CIBERSEGURIDAD PARA

AUTÓNOMOS Y
MICROEMPRESAS

Unidad 6
Ciberseguridad en la nube
Parte teórica

1
índice
ÍNDICE

1 INTRODUCCIÓN ►

2 SERVICIOS DISPONIBLES EN LA NUBE ►

3 MODELOS DE DESPLIEGUE: TIPOS DE INFRAESTRUCTURA ►

4 CONTRATACIÓN DE SERVICIOS EN LA NUBE ►

5 CONSIDERACIONES LEGALES ►

6 RIESGOS Y AMENAZAS DE LOS SERVICIOS EN LA NUBE ►

7 PROTECCIÓN FRENTE A RIESGOS ►

2
Objetivos

Entender de forma global qué es la nube y los diferentes

servicios que una empresa puede contratar a través de
la misma.

Aplicar criterios de seguridad al contratar aplicaciones

web en la nube.

Conocer los aspectos legales relacionados con el

uso de la nube, centrándose en la Ley Orgánica de
Protección de Datos (en adelante, LOPD) y la Ley de
Servicios de la Sociedad de la Información y de
Comercio Electrónico (en adelante, LSSI-CE).

Identificar los riesgos y amenazas de la

contratación de servicios en la nube.

Conocer y aplicar las medidas de protección

que se han de llevar a cabo para protegerse de
los riesgos identificados previamente.

3
1. INTRODUCCIÓN

4
1. INTRODUCCIÓN

Frente a las estrategias de computación tradicionales, es decir, el

alquiler de equipos y centros de datos internos, el cloud pone al
alcance de las pymes aplicaciones informáticas sin necesidad
de adquirirlas, sólo contratándolas como servicio. Se ha pasado
de comprar o alquilar las máquinas a pagar únicamente por el uso
que necesitemos.

La tecnología de la nube permite al proveedor ofrecer

aplicaciones y servicios tecnológicos accesibles a través de la
red. Se puede acceder a estos servicios desde cualquier lugar y
con disponibilidad total todos los días del año. Además, se
puede contratar al proveedor el despliegue de las aplicaciones
de la empresa en la nube. En cualquier caso se establecen
acuerdos de nivel de servicio (o SLA del inglés Service Level
Agreements) en los que se definen las responsabilidades
del mantenimiento, actualización, incidencias, disponibilidad y
recuperación.

El cloud se basa en ofrecer «los mismos» recursos a los

clientes desde equipos en red. Esto quiere decir que se ofrece el
mismo software (en las mismas versiones) para todos por lo que
se consigue mayor fiabilidad, flexibilidad y escalabilidad, y mejoras
en el rendimiento. Por esto también es más interoperable, es
decir, se puede integrar con mayor facilidad y rapidez con el resto
de las aplicaciones empresariales (en cloud o no).

5
1. INTRODUCCIÓN

Este nuevo modelo evita al cliente (la empresa que contrata el servicio cloud) la preocupación de
comprar y mantener la infraestructura y los elementos técnicos de la misma, que son ofrecidos por
el proveedor como un servicio.

Los servicios que se pueden contratar en la nube pueden ser: bases de datos, servidores de correo
electrónico, almacenamiento, servidores web, herramientas de gestión, servidores de
aplicaciones, entornos de desarrollo, redes, etc.

6
1. INTRODUCCIÓN

Modelo tradicional vs Modelo cloud

Frente al modelo tradicional surge el modelo cloud, que traslada los servicios ofrecidos y la infraestructura
IT al proveedor en la nube.

Tradicional Cloud

INFORMACIÓN INFRAESTRUCTURA IT

INTERNET
INFORMACIÓN SERVICIOS

INFRAESTRUCTURA IT
INTERNET
INTERNET
SERVICIOS

USUARIOS FINALES
INFORMACIÓN

ENTORNO DE USUARIO
7
1. INTRODUCCIÓN

Así, desde tu empresa o desde dispositivos conectados a internet (mediante interfaces web o con apps)
tus empleados y colaboradores tendrán acceso a los servicios que necesiten, como por ejemplo:

Salesforce CRM: software para la administración de la

relación con clientes (ventas, marketing,…) o CRM.

Dropbox: servicio que permite a los usuarios

almacenamiento en la nube y sincronización de ficheros
en línea desde diferentes dispositivos.

Office 365: suite de servicios como correo, gestión

documental, mensajería instantánea, etc.

Gmail: servicio de correo electrónico que forma parte de

Google Apps (Calendar, Drive, Docs) un paquete de
productividad en cloud para negocios.

¿CONOCES LAS VENTA JAS E INCONVENIENTES DE ESTAR EN LA NUBE?

Te recomendamos que visites la página de OSI [1]

8
1. INTRODUCCIÓN

El cloud es posible debido a la evolución y unión de varias tecnologías:

Capacidad de procesamiento o de cálculo.

