesentodalaprovincia. 2.Mejorarelaccesoylaparticipacindelosciudadanosenlasociedaddelainformacinydel conocimiento.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

121

3.Ofrecerlosserviciosyrecursosdelosayuntamientosenlnea. 4.Ofrecerlosserviciosyrecursosdelgobiernoprovincialenlnea. Elgobiernoprovincialhareconocidoelvalordeestablecersolucionesorganizativasytecnolgicas comunesparalasadministracioneslocales. Estoesloqueelgobiernoprovincialhahechohastaahoraparaalcanzarsuscuatroobjetivos. Infraestructuradigital Lainfraestructuradigitalsebasaenlaredprovincialdecomunicacionesconocidaconelnombrede Heraclea,queproporcionaaccesodebandaanchaatodoslosmunicipios.Laredcuentaconuntotal de113conexiones,77delascualessonayuntamientosylas36restantes,oficinasdelgobierno municipal.Hastaahora,elgobiernoprovincialhaconectado97municipiosalgobiernoprovinciala travsdeGIGADSL,queproporcionalosaccesosalosserviciosmunicipalesenlnea. Tambinfacilitaelaccesoadepsitosdesoftwarelibreatravsdedosredesadministrativas:lared delgobiernoregionaldeAndaluca,llamadaNEREA,ylareddelgobiernoestatal,denominadaSARA.El gobiernoautonmicodeAndaluca,delqueJanesunaprovincia,hadesarrolladosupropiaredde distribucinLinux,llamadaGuadalinex(http://www.guadalinex.org/).Guadalinexposeesuspropias herramientasdeoficinayofrecealosciudadanosaccesolibrealsoftwareyherramientasdesu sistemaoperativo.

Ciudadanadigital ElprogramaCiudadanadigitalpromuevelaigualdaddeparticipacindelosciudadanosdelaprovincia deJanenlasociedaddelainformacinydelconocimiento.En2001,elgobiernoprovincialfueuno delospionerosenlaintroduccindecentrosconaccesopblicoaInternet.Treintaycuatrodelos97 municipiosdelaprovinciaestabanequipadoscontelecentros.Actualmente,todoslosmunicipios cuentancontelecentros.Enestosmomentos,Jandisponede161telecentros,deloscuales62estn situadosenpueblos.LostelecentrosofrecenalosciudadanosaccesogratuitoaInternety,en particular,programasyactividadescentradasenelaprendizajeycomercioenlnea,ascomootros servicioselectrnicos.

Ayuntamientosdigitales JanyotrosgobiernosprovincialesdeAndalucasehanunidoparadesarrollarunaplataformacomn llamadaModeloTICdeAyuntamientoDigital,quepermitelaadministracinylaprogresiva implementacindelaciudadanadigital.Elmodelotienetrescapas:(1)unportaldeserviciosenlnea; (2)unapginawebmunicipal;y(3)unservicioadministrativodelayuntamiento,queseencargade administrarelcenso,lagestindelsuelo,elregistro,agua,impuestos,contabilidadynminas.Enabril de2010,23municipioshabanusadolaplataformaparaestablecersuspropiosportalesdeserviciosen lnea.Seesperaquetodoslosmunicipiossigansuejemplo.

122

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Gobiernoprovincialdigital Elgobiernoprovincialhahechorealidadlaadministracinelectrnicaalponertodossusserviciosen lnea.LaversinenpapeldelBoletnProvincialdesapareciendiciembrede2003;elgobierno provincialsolopublicaactualmenteunaversinelectrnica.Sehapromocionadoelsoftwarede accesolibreyabiertonosoloensupropiapginawebsinotambinenlasdelosmunicipios. Elgobiernoprovincialhapuestoenlneasuplanestratgico,juntoconlosindicadoresparamedirel xitodesuimplementacin(conocidocomocuadrodemandointegral).HaelaboradounaGuadelos ServiciosdelGobiernoProvincial,quetambinsepuedeconsultarenlnea.Conelfindelograruna administracinsinpapeles,elgobiernoprovincialhapuestosuregistroycomunicacioneselectrnicas enlnea,ascomosusplanesdegestindelgasto,subsidiosylagestintributaria.

