Se pretende concienciar a las empresas usuarias de servicios externalizados en prestadores de Cloud Computing, de la importancia de velar por la seguridad de sus propios datos exigiendo el máximo de garantías contractuales y de gestión de la seguridad.
La evidencia digital entorno ala contratación" de servicios en el Cloud Computing
Contratación de serviciosen el Cloud Computing ¿Cómo salvaguardar nuestra evidencia digital ante futuros riesgos?
"El Titanic se hunde 4 horas después de haber sido golpeado por un Iceberg [1]". The New York Times, 15 de abril de 1912
Uno de los motivos por los cuales el mundo se conmocionó e indignó tras el naufragio [2] fue, en parte, por la cantidad de errores que se cometieron esa noche. Errores que una vez analizados por las autoridades, junto con las evidencias correspondientes, acarrearon la necesidad de implementar una serie de importantes mejoras en la seguridad marítima, aún vigentes hoy en día.
Más cercano a nuestro tiempo, en Febrero de 2005, el núcleo financiero de la ciudad de Madrid quedó perturbado por el incendio de la Torre Windsor [3] , en ese instante, grandes despachos como Garrigas y empresas auditoras como Deloitte vieron afectada su actividad empresarial; precisamente esta última, gracias a quehabía blindado sus sistemas de seguridad después de los atentados de las Torres Gemelas en septiembre de 2001, pudo continuar su actividad tras un alto de 10 días; no así mismo otras empresas sitas en el mismo edificio,las cuales al carecer de copia de seguridad externa, y por ende, un duplicado de toda su información, se desvanecieron de la noche a la mañana.
Hace apenas unos meses periódicos, noticias y redes sociales nos despertaban con la siguiente información " Una red criminal rusa roba más de 1.200 millones de contraseñas: La trama delictiva viola la seguridad de más de 420.000 páginas web de todo el mundo" ; se trataba del robo de datos más grande de toda la era de internet, pero no el único .En este caso, BIG COMPANIES , PYMES así como usuarios anónimos fueron víctimas de la usurpación, por parte deuna red criminal dedicada a cometer " ciberdelitos " de datossitos en la nube como contraseñas y e-mails; datoscuya finalidad en una alta probabilidad era venderse en el mercado negro. Pero ¿Cómo puede afectar este hecho a nuestros negocios? ¿Qué consecuencia nos puede conllevar? ¿Hay alguna manera de prevenirlos? ¿Una vez acaecidoel hecho, cómo podemos demostrar que se ha producido y/o establecer quién es el responsable? Todas estas preguntas y algunas más, son preguntas que nos pueden abarcar en un momento u otro dentro de nuestra vida corporativa.
Con la aparición de las nuevas tecnologías de la información y la comunicación (TIC) [7] , y la puesta de éstas al alcance de la sociedad, el uso tradicional de la información ha dado un vuelco de 360 grados. Mientras no hace mucho, la información era accesible sólo para una minoría, hoy en día,la aparición de Internet, y con ello su Globalización, ha conllevado un acercamiento de ésta hacía miles de millones deciudadanos.
En la última década, el uso de las nuevas tecnologías se ha introducido masivamente en el día a día de nuestras empresas, como algo habitual, poniendo de relieve la importancia de éstas en el ámbito empresarial. Gracias a las TIC, nuestras compañías se han globalizado, no sólo desde un punto de vista de BIG COMPANY, sino también para todas las PYMES [8] , pues gracias a la mundialización han encontrado una salida a sus productos, cada vez más amplio, en un mercado exterior.
Hoy en día, podemos decir que la información [9] ha tomado por fin la relevancia que merecía en el ámbito empresarial, una importancia que nadie le había otorgado hasta ahora, pasando de ser un simple activo a ser el principal, pues a mi entender, sin información no existe negocio.
Actualmente,son muchas las empresas que hacen uso de las TICdentro del entorno que conocemos como el " Cloud Computing" también denominado " la nube". Esto se produce,fundamentalmente, por el coste - beneficio[11] que supone para las empresas no acarrear con el gasto que comporta mantener unos servicios e infraestructuras con unas garantías mínimas como las que nossirve " la nube": ¿Pero, es seguro el uso del Cloud Computing para nuestra información?
La constante evolución de las TIC entorno a la nube [13] , hace por sí misma, un foco constante de amenazas y riesgos, los cuales han puesto en jaque nuestro activo más importante: la INFORMACIÓN. Información entendida en el sentido más amplio, como datos de clientes, proveedores, patentes, datos financieros, secretos industriales, documentos en relación al descubrimiento fundamentales para nuestra empresa, como el que pudiera ser de aquella molécula que tanto presupuesto se llevó de nuestra organización... en definitiva, todo nuestro know-howque nos identifica como únicos dentro de nuestro sector empresarial.