Desde la aparición de la informática, la capacidad de cálculo de los ordenadores ha
ido creciendo de forma exponencial. La evolución de la tecnología permite crear
clústeres de ordenadores (ordenadores conectados con redes de alta velocidad) cuya
capacidad de procesamiento es aún mayor. Los proveedores de cloud han visto en
esto una oportunidad de negocio: ofrecer capacidad de procesamiento «de
alquiler».

Capacidad de almacenamiento.
La evolución tecnológica hace posible infraestructuras de almacenamiento más
eficientes en cuanto a capacidad y velocidad de transferencia. El cloud permite a las
pymes tener al alcance sistemas de almacenamiento rápidos y de gran
capacidad sin necesidad de disponer de infraestructura.

Acceso a internet.
La conexión a Internet se ha extendido y abaratado, permitiendo que el número de
conexiones aumente y aparezcan nuevos tipos de negocio que aprovechan esta
conectividad, como por ejemplo, las redes sociales o el ecommerce. Para los
proveedores de servicios en cloud, internet es esencial como medio de acceso
de sus clientes.

9
1. INTRODUCCIÓN

Dispositivos móviles.
La aparición de tablets, smartphones, etc… hace posible que podamos estar
siempre conectados y acceder a los recursos de la empresa incluso cuando
estamos de viaje o desplazándonos. Las aplicaciones cloud aprovechan esta
funcionalidad para ofrecer servicios y aplicaciones móviles (gestión de flotas,
partes de obra…).

Virtualización.
Es un mecanismo software que permite utilizar un equipo para «hospedar»
a otros diferentes. El software de virtualización hace que una máquina pueda
albergar «virtualmente» a otras distintas y comportarse como ellas. Esta
tecnología se aprovecha en algunos servicios cloud y proporciona al proveedor
flexibilidad para mover y reservar los recursos.

10
 1. INTRODUCCIÓN

Aunque te pueda parecer que esta información no está destinada a autónomos o pymes,
¡estás equivocado!
Como vas a ver a continuación, esto te interesa… ¡y mucho!

¿SABIAS QUÉ?

El 99% de las pymes y grandes empresas tiene ordenadores y el 98% dispone de conexión a Internet, frente al
95,3% de teléfono móvil.
Empresas que han comprado alguno de los siguientes servicios de computación en la nube (%)

61,4
65,0
E-mail 57,1 Total
60,8

27,7
10 a 49 empleados
27,5
Software office 28,2 50 a 249 empleados
29,6
250 o más empleados
54,7
55,5
Servidor de bases de datos 52,8
51,4

69,0
70,9
Fuente: ONTSI. Elaborado
Almacenamiento de ficheros 64,1 con datos INE 2014
63,2

11
 1. INTRODUCCIÓN

CARACTERÍSTICAS DE LA NUBE
Se refiere al cálculo del precio en función de las necesidades del cliente de una manera
flexible.
PAGO POR USO Si necesito más capacidad de proceso por un pico de trabajo solicitaré más recursos y
sólo tendré que pagar más por el tiempo de uso extra.

Debido a que los recursos están alojados en la red, se puede acceder a los mismos
desde cualquier lugar.
ACCESO DESDE LA
RED Es posible acceder a la gestión de nuestras aplicaciones y como usuarios, desde
distintas oficinas o desde el teléfono móvil.

Los recursos computacionales (servidores, comunicaciones, almacenamiento,

máquinas virtuales, etc.) están en reservas comunes para aquellos clientes que
RECURSOS
contraten un servicio de nube pública, es decir, se comparte hardware y software.
COMPARTIDOS
Disponemos de recursos que de otra forma no podríamos costear.

Los clientes pueden redimensionar sus propias necesidades de recursos (memoria,

almacenamiento, comunicaciones,…) de manera rápida y eficaz en casi cualquier
RECURSOS A LA momento.
CARTA Si aumenta nuestra necesidad de recursos podemos cambiarla desde el panel de
control de cloud y estará a nuestra disposición al instante.

El control y optimización de recursos se hace de manera automática por los servicios

de la nube gracias a su capacidad de evaluación, siendo este proceso, transparente
SERVICIO
para el cliente.
SUPERVISADO
No tenemos que prever la compra de más equipos o de nuevas licencias de software,
ni tendremos que contratar técnicos para mantenimiento de equipos.

12
 1. INTRODUCCIÓN

VENTA JAS DEL USO DE LA NUBE

Este ahorro se debe a la reducción de los costes de infraestructura y su

AHORRO DE
mantenimiento, licencias de uso, personal, etc. Se paga por uso de recursos.
COSTES

Los recursos (equipos, técnicos, etc.) se utilizan cuando se necesitan y se paga por este
OPTIMIZACIÓN DE
uso. Si tenemos un pico pagaremos más. Esto supone un ahorro en la infraestructura
RECURSOS
que tendríamos que comprar si queremos cubrir esos picos.