Informacingeneral JanProvinciaDigitalesunproyectoparapotenciarlacooperacintecnolgicaylaparticipacinenla sociedaddelainformacin.Esteproyectovinculaelgobiernomunicipalylos97ayuntamientosdela provincia.Sebasaenlossiguientesprincipios: Lainteroperabilidadyelsoftwarelibrecomobaseparaloscomponentesdelmodelo. Eltrabajoenlneacompartiendolasredesdecomunicacin(tantodentrodelaprovinciacomo anivelandaluzynacional). Ladefinicindemodeloscomunesdesistemasdegestineinformacinparalamejoradelas administracionespblicasenlnea.ElmodelodeTICdelAyuntamientoDigitalespartedel depsitolocaldesoftwaredeAndaluca.NosolosevaaaplicaralosmunicipiosdeJan,sino quetambinestrecomendadoydisponibleparaotrosmunicipiosandalucesydelrestode Espaa.

ElproyectoestbasadoenunainiciativadelMinisteriodeIndustria,TurismoyComercioespaol (MITYC),queproporcionalainfraestructura,laplataformayunconjuntodeaplicacionesparatodoslos ayuntamientosespaoles(queson8.300).Lasadministracionespblicastodavatienenquemoversea lanube,sinembargo,yaquecadaayuntamientotienequedescargar,instalaryconfigurarcada aplicaciny,porlotanto,necesitatenersupropiainfraestructura. EntrelosserviciosprestadosporelMinisteriodeIndustriaalosayuntamientoslocalesdestacanlos siguientes: 1 LocalWeb,unaaplicacinparagenerarsitiosweb. 2 SIGEM,unaaplicacinparagestionarlosprocedimientosadministrativosdeunarchivooregistro. 3 LocalGIS,unaaplicacindegestindelacartografa. 4 Registro,unaaplicacinparaelmantenimientodelcensodepoblacinmunicipal. 5 Catastro,unaaplicacinparaelregistrodelaspropiedadesdeciudadanosyempresas. 6 EEasy,unaaplicacindeapoyoalacreacindeempresasylafacturacindelasentidadeslocales.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

123

RequisitosdeTICdelmodelodeJan(ficticio,adosaosenelfuturo) ElgobiernoprovincialdeJaninicisuplanJanProvinciaDigitaltrascelebrarconsultasconsus97 municipios.Enconjunto,identificaronsusrequisitosdeserviciosyrecursos,incluyendounaredde distribucin,variosservidores,unalmacenamientosuficienteyunsistemaquepermitieramltiplesy variadostiposdeaplicacionesyservicios.Enconcreto,lasnecesidadesprevistaseranlassiguientes: Unautoservicioademandaconelcualcualquiermunicipiopodradisponerdeservidora cualquierhoraydealmacenamientoenredcuandolonecesitara,deformaautomtica,y sinnecesidaddeinteraccinhumanaconelproveedordecadaservicio. Accesoalaredatravsdediferentesdispositivos,comoestacionesdetrabajo,telecentros, telfonosmviles,porttilesyPDA. Puestaencomnderecursosinformticosparaserviramuchosusuariosdiferentes, algunosfuncionariosdelgobiernomunicipalyprovincialyalgunosciudadanos. Rpidaelasticidad,esdecir,laredpudieseresponderconrapidezydeformaautomticaa loscambiosenlademandaporpartedemunicipiosconcretosodelgobiernoprovincial. Medicindelusodelrecurso,porloqueelsistemapodramedireinformardelos diferentesnivelesdeuso(p.ej.,almacenamiento,procesamiento,anchodebanday cuentasdeusuarioactivas)porpartedelosmunicipios,elgobiernoprovincialeincluso, losciudadanos. Migracindelosserviciosexistentes,demodoquesepudieranseguirusandoalgunosde losserviciospersonalizadosoespecializadosenelnuevosistema. Relacincostebeneficiopositiva,enlaquetodoslosinteresadospudieranbeneficiarsede costesmsbajosquelosrecursosinformticosdiversosquehayestadoutilizandoen entornosesencialmenteautnomos.Adems,queranpagarsoloporelusoreal,ynopor recursosquequizsnollegaraausar. Implementacinrpida:queranpoderofrecerrpidamentenuevosserviciossintenerque adquirir,certificaryvalidarnuevohardwareysoftware. Altadisponibilidadyfiabilidad:queranunsistemaconunadisponibilidadyresistenciadel 100%o,porlomenos,queseaproximaraal100%lomsposible.Siseproducaunfalloen unservidorcentral,queranquecualquierotroservidorsehicieracargodelserviciode inmediato.Siseproducaunfalloenlared(p.ej.,debidoaunfalloenelsuministro energticooporunainterrupcinenlalneadecomunicaciones),deseabanunacopiade seguridadinstantnea. Facilidaddeuso:queranunsistemaconunacurvadeaprendizajecortaparaaquellosque desarrollabanyutilizabanlosserviciosdelasadministracionespblicaselectrnicas.