Hoy por hoy, nuestras empresas, y por ende, nuestra INFORMACIÓN se encuentra amenazada por la aparición de nuevos delitos ( ciberdelitos) acaecidos tras el anonimato que ofrece Internet, como pueden ser "ataques de denegación de servicio" (DoS), " ciberataques", " malware", " phising", " spoofing", " hacking", " cracking", y como no, el más conocido estos días, el " ciberespionaje ", entre otros, son cada vez más habituales en el mundo empresarial de lo que nos pudiéramos imaginar. ¿Qué pasaría si nuestros competidores obtuvieran la información de nuestro nuevo modelogracias a una vulnerabilidad en nuestros sistemas de información? ¿Qué ocurriría si nuestra página web donde ofrecemos nuestro comercio online se viera afectado por un ataque DoS? ¿Qué sucedería, si como en el caso de la Torre Windsor mi copia de seguridad sita en la "nube" sufriera un ciberataque? ¿Y si ese mismo incendio se hubiera producido en las instalaciones de Amazon (EC2) ?¿Cómo lo podría demostrar?
Es por ello, que nuestra obligación, como responsables de nuestra organización, es velaren la medida de lo posible, por la integridad de nuestro principal activo, la INFORMACIÓN,desde la contratación de proveedoresa través del Acuerdo de Nivel de Servicio (SLA), hasta el conocimiento de aquellas posibles amenazas o riegosque pudiera afectar nuestro negocio.
En el último siglo, personas tan cercanas como nuestros padres o abuelos, vivieron grandes avances de la humanidad. A lo largo de su vida, vieron el paso de la nada al todo; decomunicarse a través del papel (cartas, periódicos) a la aparición de nuevos elementos que facilitaron el acercamiento a millones de personas; gracias a la radio, el teléfono o la televisión, la vida de muchas personas alrededor del concepto información cambió radicalmente. Con el paso del tiempo esa información, que en un primer momento fue de carácter unidireccional mediante la radio o la televisión, pasó a un carácter bidireccional mediante el teléfono, hasta llegar a un carácter multidireccional o global, gracias a la aparición de la computadora, y más concretamente gracias aInternety a suWorld Wide Web[15] (www).
En referencia a la información generada por nuestras empresas, éstas pasaron del mero uso del libro de cuentas en formato papel,a gestionarse de manera electrónica [16] . Actualmente, mediante las nuevas tecnologías, toda información puede ser transferida de punta a punta del mundo, en milésimas de segundo;ganandoceleridad en nuestros negocios tanto en ámbito nacional como en ámbito internacional.
Hoy en día, gracias a las TIChemos conseguido ladisponibilidady temporalidadde la información 7x 24h, 365 días al año, en cualquier lugar del mundoy en el momento que así dispongamos. Así mismo, no debemos perder de vista, que estos beneficios nunca han sidoa cambio de nada; pues la utilización de "la nube", nos dirige hacía una falta de seguridad y control de ésta, acaecida, en cierta manera, por la frecuente imposibilidad de conocer fehacientemente, donde residen y quienes pueden acceder exactamente a nuestros datos en cada momento.
Paralelamente al avance de la información, la evidencia tradicional ha evolucionado junto con las nuevas formas de canalización de ésta, dando lugar a la aparición de la evidencia digital. Así, si hace menos de dos décadas, si acaecía un incidente en nuestro negocio, pongamos el caso de robo de información en nuestra empresa, se podía detectar quien había sido por, entre otros aspectos, las huellas dactilares, algo que en la erade las nuevas tecnologías es más complicado. La falta de transparencia,junto con la falta de control debido a la distribución geográfica, la arquitectura, la multiposesión, la responsabilidad compartida en "la nube"hacen de la evidencia digital en el Cloud Computing un concepto complejo pero no imposible de abarcar.
[17] 3. La evidencia digital y su relación con el Cloud Computing . ¿Cómo afecta a nuestra empresa?
Como bien se ha mencionado, hoy en día, cada vez más son las empresasque utilizan "la nube" como instrumentopara trabajar y "salvaguardar" su principal activo: la información. Al igual que en nuestra vida cotidiana, éstas han adoptado las TIC como instrumento para desarrollar con mayor facilidad su actividad empresarial, y por tanto, es cada vez más usual ver empresas que apuestan porel BYOD [18] , la venta de sus productos a través de la red, o el almacenamiento de todos sus datos en el Cloud Computing. ¿Pero que entendemos por la nube? ¿Es tan segura como creemos? ¿Qué sucederíacon nuestros datos si un día ésta nos fallara? ¿Quién sería el responsable de dicha perdida y como lo podríamos demostrar ante posibles consecuencias para nuestra empresa?