La información y las aplicaciones están almacenadas en la nube y en distintas

RECUPERACIÓN
ubicaciones. Si se produjera algún incidente grave, esa información seguiría estando
ANTE DESASTRES
accesible.

TECNOLOGÍA El proveedor del servicio en la nube es el encargado de realizar las tareas de

ACTUALIZADA Y mantenimiento, que son transparentes para el cliente.
SEGURA

DEDICACIÓN AL Al reducir la carga de trabajo para la administración de los sistemas TIC podemos
NEGOCIO dedicar mayor esfuerzo en la gestión de nuestro negocio.

13
 1. INTRODUCCIÓN

DESVENTA JAS DEL USO DE LA NUBE

Como cliente de servicios cloud no tendremos acceso a las instalaciones donde se

PÉRDIDA DE están ejecutando nuestras aplicaciones. Dejamos nuestros datos y aplicaciones en
CONTROL manos del proveedor. Debemos leer con detalle el contrato de suministro: ubicación,
disponibilidad, responsabilidades, etc.

CONFIDENCIALIDAD La información de nuestra empresa (datos de clientes, facturas,…) va a estar

Y SEGURIDAD EN almacenada en los servidores del proveedor y, en caso de que sufra un problema
LOS DATOS técnico o de seguridad, nuestra información puede verse comprometida.

La nube, como cualquier otro servicio, no está exenta de problemas y puede ocurrir
DISPONIBILIDAD
que se caiga. Como consecuencia de ello los servicios que ofrece podrían no estar
DEL SERVICIO
disponibles.

ACCESO A El acceso a las aplicaciones está condicionada a que tengamos acceso a Internet. Si no
INTERNET tenemos acceso por algún motivo, no tendremos acceso a las aplicaciones.

14
2. SERVICIOS DISPONIBLES EN LA NUBE

15
2. SERVICIOS DISPONIBLES EN LA NUBE

Como clientes de servicios en la nube podemos contratar:

• aplicaciones finales que podrá administrar desde una interfaz web

• plataformas para almacenamiento, desarrollo, servidores web, etc.
• infraestructuras completas (centros de datos, comunicaciones, …)

16
2. SERVICIOS DISPONIBLES EN LA NUBE

Los servicios que una empresa puede contratar en la nube se ofrecen en tres niveles
diferentes, en función del control que el usuario final tenga sobre la infraestructura
tecnológica.

Como es lógico, no todos los clientes tienen las mismas necesidades y, por lo tanto, existen
diferentes opciones de contratación.

OPCIONES DE CONTRATACIÓN

1 2 3
SaaS PaaS IaaS
Software as a Service Platform as a Service Infrastructure as a Service

(Software como (Plataforma como (Infraestructura como

Servicio) Servicio) Servicio)

Para más información sobre las diferentes modalidades de contratación, visita la web de acloudhosting [2].

17
2. SERVICIOS DISPONIBLES EN LA NUBE

SaaS - Software como Servicio

El cliente utiliza software, como por ejemplo una aplicación de nómina alojada en la nube, que el proveedor
le proporciona.
Se puede acceder y administrar las aplicaciones desde diferentes dispositivos a través de una interfaz web
o una app.
El cliente no gestiona ni controla la infraestructura existente en la nube. Este proceso es totalmente
transparente para él.

Ejemplo: correo electrónico a través de web, almacenamiento tipo Dropbox, un blog sencillo (tipo Blogger o
Wordpress.com) o herramientas para creación sencilla de páginas web tipo Wix, Weebly, Jimdo, etc.

Adecuado para organizaciones que VENTA JAS INCONVENIENTES

solamente necesitan aplicaciones
que el proveedor proporciona y se Reducción drástica de
ajustan a sus necesidades. costes
Reducción de tiempos
No existen costes tecnológicos de debido a que el software
hardware, software y soporte técnico. ya está instalado
Escalabilidad
Suele ser atractivo para pymes.
Facilidad de uso
Integración con
aplicaciones existentes
en la organización
Incertidumbre en
relación al dueño de las
aplicaciones
Gran dependencia del
proveedor

18
2. SERVICIOS DISPONIBLES EN LA NUBE

PaaS - Plataforma como Servicio

El cliente despliega sus propias aplicaciones en la infraestructura proporcionada por el proveedor, que da
una plataforma de procesamiento completa al usuario.
El cliente no gestiona ni controla la infraestructura existente en la nube. Este proceso es totalmente
transparente para él.
El proveedor proporciona al cliente la capacidad de gestionar las aplicaciones desplegadas y la posibilidad
de controlar las configuraciones de entorno (tipo de base de datos, capacidad de almacenamiento, número
de usuarios, permisos…)

Ejemplo: correo electrónico corporativo que instalamos en la plataforma o una web que creamos y
mantenemos nosotros, instalando aplicaciones como el gestor de contenidos o CMS (Drupal, Joomla,
Wordpress.org) en un servicio de alojamiento compartido (que nos proporciona la base de datos y el entorno
de desarrollo web).