Basndoseensusnecesidades,sellegalacuerdodequedebanmoversealanube,perodeuna maneraquelespermitierallevarsealgunossistemasdelosyaexistentes.Hubociertodebateentorno aqumodelodeservicioseraelmsapropiado.

124

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Modelosdeservicio Softwarecomoservicio(SoftwareasaService,SaaS):muchosciudadanosconsumidoresnecesitan utilizaraplicacionespopulares(correoelectrnico,procesadordetextos,hojasdeclculo),ascomo aplicacionesespecializadas(paraobtenerpermisosdeaparcamiento,serviciospblicos,certificados emitidosporelayuntamiento,accesoabibliotecas,etc.)yaplicacionesadministrativas(nminase impuestos)quepodranestarbasadasenlanubeyaccederseaellasmedianteunnavegadorweb utilizandodiferentesdispositivosdeusuario(estacionesdetrabajo,porttiles,telfonosmvilesy PDA).Elciudadanoconsumidor(yeltrabajadoradministrador)solonecesitarasudispositivo.Lanube leproporcionaraelsoftware,lasaplicaciones,elalmacenamientoylacopiadeseguridad. PlataformacomoServicio(PlatformasaService,PaaS):elgobiernoprovincialylosmunicipiosutilizan aplicacionescomercialespopulares,perotambinnecesitandesarrollarsuspropiasaplicaciones especializadasutilizandolenguajesyherramientasdeprogramacinadmitidosporelproveedordela nube.Elproveedordelanubegestionaralared,losservidores,lossistemasoperativosyel almacenamiento. InfraestructuracomoServicio(InfrastructureasaService,IaaS):elgobiernoylosmunicipiosvaloraron sinecesitabancontrolarlainfraestructuraactual(servidores,sistemasoperativos,almacenamiento, aplicaciones,etc.)perodecidieronquenoeranecesarioyqueseramseconmicodejarqueun proveedordenubeseencargaradeestostemas. Despusdeconsiderarlosmodelosdeimplementacin(unanubeprivada,comunitaria,pblicao hbrida)decidieronquelesconvenaunanubecomunitaria.

Resistencia Sibienlosbeneficioseconmicosydeotrostiposquerepresentabamoversealanubeeranevidentes, anlespreocupabalaresistenciadelservicio,laseguridaddelainformacinyelcumplimientolegal.El registrodelproveedordelanube,enesesentido,eramejorquelossuyospropios.Anas,sus preocupacionesencuantoaresistenciaeranlassiguientes: Proteccindedatos(integridad,privacidadyautenticidad):algunosdesusservicios utilizabandatospersonales,porloqueellosnecesitabangarantasdequeelproveedorde lanubecumpliralasleyesespaolasdeproteccindedatos. Disponibilidad,fiabilidadycalidaddeservicio:necesitabanserviciosqueestuvieran siempredisponiblesyquefueranfiables(esdecir,quesiemprehicieranaquelloquese esperaba). Copiasdeseguridadycontinuidad:siseprodujeraunacadadelservidorprincipalde alojamiento,otrodeberasercapazdeasumirelcontrol"inmediatamente".Deban tenerseencuentavariosfactoresexternos,comointerrupcionesdelsuministroelctricoy ataquesfsicosycibernticos. Controldelacceso:algunosserviciospodranseraccesiblesparacualquiera,otros(p.ej., serviciossociales)estarancontroladosylimitadosporindividuosseleccionados.Elcontrol delaccesodebaincluirmedidasparalaautenticacindelosusuariosyproporcionar