La rápida evolución que ha sufrido la sociedad en nuestros días gracias a las TIC, ha hecho incrementarla aparición de nuevos delitos relacionados con éstas dentro del ámbito del ciberespacio. La complejidad de estas amenazas y riesgos , reside no tanto en los sistemas utilizados para cometerlos, sino en la dificultad que tiene el sistema jurídico para demostrar cómo, cuándo, quiény dónde se cometieron estos. Es por ello que, como responsables de nuestras empresas, debemos tener siempre presente el Principio de Intercambio de Edmond Locard el cual nos establece: " siempre que dos objetos entran en contactotransfieren parte del material que incorporan al otro objeto "; la cuestión es saber donde residen aquella trazabilidad que nos aporte claridad, certeza ante una evidenciapara presentarla delante un determinado procedimiento judicial. En definitiva, saber dónde reside la evidencia digital.
Cuando hablamos de evidencia, una duda que nos puede abarcar es la siguiente ¿Es lo mismo una evidencia que una prueba? algunos autoresdiferencian entre ambos conceptos, entendiendoevidencia como aquello relevante ante un incidente, mientras que la pruebaseria el momento de presentarloante un proceso.Es en este último sentidocomo lo entiende la RAE ,cuando nos define la evidenciacomo una " certeza clara y manifiesta de la que no se puede dudar"y posteriormente, nos estipula que una evidencia en el ámbito del derecho no es más que una " prueba determinada de un proceso ". Por otra parte, hay diferentes autores que entienden que una evidencia es lo mismo que una prueba; a mi entender, no hay prueba si no existe una evidencia clara y manifiesta de la cual no se pueda dudar.Pero ¿qué ocurre cuando esta evidencia está en "la nube"?
Son muchos los estudios realizados en relación a "la nube", mayoritariamente confusos para personas que, como yo misma, no tenemos base de ingeniería informática o de telecomunicaciones; para comprender este concepto, y bajo mi punto de vista, cabe destacar el estudio realizado por Paola Piroddi, profesora asociada de derecho Internacional y de la Unión Europea, de la Universidad de Cagliari (Italia), denominado" Cloud Computing and the law applicable to personal data protection in the European Union"el cual, a mi entender,establece una definición clara y sencilla de lo que se denomina "la nube". Para ella, el Cloud Computingse concibe como " un modelo avanzado de la tecnología de la información, basado en la virtualización de los recursos mediante su utilización: hardware, memoria, software, programas y aplicaciones; éstos no residen dentro del ordenador del usuario, sino que se transforman en máquinas virtuales" .
Asimismo, y a mi entender, para una mayor comprensión de este concepto, es recomendable tener presente el esquema que de esta figura, realiza el Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST) [23] , pionero en su estudio, el cual nos explica de manera clara y concisa las características fundamentales en relación a los modelos de servicio y despliegue que componen "la nube".
Actualmente, en relación a la evidencia digital, el país que ha desarrollado con más eficacia el estudio de esta figura ha sido losEstados Unidos de América, el cualmediante su Departamento de Justicia ha creado un grupo denominado "
Technical Working Group for the Examinations of Digital Evidence " (TWEDGE), formado por"juristas" de reconocido prestigio en esta materia, cuyo objetivo entre otroses crear una serie de guías para el estudio y proceso de la evidencia digital: desde su recogida y análisis en el escenario del delito, hasta la posterior defensa ante los Tribunales .
A tenor de lo analizado, podemos advertir laevidencia digital en "la nube", como " aquella certeza clara y manifiesta, procedente de un sistema informático o dispositivo digital análogo, que reside en el momento de su adquisición en la esfera del Cloud Computing, la cual no ha perdido a lo largo de su existencia, suautenticidad e integridad que la caracterizan "
[30] 3.2La evidencia digital entorno a la contratación" de servicios en el Cloud Computing
El uso de laevidencia digitalse ha convertido en los últimos años en una de las figuras más relevantes dentro del mercado anglosajón. Es en países como EEUU donde las grandes instituciones estatales, multinacionales, así como aquellas empresas financierasy de inversión, quienes para proteger su negocio, y entre ellos su mayor activo: la información, incorporan en su estructura corporativa la figura del "Forense informático". [31]
Por contra, no podemos decir lo mismo del viejo continente,donde debido a lacomplejidad normativa de cada estado o meramente por intereses ajenos a la UE,nos encontramos en la actualidad, con la inexistencia de una legislación unificada acerca de esta figura [32] ; inexistencia la cual nos puede acarrear en un futuro, para aquella empresa sita en Europa, una dificultad añadida a la hora de depurar responsabilidades por la pérdida de dicha información de nuestro negocio.
