¿Qué es el cloud computing o la nube?

El cloud computing o computación en nube es una nueva forma de prestación de los

servicios de tratamiento de la información, válida tanto para una empresa como para un
particular y, también, para la Administración Pública. Una solución cloud computing
permite al usuario optimizar la asignación y el coste de los recursos asociados a sus
necesidades de tratamiento de información. El usuario no tiene necesidad de realizar
inversiones en infraestructura sino que utiliza la que pone a su disposición el prestador
del servicio, garantizando que no se generan situaciones de falta o exceso de recursos,
así como el sobrecoste asociado a dichas situaciones.

Tipos de cloud computing

Nube pública:

Las nubes públicas son la forma más común de implementar la informática en la nube.
Los recursos de la nube (como servidores y almacenamiento) son propiedad
del proveedor de servicios en la nube, que los administra y ofrece a través de Internet.
Con una nube pública, todo el hardware, software y demás componentes de la
infraestructura subyacente son propiedad del proveedor de nube, que también los
administra. En una nube pública, comparte el mismo hardware, almacenamiento y
dispositivos de red con otras organizaciones o "inquilinos" de la nube. Usted accede a
los servicios y administra su cuenta a través de un explorador web. Con frecuencia, las
implementaciones de nube pública se usan para proporcionar correos electrónicos web,
aplicaciones de Office en línea, almacenamiento, y entornos de desarrollo y prueba.

Ventajas de las nubes públicas:

 Costos inferiores: no es necesario adquirir hardware o software, y solo paga por

el servicio que usa.
 Sin mantenimiento: su proveedor de servicios se encarga de ello.
 Escalabilidad casi ilimitada: existen recursos a petición para satisfacer sus
necesidades empresariales.
 Gran confiabilidad: una amplia red de servidores garantiza que no se produzcan
problemas.
Nube privada:

Una nube privada está compuesta por recursos informáticos que utiliza exclusivamente
una empresa u organización. La nube privada puede ubicarse físicamente en el centro de
datos local de su organización u hospedarla un proveedor de servicios externo. Sin
embargo, en una nube privada, los servicios y la infraestructura siempre se mantienen
en una red privada, y el hardware y software se dedican únicamente a su organización.
De esta forma, una nube privada puede lograr que una organización pueda personalizar
de forma más sencilla sus recursos para cumplir requisitos específicos de TI. Las nubes
privadas suelen usarlas agencias gubernamentales, instituciones financieras y cualquier
organización mediana o grande que realice operaciones esenciales para la empresa y
busque aumentar el control sobre su entorno.

Ventajas de las nubes privadas:

 Más flexibilidad: su organización puede personalizar el entorno de la nube para

satisfacer necesidades empresariales específicas.
 Mejor seguridad: los recursos no se comparten con otros, por lo tanto, es posible
contar con mayores niveles de control y seguridad.
 Mayor escalabilidad: las nubes privadas todavía pueden ofrecer la escalabilidad
y la eficacia de una nube pública.

Nubes Hibridas:

Las nubes híbridas, que suelen llamarse "lo mejor de ambos mundos", combinan
infraestructura local (o nubes privadas) con nubes públicas, de modo que las
organizaciones puedan beneficiarse de las ventajas de ambas. En una nube híbrida, los
datos y las aplicaciones pueden moverse entre nubes privadas y públicas para obtener
más flexibilidad y opciones de implementación. Por ejemplo, puede usar la nube
pública para satisfacer necesidades de gran volumen con menor seguridad, como un
correo electrónico web, y la nube privada (u otra infraestructura local) para operaciones
confidenciales esenciales para la empresa, como los informes financieros. En una nube
híbrida, también es una opción la "ampliación en la nube". Esto se refiere a cuando una
aplicación o recurso se ejecutan en la nube privada hasta que se produce una subida en
la demanda (por ejemplo, un evento estacional como ventas en línea o envío de
formularios de impuestos). En este punto, la organización puede "ampliarse" hacia la
nube pública para aprovechar más recursos informáticos.

Ventajas de las nubes híbridas:

 Control: su organización puede mantener una infraestructura privada para los

recursos confidenciales.
 Flexibilidad: puede aprovechar los recursos adicionales de la nube pública
cuando los necesite.
 Rentabilidad: gracias a la posibilidad de escalar a la nube pública, solo pagará
por la capacidad informática adicional cuando sea necesaria.
 Facilidad: realizar la transición a la nube no tiene por qué ser compleja, ya que
puede realizar una migración gradual; es decir, trasladando cargas de trabajo en
etapas.

Modalidades de servicios

Los proveedores de la nube proporcionan acceso a recursos informáticos a través de la

red, y ofrecen una serie de servicios adicionales de valor añadido que acercarán la oferta
del proveedor a las necesidades de su cliente.

 Software como servicio (SaaS): Permite usar aplicaciones sin tener que adquirir
ni mantener ningún activo en su empresa. Por ejemplo: correo, agendas, gestión
del portal, intranet o celebrar reuniones a distancia, en cualquier momento y
lugar. En cuestión de horas es posible disponer de todo lo necesario para
trabajar con sólo una conexión internet. Microsoft BPOS / Office 365 y Google
Apps son dos de las principales ofertas del mercado.

 Plataforma como servicio (PaaS): Se trata de un sistema operativo en la nube

que abstrae la complejidad que implica la gestión y mantenimiento de servidores
y provee funciones de red, cálculo, almacenamiento y bases de datos.
Típicamente, los usuarios de este tipo de modalidad son departamentos TIC y
 proveedores de software. Microsoft Windows Azure, Salesforce, Google App
Engine son ejemplos de este modelo.