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

125

registrodeauditorasysuseguimiento.EnEspaa,esposibleaccederamuchosservicios electrnicosdelaadministracinpblicautilizandoelDNIelectrnico,locualcontribuyea apoyarelmodelodeIdentidadcomoServicio(IDaaS). Auditorasycertificacin:quizselrequisitomsdifcilestablecidoporlosmunicipiosera queelservicioproporcionadoporlanubedebaestarsujetoaunaauditoray,enalgunos casososervicios,debaestarcertificadodeacuerdoconlasnormasdeseguridad(ISMS, ISO27001).

Procedimientos administrativos electrnicos


Sedesarrollunaaplicacinparagestionarlosprocedimientosadministrativosdeunarchivoo registro.Dichaaplicacinpermitealosciudadanossolicitarelectrnicamente(desdesuscasas) subvenciones,ayudasylicencias,orealizarpagos,recibirnoticiassobreelestadodesussolicitudes,as comoinformacinsobresifaltacualquierdocumento,coninstruccionessobrecmoadjuntarlos,y finalmentepermiterecibirunanotificacindelosresultadosdesusgestiones.

126

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Nubegubernamentalcomoviverodeempresassituacinhipotticanm.3 ElMinistrodeComunicacionesyTecnologayelMinistrodeIndustriayDesarrolloestaban manteniendounaconversacininformaltrasunareuninconelPrimerMinistro. Eltemasobreelquediscutaneraelmismoqueamenudohabantratadoelaopasado,la computacinenlanube. ElMinistrodeIndustriayDesarrolloledijoasucolega:Mantuveunareuninlasemanapasadacon mihomlogojaponsymeestuvoexplicandosuproyectoJSaaS. ElMinisteriodeEconoma,ComercioeIndustriajaponsdesarrollunainfraestructurade computacinhaceunao.ElsistemasellamaJSaaS.ElJSaaSesunaplataformainformticaque funcionacomoviveroparaproveedoresyusuariosdeSaaS. Losproveedoresindependientesdesoftware(ISV)centradosenlaspymespuedencombinarloconsus paquetesdeaplicacionesyofrecerlocomoSaaS.Losusuariosdelaspymespuedenutilizarelservicio tantoparalaproduccincomoparausoexperimentalaunbajocoste.Antes,losISVjaponeses vendanpaquetesdesoftwareapymesquetienenpocacompetenciaenTIyescasadeduccinpor gastosdecapital.SilosproductosdesoftwaredelosISVpuedenofrecersecomoSaaS,disminuirnlas barrerasdelmercado.Sinembargo,losISVnopodranofrecerSaaS,puestoquenocuentanconla infraestructuraparaofrecerSaaS.As,elgobiernopreparlainfraestructuraparaquelosproveedores yusuariospudieranutilizarlaypromoverlagestinbasadaenTI,porelladodelusuario,yelnegocio enunnuevomodelodeimplementacin,porelladodelproveedor. NohabaodohablardeestorespondielMinistrodeComunicacionesyTecnologa.Parece unamuybuenaidea,quepodramosadoptarennuestropasyentodalaUE(?)y,sobretodo,si tenemosencuentaqueel99%delosnegociosdelaUEsonpequeasymedianasempresasy microempresas.Tambindeberamosplantearnoslaampliacindelosserviciosofrecidosporlanube gubernamentalparaincluirtambinIaaSyPaaS. S,estoydeacuerdodijoelMinistrodeIndustriayDesarrollo,peroantesdepresentarestaidea alpblicodeberamostenerrespuestasconcretasyslidasalaspreguntasmshabitualessobre computacinenlanube: Eslosuficientementesegura? LosISVsondesuficienteconfianza(gestindelaconfianzaentreconsumidoreseISV)? Dndesevanaalmacenarlosdatos? Lanubegubernamentalserlosuficientementefiable?Lanubegubernamental,puede ofrecerunmejoracuerdodeniveldeservicio(ANS)queelofrecidoactualmentealas pymes? 5. Laconcentracinderecursosvaaaumentarlosincentivosparalosatacantes? 1. 2. 3. 4.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