Pongamos el casode una de las múltiplesempresasque ejercen su actividad económica desde nuestro país, como pudiera ser una peluquería, un despacho de un profesionalunipersonal, un banco, o una multinacional, como pudieran ser FERROVIAL, MANGO o ZARA.
Todas ellas tienen en común que a lo largo de su vida corporativa, mueven en mayor o menor medida una suma de datos importantes para su empresa: clientes, facturación, pedidos,o incluso patentes, así como demás gestiones habituales en un negocio. Dicha información, podemos establecer, se encuentra mayoritariamente albergada y salvaguardada en dispositivos físicoscomo ordenadores, libros de cuentas,archivos u otros similares, que dan a nuestra corporación una seguridad de nuestro activo, pero ¿Qué ocurre con la seguridad de dichainformación, cuando ésta es desplazada a una infraestructura virtual como es el Cloud Computing [33] ?¿Cómo nos afecta su uso ante una evidencia digital? ¿Cómo debemos afrontar la contratación de servicios en la nube?
Así bien, mientras podemos establecer que todas ellas, en el uso del cloudcomputing disfrutan de unas características comunes gracias a la agrupación de los recursos: amplio acceso a la red, elasticidad rápida, autoservicio bajo demanda o medición del servicio [34] ; no podemos decir lo mismo del modelo de despliegue o de servicio.
A grandes rasgos, bien cierto es que todas ellasse nutrende información, aun así no es el mismo modelo de servicio para unas que para otras, debido a que no es lo mismo la información que maneja una persona desde su casa mediante el uso del gmail, el convertidor de pdf, o el uso de redes sociales como facebooko youtube (SaaS); que la información que gestiona un despacho de abogados el cual la puede utilizar través de Google App Engine, (PaaS) oel alojamientoque puede utilizar una multinacionalcomo Amazon en "la nube"mediante su EC2 (IaaS).
Junto con éste, hemos de comprender que existen diferentesmodelos de despliegue ("nubes") los cuales, según nuestra necesidad y economía, nos aportará enmayor o menor medidala salvaguarda de nuestro principal activo. No es lo mismo para la protección de nuestros datos y el desarrollo de nuestro negocio, utilizar una "nube" pública (como la que puede utilizar una peluquería, para almacenar sus datosmediante dropbox), que una "nube" privada(que pudiera utilizar un banco), así como una "nube" comunitaria (como pueden disfrutar ciertos profesionales liberales) o bien de una "nube" hibrida (como disfrutaba hasta hace poco Ferrovial ).
Es por tanto primordial, para la obtención de la evidencia digital, que nosotros, como responsables de nuestra corporación, ante la contratación de nuestra empresa de servicios en el Cloud Computing,evaluemos correctamente: cuál es el mejor modelo de despliegue y servicio que se adecua a nuestra corporación, cuáles son aquellas partes que debemos tener presente ante nuestra relación "empresa - Cloud Computing" y su responsabilidad, así como cuáles son aquellas problemáticas que debemos tener presentes, y que residen en la nube, para poder salvaguardar mejor nuestra información, y per se, nuestra corporación [38] .
Como bien se ha establecido en el viejo continente, no existe ningún tipo de regulación específica entorno a lafigura de la evidencia digital, es por tanto, nuestra obligación como responsables de la corporación, resolver dicho "nicho" gracias a una diligente contratación.
Hoy en día, en España,el contrato que debemos utilizar por parte de nuestra empresacon el proveedor, es aquel denominado" de prestación de servicios ". En él, se deben reflejartodos aquellos requisitosy garantías estipulados en el art. 12 de nuestra LOPD .
ste contrato puede realizarse por adhesióno negociado.¿Qué quiere decir esto? muy fácil,en el contrato de adhesión, es el proveedor quien establece las condiciones en las que se deben llevar a cabo dicho contrato, y el cliente (nosotros) sólo tenemos la posibilidad de aceptar o renunciar; no cabe decir, que en este supuesto, existe claramente un grave desequilibrio entre las partes (en este tipo de contratos entran todos aquellos contratos que se realizan vía online, ejemplo cuando contratas algún producto dirigido a particulares de Google). Por otra parte, el contrato negociado, ambas partes pueden pactar la manera en que se debe llevar a cabo el servicio contratado, así como todas sus característica insertas en él (este tipo de contratos son más habituales cuando hay equilibrio entre las partes al tratarse el cliente, por ejemplo, de una gran empresa y/o se aporta una cifra de negocio relevante para el prestador de servicios que justifique la predisposición a negociar).
