La seguridad en la nube en el punto de mira: estrategias, arquitecturas y modelos de contrato para proteger los datos sensibles de las empresas en un mundo digitalizado

Los datos son una herramienta de la economía digitalizada moderna, o también el nuevo oro de las empresas (sector privado), pero también para el Estado (sector público). En el mundo digitalizado actual, se generan de forma imparable innumerables conjuntos de datos, muchos de los cuales acaban en Internet. Algunos de estos conjuntos de datos contienen información personal que refleja una identidad digital. El verdadero arte en una empresa consiste en filtrar cuidadosamente estos datos y, sobre todo, en almacenarlos. Este breve trabajo tiene como objetivo analizar los datos en la nube y su procesamiento desde una perspectiva empresarial. Además, este breve trabajo muestra qué tipos de contratos, arquitecturas y medidas de seguridad adecuadas contra los ciberataques adopta la industria para disponer de una base sólida para su propio procesamiento de datos.

Antes de entrar de lleno en el tema de la seguridad en la nube, conviene conocer primero algunos datos clave del denominado «cloud computing», su funcionamiento y la estructura de una nube: «La computación en la nube es un modelo de procesamiento de datos que permite acceder, cuando sea necesario, en cualquier momento y lugar, de forma cómoda a través de una red, a un conjunto compartido de recursos informáticos configurables (por ejemplo, redes, servidores, sistemas de almacenamiento, aplicaciones y servicios). Estos pueden ponerse a disposición de forma rápida y con un esfuerzo administrativo mínimo o una interacción reducida con el proveedor de servicios. La nube puede utilizarse en tres variantes (Infraestructura como Servicio (IaaS), Plataforma como Servicio (PaaS) y Software como Servicio (SaaS)). El tipo de nube varía en función del tipo de implementación (nube privada, nube comunitaria, nube pública, nube híbrida).» [1]

En el ámbito del cloud computing existen diferentes tipos de implementación, según cómo los proveedores de la nube ponen a disposición de sus usuarios los servicios en la nube. Existen cuatro modelos principales asociados al cloud computing:

1. Nube pública

La nube pública permite a todos los usuarios acceder a recursos informáticos, como hardware (sistema operativo, CPU, memoria) o software (servidor de aplicaciones, base de datos), mediante suscripción o según el consumo. Entre los casos de uso prácticos se encuentran el desarrollo y las pruebas de aplicaciones para tareas críticas y no críticas, como el intercambio de archivos y los servicios de correo electrónico.

2. Nube privada

La nube privada suele ser utilizada de forma exclusiva por una sola organización y puede gestionarse internamente o ser administrada por un proveedor externo de servicios de TI. Aunque las nubes privadas suelen ser más caras que las públicas debido a las inversiones en adquisición y mantenimiento, abordan de forma más eficaz las preocupaciones de las organizaciones en materia de seguridad y protección de datos.

3. Nube híbrida (forma mixta de un centro de datos físico o una nube privada externa y/o una nube pública)

La nube híbrida utiliza tanto infraestructuras de nube privada como pública. Las empresas eligen este modelo para ampliar rápidamente su infraestructura de TI cuando sea necesario. De este modo, por ejemplo, un comerciante en línea puede utilizar recursos de la nube pública durante la temporada alta para complementar o aliviar la carga de su nube privada.

4. Nube comunitaria

La nube comunitaria da soporte conjuntamente a varias organizaciones que utilizan recursos informáticos. Entre ellas se incluyen, por ejemplo , universidades que colaboran en áreas de investigación específicas , o entidades públicas como comisarías de policía dentro de una comarca que comparten recursos. El acceso a una nube comunitaria está restringido a los miembros de la comunidad.

Los costes para el usuario final suelen ser bajos en las nubes públicas, sin que se requieran inversiones adicionales. Las nubes privadas, por el contrario, aunque requieren inversiones, ofrecen en general un ahorro en comparación con los costes operativos de la infraestructura propia . Las nubes privadas también garantizan un mayor nivel de seguridad y cumplimiento normativo que las nubes públicas. Por ello, algunas organizaciones utilizan nubes privadas para datos y aplicaciones críticos para el negocio o más sensibles, y nubes públicas para tareas básicas como el desarrollo de aplicaciones, entornos de prueba y servicios de correo electrónico. [2]

Una solución de nube híbrida resulta ideal para mitigar o diversificar los riesgos ante un ciberataque. Ofrece un mayor control sobre la propia seguridad en comparación con el uso exclusivo de una nube pública. Además, una infraestructura de nube híbrida ofrece la posibilidad deestablecer estándares de seguridad individuales y configurarel software a medidaen servidores privados. Esta distribución conduce a una mayor fiabilidad de los sistemas y a una mejor evaluación de la situación para clasificar los problemas del sistema.

Además, la rentabilidad es mayor que en el caso de la adquisición y el mantenimiento de servidores in situ. [3]

Modelos de arquitectura de servicios en la nube

Teniendo en cuenta estas ventajas de una solución de nube híbrida, que van desde un mayor control de seguridad hasta una mayor fiabilidad, es importante comprender las diferentes arquitecturas de servicios en la nube. Estas arquitecturas, a saber, Infraestructura como Servicio (IaaS), Plataforma como Servicio (PaaS) y Software como Servicio (SaaS), ofrecen diferentes niveles de prestación de servicios y establecen distintas responsabilidades en materia de cumplimiento normativo.

1. Infraestructura como servicio (IaaS)

Los proveedores de IaaS proporcionanla infraestructurabásica de computación, almacenamiento y red, así como el hipervisor para la virtualización. Los usuarios son responsables de la creación y gestión de instancias virtuales, la instalación de sistemas operativos, la provisión de aplicaciones y datos, así como de toda la configuración. La IaaS resulta interesante tanto para pequeñas empresas como para pymes. La facilidad de uso de una infraestructura en la nube que no se gestiona de forma propia supone una alternativa económica a la compra de hardware propio.