Adecuado para organizaciones que VENTA JAS INCONVENIENTES

deseen desarrollar sus propias
aplicaciones sobre la infraestructura
Facilidad para administrar Dependencia del
que proporciona el proveedor.
la plataforma proveedor

Conlleva unos costes de soporte y Sencillez a la hora de Dudas sobre la

permitir un desarrollo confidencialidad de
software.
propio los datos
Bastante atractivo para las pymes. Facilidad de integración con
el resto de la plataforma

19
2. SERVICIOS DISPONIBLES EN LA NUBE

IaaS - Infraestructura como Servicio

El cliente dispone de la infraestructura completa, es decir, del hardware necesario como servidores,
sistemas de almacenamiento, dispositivos de comunicaciones, etc.
El cliente puede instalar el software necesario y desplegar sus propias aplicaciones desde cero.

Ejemplos: redes internas de empresa (infraestructura corporativa), sistemas de respaldo, hosting virtual y
centros virtuales de datos.

Adecuado para organizaciones que

VENTA JAS INCONVENIENTES
necesitan una mayor versatilidad ya
que permite ejecutar prácticamente lo
que la organización desee. Flexibilidad en relación a Soporte ofrecido ya que
la infraestructura al estar externalizado el
Coste elevado, ya que la organización necesaria por el cliente servicio es más
es la encargada de mantener todo el complicado solucionar el
Rapidez de instalación problema de una forma
software y el hardware virtual.
rápida
Facilidad al desplegar las
No es muy atractivo para las pymes. aplicaciones del cliente

20
3. MODELOS DE DESPLIEGUE

21
3. MODELOS DE DESPLIEGUE

Independientemente de las diferentes formas de contratación que hemos visto,

existen distintas formas de prestar los servicios cloud según el grado en el que
se comparten los recursos.

Por ello, dependiendo de las necesidades de la organización, de dónde se

encuentren instaladas las aplicaciones de la misma y de qué clientes puedan
usarlas, se hace una distinción entre los siguientes tipos de nube.

Una infraestructura cloud para muchos

clientes.

NUBE Adecuado para negocios que no temen

compartir recursos.
PÚBLICA
Gran capacidad de expansión
(escalabilidad) a bajo coste.

Uso exclusivo para cada cliente de cloud.

NUBE Adecuado para cuando no se prevé
PRIVADA aumentar recursos a corto plazo.
Diseño específico.

Una parte en nube privada y otra en

nube pública.
NUBE Las aplicaciones fundamentales para el
HÍBRIDA negocio en la parte privada.
Útil si se necesita aumentar recursos a
corto plazo (sobre la parte pública).

22
3. MODELOS DE DESPLIEGUE

NUBE PÚBLICA

La infraestructura es compartida entre varios clientes

de cloud. VENTA JAS
Está disponible para el público en general.
Escalabilidad
La propiedad de la nube es de una organización Ahorro de tiempo y costes
externa.
Mayor eficiencia de los recursos

Ejemplo:

Google Drive gratuito

Dropbox

INCONVENIENTES

La infraestructura es compartida
Hay poca transparencia para el
cliente de cloud ya que no se
sabe el resto de recursos que se
pueden estar compartiendo

23
3. MODELOS DE DESPLIEGUE

NUBE PRIVADA

La infraestructura es única para una organización.

VENTA JAS
La nube puede ser manejada por la organización o por
un tercero.
Cumple con las políticas
Puede estar dentro o fuera de las instalaciones. internas, ofreciendo mayor
seguridad que la pública
Control total de los recursos
Ejemplo:

Amazon VPS
IBM Softlayer

INCONVENIENTES

Elevado coste
Dependencia de la
infraestructura contratada

24
3. MODELOS DE DESPLIEGUE

NUBE HÍBRIDA

La nube híbrida es una combinación entre nube pública

y privada. VENTA JAS
Los diferentes usuarios (clientes de cloud) tienen partes
compartidas y partes privadas. Maximiza el valor al utilizar
recursos privados y
Las diferentes nubes que la forman son entidades compartidos
separadas, pero unidas por la misma administración.
Reducción de costes

Ejemplo:

VMware vCloud Air

IBM Bluemix

INCONVENIENTES

Riesgo al combinar dos modelos

de implementación diferentes

Control de la seguridad entre

ambas nubes

25
4. CONTRATACIÓN DE SERVICIOS EN LA
NUBE

26
4. CONTRATACIÓN DE SERVICIOS EN LA NUBE

Cuando una organización contrata un servicio, es necesario conocer qué

servicio y qué forma de prestación necesita para poder elegir al proveedor que
mejor se adecúe a sus propias necesidades.

A la hora de elegir un proveedor, se deben tener en cuenta diferentes aspectos:

Tratamiento de los datos.

Localización de los datos.

Opciones de portabilidad de los datos.

Servicios ofrecidos.

Acuerdos de nivel de servicio:

Unilateral: no se puede negociar el acuerdo; se da en nubes públicas.