Debido a la relación de múltiples partes que podemos encontrar ante un contrato de prestación de servicios en el ámbito que nos abarca, es substancial establecer cuáles serán las partes, sus responsabilidades, así como lajurisdiccióna la cual nosvinculamos anteun posible caso de conflicto entre las partes [40] .
¿Cuáles son estas múltiples partes? Ante ésta idea, son sólo algunos los autores quienes se han arriesgado a establecer una serie de actores o participantes en la esfera de "la nube", así pues, uno de ellos fue Horwitz et al en 2010, quien estableció como partes en una relación contractual en la esfera del Cloud Computing tres sujetos: el usuario final, el gestor de los negocios (como el responsable global de los datos o servicios que residen en la nube)y el proveedor de servicios de la nube (responsables de los activos y del mantenimiento de las TIC) .
A mi entender, las partes fundamentales [42] deben ser siempre simples y concisas, basándonos en aquellos que participan directamente de nuestra relación contractual, básicamente:
A la par, debemos tener presenteque ésteúltimo puede subcontratar a un tercero [43] para la prestación de servicio contratado. Cuya contratación puede llevarse a cabo porque:
-
Hemos pactado en el contrato que queremos ese tercero; o
-
En el contrato le hemos dado poderes directamente al proveedor para que subcontrate, lo cual da alugar a que no lo conozcamos directamente, y por consecuencia, no conozcamos las garantías de seguridad con las que trate nuestros datos.
Todos ellos, cliente, proveedor de servicios y tercero, deben avalar las siguientes garantías [44] para salvaguardar nuestro principal activo:
-
La identificaciónde los servicios y la empresa a subcontratar, informando de elloal cliente, incluso en el país en el que se desarrolla sus servicios si están previstas transferencias internacionales de datos (TID).
-
El cliente puede tomar decisiones como consecuencia de la intervención del subcontratista
-
La celebración del contrato entre el prestador de servicios de Cloud Computing y los subcontratistas deberán aportargarantías equivalentes a las incluidas en el contrato con el cliente.
Atendiendo a lo regulado en el art 12 de la LOPD, se encomienda a su vez como medida de seguridad para la empresa, pactar con el proveedor un anexo denominado Acuerdo de Nivel de Servicio [45] o Service Level Agreement (SLA). En este anexo se debe incluir, la respuesta por parte del proveedor/es ante unincidente, la responsabilidad de cada uno, junto a todos aquellos aspectos que consideremos importantes, para llevar a cabo de manera diligente y segura nuestro negocio.Es transcendental, que este acuerdo se adhiera a nuestro contrato, puessi no se dice nada, quedará a sabiendas de la voluntad del proveedor o peor aún de un tercer desconocido .
Desde el ámbito privado hasta el ámbito público de nuestro negocio, hoy en día el uso de "la nube" se ha convertido en indispensable para realizar todo tipo de gestiones en nuestra vida cotidiana. Como responsables de nuestra organización tenemos la obligación de velar por la confidencialidad, integridad y disponibilidad [48] de nuestra información ante cualquier incidente que se produzca tanto dentro como fuera del Cloud Computing.
¿Cuáles son las amenazas y riesgos que pueden acaecer ante nuestra empresa?
Según unestudio realizado porla CSA denominado Cloud Compliance Report del Capitulo Español de la Cloud Security Alliance, existen cuatro tipos de problemáticas entorno a la ubicación de la evidencia digital en el Cloud Computing:
Pérdida parcial o total del control de nuestros datos, debido a la distribución geográfica, [49] [50]
Así como, la dificultad para acreditarla integridady autenticidadde la evidencia debido a la complejidad de la arquitectura del Cloud Computing. [53]
Esquema de la Cloud Security Alliance: La problemática de las evidencias en el entorno del Cloud Computing
Como bien se ha dicho, junto con la problemática en torno a la evidencia digital en la nube, debemos resolvercuáles son aquellas amenazas y riesgos que puedan sufrir nuestras empresas en el entorno del Cloud Computing.Pero,para empezar, debemos abordar una duda primordial ¿qué se entiende por amenaza? Según el CSA, es aquella " causa potencial de un incidente que pueda causar daños en la información hospedada y procesada en ese entorno, o a algún elemento o conjunto de ellos que conforman el servicio " .