127

6. Esnuestroactualmarcojurdicoadecuadoparaenfrentarnosalosposiblesdesafosde lanube? 7. Qumodelodeimplementacin(privado,pblico,hbridoocomunitario)seadapta mejoralosobjetivos? 8. Vaaserdeverdadrentableparalaspymes? 9. Puedelanubegubernamentaladoptarunmodelodeayudasysubvencionesparalas pymesconelobjetivodepromoverelprocesodemigracin? 10. Vaadistorsionarelmercado? 11. Quocurreconlasinfraestructurascrticas? 12. Responsabilidad:puedenlasadministracionespblicasofrecerla? 13. Debersersupranacionalparaserfiable? 14. Podemosdefinirclaramentenuestrasexpectativasconrespectoalriesgo?

Modelo J-SaaS

TeniendocomoreferencialaestructuradelJSaaSjapons,parececlaroquelasadministraciones pblicaspuedenofrecervariosservicios.Lavisinestratgicadelgobiernopermitirdecisiones comerciales,enlasquesetendrnencuenta,entreotrosfactores,lassiguientesvariablesposibles:

128

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Tipodeclientepotencial Microempresa. Pequeasymedianasempresas(pymes). Empresasqueejercensuactividadcomercialensectorescomercialesmuyregulados. Grandesempresas(quemuevenserviciosconcretos).

Las categoras mencionadas deben considerarse como usuarios finales de la plataforma y como empresas que aprovechan la nube gubernamental para ofrecer sus servicios de TI a otras empresas.

Necesidadesdeposiblesclientesyadministracionespblicas Apoyodenegociosnacionales. Integracinconconjuntosdedatosyservicioscompetentesdelasadministracionespblicas. InfraestructuradeTIfiableyrentableademandaquetengaelpotencialdepoderllegaracubrir todoelespectrodeserviciosdeTI. PlataformadeTIfiableyrentableademandaquepuedaintegrarseoseacompatibleconla plataformadeserviciosinternos. Unbancodepruebasconpocosrequisitosdedisponibilidad. Serviciosespecficosdelsector. Serviciosdeseguridaddevaloraadido. Marcadeconfianza. Cumplimientolegal. Asignacinclaraderesponsabilidades.

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

129

AnexoIIIDescripcindelaarquitecturadelProyectoReservoir
Arquitecturadenubevirtualparanubescomunitarias EnesteapartadodescribimosunaarquitecturadenubevirtualabstractaqueofreceInfraestructura comoServicio(IaaS),PlataformacomoServicio(PaaS)ySoftwarecomoServicio(SaaS).Laarquitectura presentaunacapadeinfraestructuravirtualencimadelainfraestructurafsica.Estacapade abstraccinestdiseadaparagestionarunafederacindeinfraestructurasfsicasheterogneas.Cada sitiotieneunaparticindeunacapadevirtualizacinenmquinasvirtuales(MV)quesonmdulosde tiempodeejecucintotalmenteaisladosqueabstraenlascaractersticasfsicasdelrecursoypermiten compartirrecursos.Estaarquitecturasebasaentrescapasdistintas: Gestordeservicios/plataformas(GS):esresponsabledeinstanciarlaaplicacindeservicio solicitandolacreacinyconfiguracindeunaMVparacadacomponentedeservicio,de acuerdoconladefinicindeservicio,garantizandoaselcumplimientodelacuerdodenivelde servicio(ANS).Enelcasodeunaplataforma,distribuyeelcdigoenlaplataformaapropiada, p.ej.enuncontenedordeserviciosjava. Gestindeinfraestructurasvirtuales(GIV):esresponsabledesituarlasMVenmquinashost (MH).RecibesolicitudesdelGSparacrearyredimensionarMVydecidelamejorubicacin paraqueestasMVoptimicenunafuncindeutilidaddesitiodadounconjuntodelimitaciones (queestableceelGS).ElGIVnosologestionalaprovisindelasMV,sinotambindelasredes virtuales(RV)yelalmacenamientovirtual(AV)necesario.ElGIVcontrolatotalmentelasMH. Unmotordepolticas(MP)esuncomponentedeGIVresponsabledeubicarymigrarlasMV enunaMH.LaMVrepresentaunrecursovirtualizadoquealojaciertotipodeMV.LosGIV emitencomandosgenricosparagestionarelciclodevidadelasMV,yestassonresponsables detraducirestoscomandosacomandosespecficosparalaplataformadevirtualizacinque abstraecadaMV. Gestordeinfraestructurasfsicas(GIF):Estacapagestionalamquinafsica,laconexinared yelequipodealmacenamiento.Gestionalaadicinyeliminacinderecursosdelconjuntode recursoscompartibles.