Parcialmente definido: se pueden negociar algunas cláusulas del acuerdo; se suele dar
en nubes híbridas y privadas.
Negociable: se puede negociar casi en su totalidad; se suele dar en nubes privadas.

27
 4. CONTRATACIÓN DE SERVICIOS EN LA NUBE

ACUERDOS DE NIVEL
DE SERVICIO
Aspectos a negociar

Seguridad Privacidad Escalabilidad Disponibilidad

En cualquier caso, todo los puntos a tratar dependerán del servicio que se contrate, aunque es
recomendable tener en cuenta lo siguiente:

Medidas de seguridad adoptadas por el proveedor para conservar nuestros datos.

Confidencialidad de los datos almacenados por el proveedor.

Calidad de servicio por parte del proveedor.

Seguridad en las transacciones de datos.

28
 4. CONTRATACIÓN DE SERVICIOS EN LA NUBE

Todo esto está muy bien pero ahora me surgen algunas dudas respecto a la
contratación. ¿Qué Acuerdo de Nivel de Servicio puede adecuarse más a mis
necesidades?

Eso depende de la personalización que quieras tener del servicio y del dinero que quieras
invertir en el mismo.

Debes de saber que, cuanto más personalizado sea el servicio, más coste tendrá el
mismo.

SERVICIO + COSTE +
PERSONALIZADO ELEVADO

29
5. CONSIDERACIONES LEGALES

30
5. CONSIDERACIONES LEGALES

Cuando se decide implementar una solución cloud es

necesario tener en cuenta el marco legal existente,
tanto del país donde reside la organización como del
país del proveedor del servicio en la nube.

En el caso de España será de aplicación la Ley Orgánica de

Protección de Datos (LOPD), que se cumple gracias a la
actuación de la Agencia Española de Protección de Datos.

Esta ley pretende:

«Garantizar y proteger, en lo que concierne al

tratamiento de los datos personales, las
libertades públicas y los derechos
fundamentales de las personas físicas, y
especialmente de su honor e intimidad personal
y familiar».

31
 5. CONSIDERACIONES LEGALES

LOCALIZACIÓN DEL PROCESO (INFRAESTRUCTURA)

Es importante conocer la localización del proceso que vamos a subir al

cloud, pues el proveedor puede proporcionar la estructura directamente
desde sus instalaciones o contratar a su vez los servicios a terceros.

SUBCONTRATACIÓN LOCALIZACIÓN TRANSPARENCIA

Se da cuando el proveedor no Los servicios cloud pueden

Cuando se contrata un servicio
dispone de los recursos e ser auditables o
cloud es importante saber
infraestructura propias y la transparentes en función de:
dónde están localizados los
subcontrata a terceros.
proveedores.
- La posibilidad de reclamar
Este proceso puede ser información acerca de dónde,
Este hecho condicionará las
sucesivo, permitiendo cuándo y quién ha almacenado
consecuencias legales por
redimensionar los recursos de o procesado sus datos
incumplimiento, como verás
la nube adaptándose a las
después.
necesidades de los clientes. - Las condiciones de seguridad

32
 5. CONSIDERACIONES LEGALES

LOCALIZACIÓN DE LOS DATOS

Si tratamos con datos de carácter personal, es importante saber en qué país residirán los datos que subimos al
cloud, pues si se encuentran alojados en países del Espacio Económico Europeo (EEE) se considera que son países
adecuados para la recepción de datos porque se encuentran regulados por normativas alineadas con directivas
comunes de los países miembros (por ejemplo Directiva 95/46/CE).

En caso de que estén fuera del EEE podría tratarse de una transferencia internacional de datos, y en este caso sería
necesario asegurar que dicho país ofrece unos niveles jurídicos de protección de datos equivalentes a las del EEE [3].

Las transferencias de datos internacionales tienen que contar con la autorización expresa del Director de la Agencia
Española de Protección de Datos. En caso de que el prestador de servicios se encuentre en un país considerado con
un nivel adecuado de protección se considerará preaceptada la autorización.

Ejemplos de Transferencia de Datos Internacional: transferencia monetaria entre un banco español y un banco
americano, registro de un usuario en eBay.es, etc.

INFRAESTRUCTURA
DATOS

CONTRATACIÓN

33
5. CONSIDERACIONES LEGALES

La contratación entre cliente y proveedor se

realizará a través de un contrato de prestación
de servicios, que debe incorporar las garantías
a las que obliga la Ley Orgánica de Protección
de Datos.

¿SABIAS QUÉ?
Según la LOPD: Dato personal es cualquier información numérica, alfabética, gráfica, fotográfica, acústica o
de cualquier otro tipo concerniente a personas físicas identificadas o identificables.

