El informe, denominado “Cloud Compliance Report”, aborda de manera amplia los aspectos fundamentales a tener en cuenta en la contratación de servicios en la nube como, por ejemplo, los relacionados con la gestión de la privacidad de los datos, las normativas y regulaciones exigibles y/o de carácter voluntario en España, las metodologías más elementales para la auditoría de servicios en la nube o las recomendaciones operacionales básicas relacionadas con la gestión de evidencias electrónicas en este tipo de entornos.

El documento, en el que han participado medio centenar de profesionales, propone entre sus conclusiones aumentar la transparencia en la relación entre cliente y proveedor de servicios de computación en la nube, como elemento básico de confianza entre las partes.

Estas recomendaciones podrían a ser de aplicación también a los modelos más tradicionales de externalización de servicios (como el housing o el hosting), lo cual es lógico, puesto que la computación en la nube podría considerarse como un salto cualitativo en los modelos de provisión de servicios TIC.

“La evolución hacia la nube será gradual y, claramente, los requerimientos de complimiento normativo y la confianza que provean los proveedores serán los principales factores que irán marcando la velocidad de esta evolución”; así lo asegura María Luisa Rodríguez, Business Developer Manager del Grupo de I+D Seguridad de Barcelona Digital y líder de  “Contratación, Evidencias Electrónicas y Auditoría en la Nube”, uno de los tres grupos en los que se ha organizado el Capítulo Español de la Cloud Security Alliance para la elaboración del informe.

Principales recomendaciones del informe

Tanto los clientes como los proveedores han de ser conscientes de las normativas y regulaciones a las que están sujetos y han de garantizar el cumplimiento de las mismas.

Los clientes deben informar a los proveedores sobre los tratamientos de datos de carácter personal que están realizando y los requisitos que sobre ellos existen y que éstos, a su vez, identifiquen e informen de las localizaciones en las que realizarán dichos tratamientos o de los proveedores a los que ellos subcontraten parte de sus servicios, así como que se establezcan mecanismos de coordinación entre ambas partes para asegurar que se puede dar cumplimiento a los derechos de los afectados de manera responsable.

En cuanto a la implantación de Sistemas de Gestión de la Seguridad de la Información, el informe ofrece recomendaciones en el sentido de ampliar los canales de comunicación en materia, por ejemplo, de valoración de riesgos, de incidencias, de variación de los niveles de riesgo, así como de coordinación (como, por ejemplo, en materia de definición de roles y responsabilidades, respuesta a incidentes o realización de tareas de seguimiento y auditoría).

En relación a los factores de contratación de servicios en la nube, las recomendaciones también tienen la misma orientación, haciendo referencias a los Acuerdos de Nivel de Servicio como herramientas fundamentales para definir y monitorizar el servicio, pero también con aspectos como determinar la propiedad intelectual de los distintos elementos de la provisión del servicio, establecer mecanismos de resolución de conflictos o clarificar desde el inicio la jurisdicción aplicable.

En cuanto a los aspectos relacionados con la validación del cumplimiento (evidencias y auditoría), las recomendaciones se centran en los aspectos de coordinación (quién debe encargarse de qué tarea en aspectos como elaboración de métricas, realización de revisiones, etc.), así como en el establecimiento de un entorno confiable mediante la implantación de mecanismos como procedimientos de gestión de evidencias, medidas de protección de los registros de auditoría, planificación de auditorías, etc.