Comosemuestraenlafigura,cadacapatieneuncomponentedegestinparagestionarlosserviciosy plataformas,lainfraestructuravirtualylainfraestructurafsica.

130

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

FIGURA2AMENAZASDEEXTREMOAEXTREMOALARESISTENCIA

Amenazasdeextremoaextremoalaresistenciadeunaarquitecturadenubevirtualizada Variostiposdeusuariosaccedenalanubemediantelaconexindered:elproveedordeserviciosque distribuyeygestionasuaplicacindevariosnivelesenlanube,eladministradordelainfraestructura virtualquegestionaestayelusuariofinalqueaccedealasaplicacionesqueseejecutanenla infraestructuradenube.Estosdistintostiposdeusuariosdenubesonfuentesdeamenazas.Deben identificarseydebenestablecersecontramedidas. Laresistenciadelanubedeextremoaextremopuedeverseamenazadaencualquiercapadeuna arquitecturadenubevirtualizada.Enlatablainferiorseclasificanciertasamenazasimportantespara cadacapadescritaenlaFigura2yloscomponentesquesevenamenazados: Amenaza Errordeserviciodefacturacin odisponibilidadreducida Menordisponibilidadoerroral crearlaMV Menordisponibilidadoerroral cerrarlaMV Menordisponibilidadoerrorde lafuncindemigracin Menordisponibilidaddela funcindecontrol Capa Serviciooplataforma Infraestructuravirtual Infraestructuravirtual Infraestructuravirtual Serviciooplataforma, infraestructuravirtual GS GIV,MV,RV,AV GIV GIV Componente amenazado

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

131

Amenaza Interrupcionesdelared Compromisodelagestinde red Interferenciadeaplicaciones Sobrecargadelsistema, incapacidaddeescalar Compromisodelhipervisoroel SO Compromisodelainterfazde gestin Compromisodelsistemao proveedordelagestinde identidades AtaqueDDoSoDOSaotra autoridadsanitariaqueafectaa sussistemas Compromisoofallodelsistema decontabilidadyfacturacin Nodisponibilidaddelservicio HCEodeotroservicio Prdidaocompromisodela informacindeHCE Incoherenciadedatos Desastres Clavesdecifradoperdidas Bancarrotadelsocioo proveedordelanube

Capa Infraestructurafsica Infraestructurafsica Serviciooplataforma, infraestructuravirtual Infraestructuravirtual Infraestructuravirtual Infraestructuravirtualofsica Serviciooplataforma, infraestructuravirtualofsica Serviciooplataforma, infraestructuravirtualofsica Serviciooplataforma Servicio Servicio Servicio Todos Todos Todos Red Red