34
 5. CONSIDERACIONES LEGALES
El contrato de prestación de servicios entre proveedor y cliente puede ser:
NEGOCIADO
El cliente puede fijar las
condiciones de
contratación en relación a:
tipo de datos que va a
procesar
medidas de seguridad
localización de los datos
portabilidad de los mismos
ADHESIÓN
El cliente no puede fijar las
condiciones de
contratación.
Se tiene que adaptar a las
que fija el proveedor, que
son iguales para todos sus
clientes.
Este suele ser el caso más
común en cloud pública o
híbrida.
MIXTO
En este caso, el cliente va a
poder fijar únicamente
parte de las condiciones
del contrato, otras vendrán
determinadas por el
propio proveedor.
Estas condiciones que el
cliente va a poder
determinar varían en
función de la flexibilidad
del proveedor.
35
5. CONSIDERACIONES LEGALES

Después de todo lo que has estado viendo, podemos aclarar algunas cuestiones
importantes sobre la protección de datos.
Como puedes comprobar ahora…si tratas con «datos de carácter personal», ¡esto te
afecta a ti y a tu empresa, independientemente del tamaño de la misma!

¿Cuál es mi papel como cliente de un servicio cloud a la

hora de cumplir con la Ley Orgánica de Protección de
Datos?

Como cliente eres el «responsable del

tratamiento» de los datos personales.
El proveedor es un simple prestador de
servicios que actúa como «encargado del
tratamiento» según la Ley.

36
 5. CONSIDERACIONES LEGALES

Me queda claro, soy el responsable, pero en función de lo que me acabas de decir…

¿qué garantías debe incorporar el contrato?

Aquellas que nos den un nivel de protección igual al que ofrece el Espacio
Económico Europeo. Las garantías proporcionadas por las empresas ubicadas en los
Estados Unidos se tendrán que gestionar a través de los mecanismos provistos por la
Ley debido a la anulación del acuerdo con Estados Unidos (Safe Harbour).

En cualquier caso, es necesario preguntar al proveedor si va a haber transferencias

internacionales y qué garantías tienen. Si los datos están en terceros países las
autoridades pueden reclamar esos datos por lo que el proveedor debería avisar al
cliente en estos casos.

En Europa la tendencia de la UE es la de ir hacia un mercado único digital europeo.

Más información en el apartado de referencias [4].

37
5. CONSIDERACIONES LEGALES

Creo que las garantías necesarias me han quedado claras pero,

¿qué medidas de seguridad debo exigir?

Las medidas de seguridad exigibles van a depender de la

sensibilidad de los datos que se quieren tratar y serán las
necesarias para:
• asegurar la integridad de los datos y su recuperación
• evitar accesos no autorizados

Así, los datos relacionados con la salud, ideología, religión,

etc., son más sensibles que los meramente identificativos y las
medidas exigibles serán acordes según el Reglamento de
desarrollo de la LOPD.

Además, si deseas acceder a los datos a través de redes de

comunicaciones (internet o redes inalámbricas, por ejemplo)
se tendrán que contemplar medidas de seguridad que
garanticen un nivel de seguridad equivalente al acceso en
local.
38
5. CONSIDERACIONES LEGALES

Muchas gracias por todas las aclaraciones pero aunque sepa las medidas de
seguridad que debo exigir, ¿qué forma tengo de saber que estas medidas se
están cumpliendo correctamente?

• El cliente tiene derecho a acceder a los registros que permiten saber quién o
quiénes han accedido a los datos.
• El proveedor puede acreditar haber superado una certificación de seguridad
adecuada.
• El cliente de cloud puede requerir que un tercero audite la seguridad según
los estándares establecidos.
• El proveedor del servicio debe notificar al cliente sobre cualquier incidente
de seguridad.

39
 5. CONSIDERACIONES LEGALES

En cualquier caso, si en algún momento mi relación con el proveedor se extingue, ¿cómo

puedo estar seguro de que voy a recuperar los datos de los que soy responsable?

El proveedor debe entregar toda la información de forma segura al cliente para que
éste la guarde en sus propios sistemas o la transfiera a otro proveedor.

Pero una vez que ya he migrado mis datos a otro sitio… ¡El proveedor que tenía puede
haberse quedado con mi datos!
¡¿Qué hago para saber si realmente los ha borrado?!

Antes de extinguir el contrato deben establecerse la medidas adecuadas que aseguren el

borrado seguro de los datos cuando el cliente lo desee o cuando el contrato finalice. Esto se
puede hacer a través de una certificación de destrucción de que emite el proveedor.

40
5. CONSIDERACIONES LEGALES

LSSI o LEY DE SERVICIOS DE LA SOCIEDAD DE LA INFORMACIÓN Y EL COMERCIO

ELECTRÓNICO [5]

El objeto de esta Ley es regular el régimen jurídico de aquellos que presten servicios relacionados con
la sociedad de la información.

Esta ley afecta a empresas con páginas web o que hagan envíos publicitarios por correo electrónico,
siempre y cuando estas actividades se realicen con fines lucrativos, como pueden ser la contratación
online, ofrecer información o publicidad sobre productos, servicios de intermediación o comercio
electrónico.

