César Pallavicini.
La seguridad y privacidad de la información en un ambiente cloud ha sido desde siempre motivo de grandes inquietudes, lo que ha llevado a una búsqueda constante por el mejoramiento de dicha tecnología, ajustándola no solamente a las necesidades de los usuarios, sino también a la realidad normativa y exigencias legales que le pueden ser aplicables. Bajo ese contexto, recientemente se publicó la norma internacional ISO/ IEC 27018:2014, que busca proteger la privacidad y la seguridad de la Información de Identificación Personal (PII, por sus siglas en inglés) de los usuarios, mediante la incorporación de sistemas de protección claves para la data sensible de clientes, almacenada en la nube.
Sin lugar a dudas, y teniendo muy presente la actual discusión acerca de las medidas que se buscan adoptar para asegurar una adecuada protección de la información relativa a nuestros datos personales, resulta ser un tema de especial trascendencia. Esto, ya que esta ISO viene a entregar los lineamientos mínimos considerados como buenas conductas, al momento de pensar en la manera de cómo deberían ser asegurados y protegidos nuestros datos en un entorno cloud, donde siendo usuarios de este servicio, las principales interrogantes que nos vienen a la mente son: ¿Hasta dónde tengo el control de mis datos? ¿En qué lugar del mundo se encuentran almacenados? ¿Seré informado en el evento que la autoridad requiera acceder a ellos? ¿Puede haber filtración o fugas de esta información? ¿Puedo establecer acciones legales al respecto? El estándar pretende aportar un grado de uniformidad y confianza a la industria, siendo un documento claro de orientación para las distintas organizaciones, ya que entrega medidas concretas para mejorar la seguridad al momento de la selección e implementación de los controles de protección PII, en un sistema de cloud computing. Eso es beneficioso no solamente para personas naturales, sino también para aquellos servicios entregados por clientes empresariales, cumpliendo así con los más altos estándares de calidad establecidos por la Directiva Europea de Protección de Datos.
Ámbito de aplicación y su objetivo
En términos generales, la nueva norma ISO 27018 va dirigida tanto a las empresas proveedoras, como a aquellas que actúan como procesadores PII en nubes públicas, instándolas a informar sobre el tratamiento que le dan a los datos de sus clientes, y buscando así impedir que estos sean utilizados con una finalidad distinta.
Por lo tanto, hace alusión a aquellos que actúan como procesadores PII, así como a los proveedores de servicios de computación en la nube pública (como Amazon Web Services y Compute Engine de Google). En este sentido, un proveedor de servicios de nube pública es un “procesador PII cuando procesa esta información para, y de acuerdo a las instrucciones de un cliente de servicios de nube”. Es importante señalar que esta norma no cubre oficialmente a titulares PII, es decir, a las personas que transforman su propia información de identificación personal en la nube, por ejemplo a través de Google Drive; ni tampoco a aquellos que son controladores de PII.
Por todo lo anterior, y basado en experiencias de gestión de riesgos y controles de seguridad de la información en ambientes tradicionales, donde existen fugas de información que representan significativas pérdidas económicas para las empresas, es fácil deducir que establecer estos controles de seguridad para un ambiente cloud -donde los servidores y discos, cuya ubicación física se desconoce, almacenan grandes volúmenes de datosserá aún más complejo, ya que los riesgos asociados son mayores.