Componente amenazado

GS,GIV,MV,RV,AV GIV MV GIV,GIF Servicio,GIV,GIF

GS,GIV,GIF,servicio, plataforma GS Servicio Servicio Servicio Todos Todos Todos

132

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

Amenazasalaresistenciadeextremoaextremoennubescomunitarias

FIGURA3AMENAZASDEEXTREMOAEXTREMOALARESISTENCIAENNUBESCOMUNITARIAS

Enelcasodenubescomunitariasbasadasenunafederacindecentrosdedatos,estoscentrosestn conectadosporredesfsicasytambinvirtuales.Porlotanto,laresistenciadeextremoaextremo afrontadistintasamenazasqueenelcasodeunasolanube.Ademsdelasamenazasalasdistintas capaspresentadasenelapartadoanterior,debentenerseencuentaotrasamenazasalaestructurade lafederacindenubesubyacente. LaFigura3muestraunanubecomunitariacompuestaporedossitios,AyB.Losdossitiosestn conectadosmedianteredesyredesvirtuales.Losdossitiospuedenofrecerrecursosdesdecadauno delossitios.Lafiguramuestralostrestiposdeusuariosdenubes(usuariofinal,administradorde serviciosoplataformasyadministradordeinfraestructurasvirtualesofsicas).Lasamenazaspueden ocurrirencualquierlugar:enelsitiodelusuariodelanube,enlaredentreelsitiodelusuariodela nubeyenelsitiodelanubeprincipal,enlaredentrelosdossitiosdenubeyenelsegundositiode nube. LatablainferiorclasificalasamenazasprincipalessegnlaubicacindelaamenazaenlaFigura3ylos componentesamenazados:

Amenaza Errordeserviciodefacturacino disponibilidadreducida Menordisponibilidadoerroral crearlaMV

Ubicacin Sitiodelanube Sitiodelanube

Componentesamenazados GS GIV,MV,RV,AV

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

133

Amenaza Menordisponibilidadoerroral cerrarlaMV Menordisponibilidadoerrordela funcindemigracin Menordisponibilidaddelafuncin decontrol Interrupcionesdelared Compromisodelagestindela red Interferenciadeaplicaciones Sobrecargadelsistema, incapacidaddeescalar CompromisodelhipervisoroelSO Compromisodelainterfazde gestin Compromisodelsistemaoel proveedordelagestinde identidades AtaqueDDoSoDOSaotra autoridadsanitariaqueafectaa sussistemas Modificacindeltrficodered Compromisoofallodelsistemade contabilidadyfacturacin NodisponibilidaddelservicioHCE odeotroservicio Prdidaocompromisode informacindeHCE Incoherenciadedatos Clavesdecifradoperdidas

Ubicacin Sitiodelanube Sitiodelanube Sitiodelanube Usuariodereddenube,red comunitaria Usuariodereddenube,red comunitaria Sitiodelanube Sitiodelanube Sitiodelanube Sitiodelanube Sitiodelanube

Componentesamenazados GIV GIV Red Red GS,GIV,MV,RV,AV GIV MV GIV,GIF Servicio,GIV,GIF

Sitiodelanube

GS,GIV,GIF,servicio, plataforma Red,redvirtual GS Servicio Servicio Servicio Todos

Usuariodereddenube,red comunitaria Sitiodelanube Sitiodelanube Sitiodelanube Sitiodelanube Sitiodelanube

134

Seguridad y fiabilidad en las nubes de la Administracin Pblica


Informe para la toma de decisiones

AnexoIVListadeamenazas
ID Descripcindeamenaza Amenazasaplicablesatodaslassituaciones 1. Interrupcionesdered(prdidatemporaldecomponentesdeenrutamiento,asumiendoque puederecuperarse) 2. Prdidadetrfico 3. Gestindered(esdecir,congestindered,malaconexin,usonoptimo,etc.) 4. Interferenciadeaplicaciones(accesoalcdigo,yposteriorataque) 5. ErrordeladministradordelPN 6. Intrusomalicioso(exploracinineficaz,registrosineficaces,etc.) 7. RecursosagotadosdelPN(prdidaderendimiento) 8. Sobrecargadelsistema,incapacidaddeescalar 9. CompromisosdelhipervisorodelSO 10. Ataquesdeingenierasocial(suplantacinej.seguridadademanda) 11. Filtracindedatosenlacargaodescargadentrodelanube(sniffing(capturadepaquetes), spoofing(suplantacindeidentidad),ataquesporcanallateral,etc.) 12. Compromisodelainterfazdegestin(manipulacin,disponibilidaddeinfraestructura) 13. Proveedorosistemadegestindeidentidades(eselpuntodeerrordelsistema) 14. DDoS 15. DOSenotraautoridadsanitariaqueafectaalasuya 16. Emprenderexploracionesosondeosmaliciosos 17. Modificacindeltrficodered 18. Escaladadeprivilegios 19. Robodeequipoinformtico 20. Compromisoofallodelsistemadecontabilidadyfacturacin 21. Repeticin 22. Abordajealsistemaanfitrin(hacercompartimentos) 23. IndisponibilidaddelserviciodeHCE 24. Otraindisponibilidaddeservicio 25. PrdidaocompromisodeinformacindeHCE 26. Duplicacindedatos 27. Incoherenciadedatos(actualizacindedatosinefectiva) 28. Prdidaocompromisoderegistrosoperativos 29. Prdidaocompromisoderegistrosdeseguridad(manipulacindeinvestigacinforense) 30. Interceptacindedatosdurantelamigracinoactualizacinperidicadedatosenlanube