En referencia a los prestadores de servicios establecidos en un estado miembro de la Unión Europea o

del Espacio Económico Europeo, se les aplicará esta Ley en función de los servicios que ofrezcan (para más
información consultar la Ley de Servicios de la Sociedad de la Información).

Para los prestadores que estén ubicados en estados que no pertenecen a la Unión Europea o al
Espacio Económico Europeo, les será también de aplicación esta Ley si no es contraria al convenio
internacional.

Además, los contratos suelen incluir las jurisdicción aplicable en caso de que pudieran existir conflictos.

41
6. RIESGOS Y AMENAZAS

42
6. RIESGOS Y AMENAZAS

El uso del cloud lleva asociados

una serie de riesgos y
amenazas que es necesario tener
en cuenta y gestionar [6].

Esta gestión implica que la

información debe permanecer
protegida y disponible en
cualquier momento.

43
 6. RIESGOS Y AMENAZAS

Las AMENAZAS que se van a citar a continuación tienen como objetivo ayudar a las organizaciones en la toma
de decisiones y en su estrategia de cloud. Las amenazas más críticas que se identifican son las siguientes:

1. ACCESO. Si no se toman las medidas de seguridad adecuadas con el proveedor de cloud

no habrá posibilidad de controlar los accesos de los empleados a la información de la
organización, lo que puede provocar robo de datos, inyección de código malicioso, etc.

2. AMENAZAS INTERNAS. Cuando los trabajadores salen de la organización (fin de

contrato o despido), se debe notificar al proveedor de servicios cloud su baja para evitar
que sigan teniendo acceso a la información.

3. INTERFACES. El problema aparece cuando las interfaces que proporciona el proveedor

para acceder a la plataforma en la nube no son del todo seguras y presentan fallos de
seguridad que pueden ser explotados por terceros.

4. PROBLEMAS DERIVADOS DEL USO DE LAS TECNOLOGÍAS COMPARTIDAS. Se suele

dar en modelos de Infraestructura como Servicio (IaaS). Si contratamos una
infraestructura compartida existe la amenaza de que por un fallo de seguridad otras
empresas puedan acceder a nuestra información.

44
6. RIESGOS Y AMENAZAS

5. FUGA DE INFORMACIÓN. Si nuestra organización lleva a cabo muchas operaciones con

cliente al cabo del día y estas no están cifradas, puede producirse una fuga de
información.

6. SUPLANTACIÓN DE IDENTIDAD. Esto sucede cuando a una persona le roban las

credenciales de usuario y acceden a la plataforma en su nombre, pudiendo manipular
la información.

7. DESCONOCIMIENTO DEL ENTORNO. Si el personal encargado de implantar las políticas

de seguridad no conoce el entorno cloud estas no serán eficientes.

8. ATAQUES DE HACKING. Sucede cuando una persona maliciosa intenta robar o acceder
a la información que maneja alguno de los empleados de nuestra organización o el
administrador de la plataforma.

45
 6. RIESGOS Y AMENAZAS

Es necesario realizar una evaluación de los RIESGOS antes de implementar una solución cloud. A continuación se
enumerar los riesgos que se han considerado más importantes:

1. ACCESO DE USUARIOS CON PRIVILEGIOS. Este riesgo aparece cuando un empleado con
privilegios de administrador accede cuando no debería o actúa de forma maliciosa
(empleados descontentos por ejemplo) alterando datos o configuraciones. También es
posible que se den privilegios por error a empleados que no deban tenerlos y estos por
desconocimiento provoquen daños.

2. CUMPLIMIENTO NORMATIVO. Este tipo de riesgos aparecen cuando el proveedor cloud

no cumple, o no nos permite cumplir con nuestras obligaciones legales. Por este tipo de
infracciones nos podemos enfrentar a sanciones legales.

3. LOCALIZACIÓN DE LOS DATOS. Surge cuando se contratan servicios cloud a una empresa
que aloja nuestros datos en un Centro de Datos del cual desconocemos su ubicación. Por
ello, si tratamos con datos de carácter personal, en caso de alojarse fuera del Espacio
Económico Europeo es necesario que se proporcionen las garantías jurídicas necesarias.

4. AISLAMIENTO DE DATOS. Si nuestra organización comparte la infraestructura con otra es

necesario que el proveedor gestione que nuestros datos no se mezclen con los de la otra
organización.

46
6. RIESGOS Y AMENAZAS

5. RECUPERACIÓN. Si nuestro proveedor sufre un incidente y no tiene los datos

replicados en otro centro de datos no nos podrá seguir dando servicio.

6. SOPORTE INVESTIGATIVO. Si hay cualquier incidente y necesitamos revisar los

accesos a los datos y es necesario que estos no estén «mezclados» con los de otros
clientes.

7. VIABILIDAD A LARGO PLAZO. Existe el riesgo de que las condiciones del contrato
sufran alguna modificación debido al cambio de estructura del proveedor, a la
entrada en situación de quiebra del mismo o a que decida externalizar parte de sus
servicios. Por ello es recomendable asegurarse el acceso a los datos y su
recuperación.