Especificar un numerus clausus de amenazas y riesgos en el Cloud Computing, como se puede imaginar uno,es bastante difícil, por no decir imposible. Esta dificultad reside fundamentalmente en la complejidad de la arquitectura de "la nube"y el continuo avance que sufre ésta día a día; así pues,lo que hoy puede ser una amenaza, mañana puede que no exista; y per se, la evidencia que hoy podamos encontrar, quien sabe si mañana exista.
El conocer en qué contextosy qué causasse originan, nos puede ayudar a comprender su complejidad,así como ahondar como afecta estos a nuestra evidencia digital. Cuando hablamos de contextos [56] , comprendemos aquellos ámbitos donde se produce una amenaza, estos son básicamente tres:
Pero ¿cuáles son las causaspor las que se originan? ¿Son las mismas en todos los contextos? Si bien no podemos decir a ciencia cierta que no existan más causas, si podemos decir que existen unas causas comunesentodos ellos: fallostécnico o del sistema, ciberdelitos [60], usuarios negligentes y/ousuarios maliciosos .
Cuando hablamos de ciberdelitos, elautor Fernando Miró Llinares en su libro" El cibercrimen, Fenómenos y criminología de la delincuencia en el ciberespacio ", establece una distinción, entre los ciberataques purosy ciberataques de réplica.
Hoy en día, tal y como explica Asier Martinez en su artículo publicado el mes de juniode 2014 en Inteco [INCIBE], cada vez son más los incidentes quesuceden alrededor de la seguridad de la información en nuestras empresas producidos: robo de información, fraude malware, accesos no autorizados, uso inapropiado de recursos, propiedad intelectual, denegación de servicio o extorsión, se encuentran en el "top ten" de las amenazas para nuestras empresas. ¿Pero son estas las únicas amenazas que podemos sufrir? Pues no.
Entidades como Inteco [INCIBE] o CSAhan establecido, en sus diferentes estudios, enumeraciones deamenazas que pueden sufrir nuestras empresas [65] ,entre otras:
Juntamente con estasamenazas no debemos olvidar, la más importante,a mi entender,por depender de nosotros mismos, me refiero al usuario negligente. The Guardianya lo especificó asíen su artículo " Carry on leaking: when coroprate security goes really, really wrong " publicado el pasado mes de abril de 2014,donde relató que el mayor número de amenazas que sufrían nuestras empresasno venían del exterior de éstas, sino de su interior, básicamente a causa de errores absurdos cometidos por desinformación digital de susempleados.
Todos y cada uno de ellos, son claros ejemplos de riesgos y amenazas en "la nube" que pueden dificultar la obtención de la evidencia digital. Es por tanto indispensable como empresa, antes de contratar cualquier servicio enel Cloud Computing, evaluemos correctamente aquellos factores que pudieran entorpecer la continuidadde nuestra actividad empresarial, estipulemos de manera clara, simple y sencilla aquellasresponsabilidades que corresponden a cada actor , así comoestipulemos un cicloPDCA , todo ello, para salvaguardar tanto nuestro principal activo ante incidentes venideros, como nuestra evidencia digital.
El inicio del siglo XXI ha comportado para nuestra sociedad, toda una revolución en torno al uso de la INFORMACIÓN, gracias a la aparición en nuestras vidas de las nuevas tecnologías de la sociedad de lainformación y la comunicación, denominadas TIC.
Así pues, si hace apenas un siglo un iceberg pudo derrotar al barco más majestuoso de la historia, el Titanic, ¿qué no puede derrotar hoy en día nuestra empresa? fallos técnicos, ciberdelitos, o usuarios maliciosos y negligentes se encuentranhoy en día ala cabeza de las mayores amenazas para nuestra empresa. Es nuestro deber, como responsables de nuestra corporación, velar en la medida de lo posible, por laconfidencialidad, integridad y perdurabilidad de nuestro principal activo: la información; pues sin información corremos el riesgo de perder la continuidad denuestro negocio.
¿Qué ocurriría si nuestra empresa sufriera la perdida de nuestra mejor patente, a causa de ciberespionaje de nuestra competencia? ¿Y si la persona que alberga nuestros datos los perdiera de manera voluntaria o involuntaria todos los datos de nuestros clientes?¿Cómo podríamos demostrar, cómo, quién, cuándo y dónde se produjo dicho incidente? Las TIC nos han traído celeridad y globalización, pero también nuevas amenazas y riesgos entorno a ellos, así como la complejidad en la obtención de la evidencia digital en el Cloud Computing, puesa consecuencia de lavirtualización del Cloud Computing, la evidencia que hoy puede existir, mañana no.Pero ¿qué se entiende por evidencia digital en la nube?¿Cómo nos podemos poner mayor diligencia como empresa ante esta figura?