 Infraestructura como servicio (IaaS): Permite disponer de una infraestructura de

servidores virtuales optimizada para poder desplegar de forma rápida nuevos
servicios. Es el modelo más flexible e introduce ahorros, aunque no tantos como
los dos anteriores tipos de nube ya que se requiere una gestión y mantenimiento.
El cliente típico de este servicio son departamentos de informática que desean
reducir costes, desplegar aplicaciones propias y disponer de control y
flexibilidad para crecer según las necesidades.
LO QUE DEBO CONOCER PARA LA CONTRATACIÓN DE SERVICIOS DE
‘CLOUD COMPUTING’

A continuación trataremos los aspectos esenciales para la protección de datos personales

y pretender facilitar el cumplimiento de la normativa de protección de datos en la
contratación de servicios de cloud computing ofreciendo una información práctica
dirigida a pymes, microempresas y profesionales.

1.- ¿Qué debo analizar y tener en cuenta antes de contratar servicios de ‘cloud
computing’?

– Debe evaluar la tipología de datos que trata atendiendo a su mayor o menor

sensibilidad.

– Debe informarse sobre los tipos de nube (privada, pública, híbrida) y las distintas
modalidades de servicios.

– Con esta información debe decidir para qué datos personales contratará servicios de
cloud computing y cuáles prefiere mantener en sus propios sistemas de información.
Esta decisión es importante porque delimitará las finalidades para las que el proveedor
de cloud puede tratar los datos. En consecuencia, debe garantizarse expresamente que
no utilizará los datos para otra finalidad que no tenga relación con los servicios
contratados.

2.- Desde la perspectiva de la normativa de protección de datos, ¿cuál es mi papel como

cliente de un servicio de ‘cloud’?

– El cliente que contrata servicios de cloud computing sigue siendo responsable del
tratamiento de los datos personales. Aunque los contrate con una gran compañía
multinacional la responsabilidad no se desplaza al prestador del servicio, ni siquiera
incorporando una cláusula en el contrato con esta finalidad.

– El que ofrece la contratación de cloud computing es un prestador de servicios que en

la ley de protección de datos tiene la calificación de ‘encargado del tratamiento’.
3.- ¿Cuál es la legislación aplicable?

El modelo de cloud computing hace posible que tanto los proveedores de servicios
como los datos almacenados en la nube se encuentren ubicados en cualquier punto del
planeta. Pero, en todo caso:

– El cliente que contrata servicios de cloud computing sigue siendo responsable del
tratamiento de los datos por lo que la normativa aplicable al cliente y al prestador del
servicio La Ley N° 29733 de Protección de Datos Personales Perú (LDPD).

4.- ¿Cuáles son mis obligaciones como cliente?

– Debe solicitar y obtener información sobre si intervienen o no terceras empresas

(subcontratistas) en la prestación de servicios de cloud computing. Lo habitual es que
intervengan terceras empresas. De ser así:

• Tiene que dar su conformidad a la participación de terceras empresas, al menos

delimitando genéricamente los servicios en los que participarán (p. ej. en el alojamiento
de datos).

• Tiene que poder conocer las terceras empresas que intervienen (p. ej. pudiendo
acceder a una página web o a través de otras opciones que le facilite el prestador del
servicio).

5.- ¿Qué medidas de seguridad son exigibles?

– Las medidas de seguridad son indispensables para garantizar la integridad de los datos
personales, evitar accesos no autorizados y recuperar la información en caso de que se
produzcan incidencias de seguridad.

– El nivel de seguridad exigible depende de la mayor o menor sensibilidad de los datos

personales.

– Asimismo, el acceso a la información a través de redes de comunicaciones debe

contemplar un nivel de medidas de seguridad equivalente al de los accesos en modo
local.
6.- ¿Cómo puedo garantizar o asegurarme de que se cumplen las medidas de seguridad?

– Como cliente debe tener la opción de comprobar las medidas de seguridad, incluidos
los registros que permiten conocer quién ha accedido a los datos de los que es
responsable.

– El proveedor de cloud computing le acredita que dispone de una certificación de

seguridad adecuada.

– Puede acordarse que un tercero independiente audite la seguridad. En este caso, debe
conocerse la entidad auditora y los estándares reconocidos que aplicará.

– Solicite información al proveedor de cloud sobre cómo se auditarán las medidas de

seguridad.

7.- ¿Qué compromisos de confidencialidad de los datos personales debo exigir?

– El proveedor del servicio de cloud debe comprometerse a garantizar la

confidencialidad utilizando los datos sólo para los servicios contratados.

– Asimismo debe comprometerse a dar instrucciones al personal que depende de él para

que mantenga la confidencialidad.

8.- ¿Cómo garantizo que puedo recuperar los datos personales de los que soy
responsable (portabilidad)?

– La portabilidad significa que el proveedor ha de obligarse, cuando pueda resolverse el

contrato o a la terminación del servicio, a entregar toda la información al cliente en el
formato que se acuerde, de forma que éste pueda almacenarla en sus propios sistemas o
bien optar porque se traslade a los de un nuevo proveedor en un formato que permita su
utilización, en el plazo más breve posible, con total garantía de la integridad de la
información y sin incurrir en costes adicionales.
9.- ¿Cómo puedo asegurarme de que el proveedor de ‘cloud’ no conserva los datos
personales si se extingue el contrato?

– Deben preverse mecanismos que garanticen el borrado seguro de los datos cuando lo
solicite el cliente y, en todo caso, al finalizar el contrato. (Un mecanismo apropiado es
requerir una certificación de la destrucción emitido por el proveedor de cloud
computing o por un tercero).