47
7. PROTECCIÓN FRENTE A RIESGOS

48
7. PROTECCIÓN FRENTE A RIESGOS

Pero… ¿la adopción de estas medidas no

corresponde al proveedor de servicios cloud?

Es tu responsabilidad revisar que las cláusulas del contrato con el proveedor se

adecúen a tus necesidades de seguridad. En cualquier caso, serás tú el que
debe hacerse responsable de las acciones de tus empleados sobre la
información almacenada en la nube.

49
 7. PROTECCIÓN FRENTE A RIESGOS
RIESGOS MITIGACIÓN
Consenso con el proveedor
Acceso de para que los usuarios que
usuarios con
tienen privilegios sean sólo los
privilegios
que deban tenerlos.
Realización de auditorías
Cumplimiento externas y certificaciones de
normativo seguridad.
Conocer el marco regulatorio
aplicable al almacenamiento
Localización de los y procesado de datos. Es
datos recomendable que el
proveedor se adapte al
marco legal del país del
suscriptor del servicio.
Los datos en reposo deberán
Aislamiento de estar aislados y los
datos
procedimientos de cifrado
deben ejecutarse por personal
experimentado.
RESPONSABILIDAD DEL EMPRESARIO
Decidir qué privilegios de
acceso tendrán sus
empleados en función de la
información a acceder.
Velar por el cumplimiento
normativo dentro de su
organización. Se asegurará de
que estas auditorías se
realizan adecuadamente.
Conocer la localización de sus
datos para saber cuál será la
legislación aplicable.
Saber dónde está localizada
la información más sensible
para su negocio y adoptar las
medidas de protección
necesarias (cifrado de datos).
50
7. PROTECCIÓN FRENTE A RIESGOS

RIESGOS MITIGACIÓN
RESPONSABILIDAD DEL
EMPRESARIO

Es necesario exigir a los

Recuperación proveedores la capacidad de
recuperación de los datos y el
tiempo estimado.
Asegurarse que estas
condiciones quedan
El proveedor debe garantizar establecidas en el
que los logs y los datos se acuerdo.
Soporte
investigativo gestionan de una forma
centralizada. Adicionalmente, sería
conveniente tener los
datos replicados en
otra plataforma
(servidores o equipos
El cliente debe tener la propios)

Viabilidad a seguridad de que va a poder

largo plazo recuperar todos los datos en
caso de que el proveedor
cambie la estructura o la
dirección.

Aquí encontrarás más información sobre la seguridad en la nube [7].

51
CONCLUSIONES
La inclusión del cloud ha tenido un gran impacto en los modelos de negocio de las
organizaciones ya que, entre otras cosas, nos permite dejar de preocuparnos por la
infraestructura tecnológica y centrar nuestra atención en el negocio.

Las soluciones cloud se pueden contratar en diferentes modalidades (SaaS, PaaS, IaaS) y
a través de distintos modelos de despliegue (pública, híbrida y privada).

A pesar de eso, es muy importante tener en cuenta la legislación vigente del nuestro
país y la aplicable al contrato. Así, debemos saber en qué país residen nuestros datos ya
que, por ejemplo, los países del EEE tienen mayores garantías jurídicas respecto a la
seguridad de los datos personales.

Como cualquier tecnología, presenta una serie de amenazas que pueden comprometer
el negocio aprovechando diferentes vulnerabilidades (fallos técnicos, desconocimiento,
malas configuraciones, falta de procedimientos) en los sistemas de información (equipos,
redes, programas, datos, personas, procesos).

Además de las amenazas que supone optar por la tecnología del cloud, existen una serie
de riesgos que es necesario gestionar.

52
Referencias

[1] OSI: Ventajas e inconvenientes de estar en la nube:

https://www.osi.es/es/actualidad/blog/2013/09/06/estas-en-la-nube-conoce-las-ventajas-e-
inconvenientes

[2] Diferencias entre los tres modelos de contratación cloud.

http://acloudhosting.es/iaas-paas-y-saas-cuales-son-sus-diferencias/

[3] Tratamiento de datos entre los Estados Unidos y países fuera del EEE y la
Unión europea:
https://www.incibe.es/protege-tu-empresa/blog/privacidad-clientes-y-
empleados-valor-alza

[4] En Europa la tendencia es trabajar hacia un mercado único de servicios cloud:

http://europa.eu/rapid/press-release_IP-15-4919_es.htm

[5] Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de

comercio electrónico.
https://www.boe.es/buscar/pdf/2002/BOE-A-2002-13758-consolidado.pdf

[6] Riesgos y amenazas en cloud computing

https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert
_inf_riesgos_y_amenazas_en_cloud_computing.pdf

[7] Guía sobre seguridad en la nube para PYMES

https://www.enisa.europa.eu/publications/cloud-security-guide-for-smes

53
54