Ejemplos: DigitalOcean, AWS, Azure, Google Compute Engine, Hetzner Cloud

2. Plataforma como servicio (PaaS)

Los proveedores de PaaS amplían la pila de aplicaciones más allá de lo que lo hace IaaS, al incluir sistemas operativos y middleware (por ejemplo, bases de datos). Los usuarios se centran más en el desarrollo de aplicaciones. La plataforma gestiona la infraestructura subyacente.

Ejemplos: AWS Elastic Beanstalk, Google App Engine.

3. Software como servicio (SaaS)

Los proveedores de SaaS ofrecen una pila de aplicaciones completa. Los usuarios pueden acceder a la aplicación totalmente alojada a través de un navegador web. La gestión de las cargas de trabajo y los recursos de TI queda totalmente bajo el control del proveedor de SaaS, mientras que los usuarios tienen control explícito sobre los datos generados por la aplicación.

Ejemplos: Salesforce, Dropbox, Google Workspace, aBusiness Suite [4]

La nube en el derecho contractual

Hasta la fecha, el legislador aún no ha tratado expresamente los contratos SaaS desde el punto de vista jurídico. Por el momento, un contrato SaaS solo puede clasificarse jurídicamente como un contrato mixto que incluye aspectos de los contratos de servicios, de obra y de alquiler. Por lo tanto, el ámbito jurídico aplicable depende de la parte del contrato correspondiente a la prestación del servicio. El componente central de un contrato SaaS se encuentra principalmente en el derecho de arrendamiento, ya que el suministro de software es más comparable a la cesión de bienes en el derecho de arrendamiento. Dado que el software no se considera una «cosa» en el sentido del derecho de arrendamiento, actualmente prevalece la opinión de que los contratos SaaS constituyen una cesión de uso por un tiempo limitado. Esto concuerda con las disposiciones y el objetivo que persigue el derecho de arrendamiento. [5]

Los contratos PaaS se caracterizan principalmente por los acuerdos de nivel de servicio (SLA), que establecen prestaciones mínimas y definen los derechos y obligaciones de ambas partes contratantes.

La protección y la seguridad de los datos desempeñan un papel decisivo, ya que en los servicios PaaS a menudo se tratan datos sensibles. El contrato debe contenerdisposiciones claras sobre la protección de datos personales. Además, es imprescindible establecer en el contrato quién es el titular de la propiedad intelectual de las aplicaciones creadas, si bien normalmente el usuario conserva la propiedad de las aplicaciones y el proveedor la de la plataforma. [6]

Conclusión

Independientemente de si se trata de una startup, una empresa de capital riesgo, una pyme o una gran empresa, la seguridad en la nube es de vital importancia para cualquier empresa.

En este sentido, no solo hay que tener en cuenta con qué proveedores de la nube se desea colaborarcomo empresa , sino también qué condiciones marco se establecen al respecto.

En última instancia, la seguridad no es responsabilidad exclusiva del proveedor de servicios de tecnología en la nube per se, sino que los empleados de una empresa desempeñan un papel igualmente importante en el aspecto de la seguridad de la nube.

Es imprescindible invertir regularmente en la formación y la sensibilización de los empleados para garantizar que estos dispongan de los conocimientos necesarios para manejar las directrices y los procedimientos de seguridad. Sin embargo, para aprovechar todo el potencial de la nube, las empresas deben invertir tanto en el mantenimiento de sus propios sistemas o de los sistemas de socios externos, como en la contratación de nuevos empleados de TI. De este modo, una empresa puede garantizar la seguridad de los sistemas y, con ello, aumentar la satisfacción de los clientes, lo que mejora la reputación de la empresa a largo plazo.

Un punto crucial a la hora de seleccionar un proveedor de nube externo ha sido siempre la dependencia de proveedores extranjeros y sus normativas de protección de datos. Las empresas hacen frente a este reto mediante medidas como la revisión exhaustiva de las políticas de protección de datos, enfoques de nube híbrida para minimizar los riesgos, evaluaciones de las medidas de seguridad y certificaciones de los proveedores, evaluaciones de impacto en la protección de datos, supervisión y auditorías periódicas, así como la preparación ante posibles violaciones de la protección de datos. Las estrategias varían en función del tamaño y el sector de la empresa, pero todas ellas tienen como objetivo garantizar el cumplimiento de la normativa de protección de datos y minimizar los riesgos potenciales en el uso de servicios de nube externos.

Bibliografía

Computación en la nube
https://www.swissbanking.ch/de/themen/digitalisierung-innovation-cyber-security/cloud-computing

Modelo de implementación en la nube (2014)
https://www.sciencedirect.com/topics/computer-science/cloud-deployment-model

Entender la nube: ¿sabe qué es una nube pública y qué es una nube híbrida? (2023)
https://www.speechlive.com/at/blog/die-cloud-verstehen-wissen-sie-was-eine-public-cloud-und-was-eine-hybride-cloud-ist

¿Qué es IaaS? Definición y datos de interés
https://bsh-ag.de/it-wissensdatenbank/iaas-infrastructure-as-a-service/

Plataforma como servicio (PaaS) (2022)
https://www.computerweekly.com/de/definition/Platform-as-a-Service-PaaS

Qué debe tener en cuenta al redactar contratos SaaS (2022)
https://www.top.legal/wissen/saas-vertraege

Contratos de plataforma como servicio (PaaS): una guía (2023)
https://www.anwalt.de/rechtstipps/platform-as-a-service-vertraege-paas-vertraege-ein-leitfaden-216904.html