Por evidencia digital en "la nube",entendemos " aquella certeza clara y manifiesta, procedente de un sistema informático o dispositivo digital análogo, que reside en el momento de su adquisición en la esfera del Cloud Computing, la cual no ha perdido a lo largo de su existencia, suautenticidad e integridad que la caracterizan "
En la actualidad, es el mercado anglosajón donde cada vez más, institucionesgubernamentales o grandes multinacionales, como empresas financierasy de inversión, dan un valor fundamental a la evidencia digital para salvaguardar sus negocios en frente las posibles amenazas que acontece el entorno de "la nube"; es por ello que en sus estructuras corporativas ya incorporan la figura del "Forense Informático". Pero ¿qué ocurre en Europa? Debido a la falta de legislación entorno a la evidencia digital, debemos ser nosotros, como responsables, quien velemos por la integridad y autenticidad de ésta ante la contratación de nuestra empresa de servicios en la nube, y por ello deberemos:
- Evaluar y analizar qué tipo de información gestionaremos a través de "la nube"
- Evaluar y analizar el modelo de servicio ("SPI") y despliegue (Privada, Pública, Hibrida o Comunitaria) en el entorno del Cloud Computing que mejor se adecue a nuestras necesidades empresariales.
- Evaluar y analizar cómo afectan las problemáticas entorno a la evidencia digital (distribución geográfica, arquitectura, multiposesión y responsabilidad compartida), así como aquellas amenazas y riesgos que puedan entorpecer la continuidad de nuestra actividad económica en un futuro.
- Concretar de manera clara y sencilla en el contrato de prestación de servicios: quienes son las partes, cuáles son sus responsabilidades, concreción e inclusión de cláusulas para la máxima seguridad de nuestros datos (como pudieran ser SLA, PLA) así como establecer la legislación vinculante a éste.
- Establecer formación continua a nuestra plantilla de aquellos riesgos o amenazas que pudieran afectar a nuestras infraestructuras. Igualmente se recomienda establecer un PDCA, así como la figura de un "Forense Informático" para evaluar y prevenir de posibles riesgos a lo largo de nuestra actividad económica.
- [1] Véase: " Titanic sinks four hours alter hitting iceberg; 866 rescue by Carpathia, probably 1250 persih; is may safe Mrs Astor maybe noted the names missing ". The New York Times, 15 de abril de 1912.
- [3] Véase " El incendio de la Torre Windsor perturba una parte del corazón financiero de Madrid ". Euronews, 14 febrero2005
- [5] Hechos como estos han acaecido con frecuencia estos últimos años, como elocurrido en junio de 2013 cuando" Un fallo de Facebook expuso teléfonos y mails de 6 millones de usuarios. Una brecha de seguridad hizo que mediante una aplicación se pudiesen descargar datos de otros"(el País, 22 de junio de 2013) o la noticia publicada por el País el pasado 22 de mayo de 2014 cuando " 145 millones de registros, afectados por el robo de datos en eBay; es el segundo mayor ataque en la historia del comercio de Estados Unidos."
- [10] Según establece el NIST (National Institute Standard of Technology) de los USA, se entiende por Cloud Computing " un modelo para habilitar acceso conveniente por demanda a un conjunto compartido de recursos computacionales configurables, por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo mínimo de administración o de interacción con el proveedor de servicios. Este modelo de nube promueve la disponibilidad y está compuesto por cinco características esenciales, tres modelos de servicio y cuatro modelos de despliegue " Asimismo, se aprovecha esta referencia para especificar que a lo largo de este estudio secombinaran ambos conceptos Cloud Computing y "la nube" como sinónimos.
- [15] También conocido como Red Informática Mundial y el cualse accede a través de INTERNET. Creado en 1989 por el inglés Tim Berners-Leejuntamente con el belga Robert Cailliau en Ginebra, Suiza, y publicado en 1992. Se trata de un "sistema de distribución de información basado en hipertexto o hipermedios enlazados y accesibles a través de Internet (Ref. ECCE -European Certificate on Cybercrime and Electronic Evidence, "SYLLABUS: Cybercrime and Electronic Evidence" 2009, JOYANES AGUILAR, Luis Computación en la nube, estrategias del Cloud Computing en las empresas. Ed. Alfaomega Grupo Editor. 2013 juntamenteconla definición que establece la página web Wikipedia: acerca delworld wide web).
- [17] Debido a la gran cantidad de artículos referidos ala figura del Cloud Computing, el presente artículo sólo hará mención de ellos. Para más información recomendamos al lector entre otros la página de Incibe ( www.incibe.es ) o el NIST ( www.nist.gov ).