Seguridad y resistencia en las nubes de la Administracin Pblica


Informe para la toma de decisiones

135

ID 31. 32. 33. 34. 35. 36. 37.

Descripcindeamenaza Compromisodelosdatosdurantelamigracinoactualizacinperidicadedatosenlanube Desastres(naturales) Accesonoautorizadoaloslocales(incluidoelaccesofsicoamquinasyotrasinstalaciones) Robodecopiasdeseguridad Clavesdecifradoperdidas Eliminacininseguradedatos(cuandolosolicitaelpaciente) Prdidadegobernanza,control,especificaciones(elANSpuedeestarincompleto;nocubre todoslosindicadoresprincipalesderendimiento) 38. Bancarrotadelsociooproveedordelanube 39. Adquisicindelproveedorosociodelanube(aumentalaprobabilidaddelcambio estratgicoypuedeponerenriesgoacuerdosnovinculantes) 40. Responsabilidadrespectoanormativas(porejemplo,notificacinalosclientesde incumplimientossobrelaseguridaddelosdatos) 41. Problemasdeproteccindedatosylegales 42. Conflictoderequisitosdeprivacidadyseguridad 43. Conflictosentredirectriceslocalesoregionales(necesidaddeaplicacin) Amenazasespecficasalmodelodenubecomunitariay,msenconcreto,alenfoquefederado propuestoenelproyectoRESERVOIR. 44. Errordeserviciodefacturacinodisponibilidadreducida:elusuariodeIaaSsolicitasu facturasegnelpagoporuso.Cualquierreduccinenladisponibilidaddelserviciode facturacinafectaralaresistenciadeIaaS. 45. MenordisponibilidadofalloalcrearEEV(entornosdeejecucinvirtuales):laconfiguracin deEEVconllevadescargarlasimgenesdelsistema,instanciandodespusconlos parmetrosdeconfiguracin,inicindolasycreandolaredvirtualentreelEEV.Cualquier reduccindedisponibilidadaliniciarelEEVafectaralaresistenciadeIaaS. 46. MenordisponibilidadoerroralcerrarelEEV:eliminaunEEVtrasunasolicitudsin distribuir.CualquierreduccindedisponibilidadalcerrarelEEVafectaralaresistenciade IaaS. 47. Menordisponibilidadoerrordelafuncindemigracin:lamigracinpermitevolvera buscarunEEVdeunhostaotrosininterrumpirelservicio.Cualquierfalloenlafuncinde migracinafectarengeneralalaresistenciadeIaaS. 48. Menordisponibilidaddelafuncindecontrol:elcontroldeEEVpermiteevaluarla infraestructuraytomaraccionescorrectivassiesnecesario,comorestablecer,escalaro migrarEEV.Cualquierreduccindedisponibilidadenelcontroldelainfraestructura afectarengeneralalaresistenciadeIaaS. 49. Errordeserviciodefacturacinodisponibilidadreducida:elusuariodeIaaSsolicitasu facturasegnelpagoporuso.Cualquierreduccinenladisponibilidaddelserviciode facturacinafectaralaresistenciadeIaaS.