- [18] Entendida como "Tráete tu propio dispositivo" (" Bring your own device
- [31] Entendido, como aquella persona que mediante la metodología denominada "Forensic Readiness" trata de prevenir los incidentes en una organización antes de que estos sucedan. Para ello, según el autorRobert Rowlingson en su artículo"A ten step process for the forensic readness"publicadopor el International Journal of Digital EvidenceWinter 2004, volume 2, Issue 3, para una correcta aplicación de dicha metodología es fundamental tener presente las 10pautas: "1) Definir los diferentes escenarios que requiere la evidencia digital; 2) Identificar los tipos y fuentes de evidencia, 3) Establecer requisitos de la evidencia; 4) Establecer capacidad de seguridad acerca de la admisión de una evidencia, en un posterior proceso; 5) Establece una política en relación a la evidencia; 6) Tener un control de los mayores incidentes; 7) Identificar circunstancias entera/formal de la investigación; 8) Formar a los trabajadores ante posibles incidentes; 9) Documentar incidentes e impacto en labase de la evidencia; 10) Revisar la normativa legal para facilitar la acción en respuesta de un incidente".
- [35] También conocido como "modelo SPI": Software as a Service(SaaS), Platform as a Service (PaaS) e Instrastructure as a Service (IaaS). VéasePIRODDI, Paola,Could computing and the law applicable to personal data protection in the European Union, Paola Piroddi,I Brief Introduction to Cloud Computing. Pág. 3
- [47] En este aspecto la complejidadreside en muchos aspectos, tal y como los catedráticos en derecho internacional privado de la UABRafael Arenas y Lidia Santos establecen que existen 2 tipos de problemas: 1º La facilidad o no de pactar un anexo, muchas veces cuando contratamos un servicioen la nube lo hacemos mediante la red, con la imposibilidad de pactar nadacon el proveedor, y 2º La rapidez con la que avanza la nueva tecnología podría dar a lugar que aquello que hemos pactado en un primer contrato quedase obsoleto antes de la finalización de este.En este último caso, el profesor Arenas, propuso la creación de un cuerpo de auditores especializados en Forensic Readiness que vigilen por el cumplimiento de los estándares internacionales en relación a las posibles incidencias que puedan ocurrir en su servicio en un futuro. Bien cierto es en este aspecto, la necesidad de revisar periódicamente los acuerdos establecidos en el contrato de prestación de servicios por ambas partes. Esta periodicidad se establece debido al rápido progreso de las nuevas tecnologías.
- [52] Debido a la multiposesión,en el caso que sucediera un incidente, la posibilidad que el proveedor nos dejara adquirir una copia de en sus instalaciones, seria ínfima, debido a la existencia de una posibilidad de vulnerar de manera directa e indirecta los derechos de un tercer usuario.
- [60] MIRÓ LLINARES, Fernando: "El cibercrimen, Fenómenos y criminología de la delincuencia en el ciberespacio", Ed. Marcial Pons, Colección Derecho Penal y Criminología. 2012,/LITTLEJOHN SHINDER, Debra " Prevención y detección de delitos informáticos" Ed. Anaya 2002.,así como el glosario que ofrece la página de Incibe http://www.incibe.es
- [86] PDCA: Planificar- Hacer- Verificar y Actuar (Plan-Do-Check-Act) también denominado ciclo de Demingesuna estrategia de mejora continua de la calidad que incorporan la mayoría de Sistemas de Gestión.
Este articulo deviene de la elaboración del proyecto final de Máster #MDDSI de la Universidad de Barcelona.
Imágenes bajo licencia 123RF internacional.
La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.
Su carrera profesional se ha desarrollado en diferentes ámbitos, desde Instituciones como el Parlamento de Cataluña siendo asesora jurídica a lo largo de toda la VIII legislatura, hasta pequeños despachos, pasando por el Ayuntamiento de Barcelona donde se encargó de la gestión de varios proyectos internacionales como EUROCITIES o el proyecto "VINCLES", entre otros, éste último galardonado en el mes de septiembre de 2014 con el primer premio por la Fundación Bloomberg dotado con 5 millones de dólares para la ciudad de Barcelona. Esta amplia experiencia profesional, ha sido complementada por varios cursos y postgrados en diferentes materias e idiomas, desde el ámbito del derecho nacional como internacional, a través de la Universidad de Copenhague, la Academia de la Corte Internacional Justicia de la Haya (HAIL) o Cambridge, especializándose en derecho TIC y Protección de Datos mediante el Máster en Derecho Digital y Sociedad de la Información (UB), enorgulleciéndose de pertenecer a la 1a promoción.
9. Otros artículos relacionados en este mismo Blog