Seguridad y aspectos legales del Cloud Computing se analizaron en el DCC

Image preview

José Francisco de la Maza.

Image preview

Lorena Donoso.

Image preview

De izquierda a derecha: Lorena Donoso, Alejandro Hevia y José Francisco de la Maza.


Compartir

En el segundo panel de discusión realizado en el DCC sobre Cloud Computing, se analizaron y discutieron diversos aspectos sobre la seguridad que se debe manejar en un proyecto de servicios en la Nube.

 

Desafíos y dificultades en un proyecto Cloud, puntos críticos en el ámbito de seguridad tecnológica para los servicios de Nube, y casos de experiencias reales de Cloud en Chile, fueron algunos de los tópicos abordados en el  segundo panel  sobre Cloud Computing realizado en el Departamento de Ciencias de la Computación (DCC), el pasado viernes 13 de julio, y que en esta ocasión tuvo como tema principal “Seguridad y aspectos legales en la Nube”.

 

El evento, organizado por el DCC, en conjunto con su comunidad de Ex Alumnos y el apoyo de Intel, contó con la participación de José Francisco de la Maza, Field Account Manager de McAfee Chile; Lorena Donoso, abogada, profesora de la Facultad de Derecho de la Universidad de Chile y Consejera del Instituto Chileno de Derecho y Tecnologías ICDT, y Alejandro Hevia, académico del DCC y director del CLCERT, quien fue el moderador del encuentro.

 
Seguridad en todos los niveles

 

En primer lugar, expuso José Francisco de la Maza, quien se refirió a un estudio de Cisco realizado en 2010 que mostró que el 21% del procesamiento de datos de las empresas se realizó en la Nube y el 79% en Datacenter privados, señalando que “se espera que el 2014 se llegue a un punto donde el 51% del procesamiento esté en la Nube y el 49% en Datacenter privado”.

 

Agregó que “si bien las tecnologías están, hoy hay muy pocos servicios que sean típicamente Cloud”. Sin embargo, según una encuesta de Intel realizada a 800 empresas en cuatro países, donde se les preguntó sobre la posibilidad de llevar sus servicios a Cloud, el 4% de ellos dijo que está planeando evaluarlo; el 16% tiene una oferta para realizar un proyecto; el 38% está evaluando ir a Cloud y el 42% tiene proyectos en progreso. En este sentido, De la Maza afirmó que “la seguridad debe incorporarse desde el punto de vista de proteger la información, proteger la infraestructura y cumplir con todas las regulaciones, políticas y normativas. El 60% de los clientes está tremendamente preocupado por la seguridad, pero también por cómo va a ser provista esa seguridad, pero independientemente de esto, el 70% de ellos dice que se va a mover a la Nube sí o sí. ¿Por qué? Porque el poder de la Nube es gigantesco en términos de agilidad, costo-eficiencia, incorporar innovación y mejorar un proceso de servicio”.

 

Respecto a la seguridad en servicios Cloud en Chile, destacó que las preocupaciones son las mismas que en el resto del mundo y tienen que ver con que al desarrollar un proyecto se resuelvan aspectos esenciales como definir claramente quién se conecta, quién accede, dónde accede y bajo qué condiciones le doy ciertos privilegios de acceso.

 

A su vez, De la Maza se refirió al modelo de seguridad para servicios Cloud utilizado en McAfee, destacando la importancia de expandir la seguridad a todos los niveles, manejando las aplicaciones y las comunicaciones: “Antiguamente sólo hablábamos de antivirus, pero hoy tenemos amenazas que son distintas; hay elementos que están atacando o que están instalados antes de que se encienda el computador. Debemos proveer una plataforma de seguridad que esté orientada a la Nube, que esté integrada, pero básicamente lo que dice este concepto es que no puedo tener silos de almacenamiento, silos de seguridad, sino que estos deben ser integrados para proveer una seguridad completa, en todos los ámbitos”.

 

Efectos y eficacia legal

 

Por su parte, la abogada Lorena Donoso se refirió a los desafíos legales de la seguridad en el Cloud Computing, enfatizando que en nuestra legislación existen múltiples aspectos que se pueden adaptar a la situación, y para los abogados la preocupación principal es que lo que se haga tecnológicamente tenga efectos y eficacia legal, de modo de poder resolver posibles conflictos jurídicos.

 

“Cuando miramos el Cloud, buscamos saber dónde está el control. Por ejemplo cómo controlamos quien accede, quién ve esto, cómo lo ve, qué es lo que hace, quién es el responsable, cómo lo encuentro y lo hago responsable de sus actos”, explicó la abogada y agregó que además de las personas el interés está en los datos del sistema, los que definió como “activos de información”, señalando que desde el derecho lo que se quiere es, por una parte, asegurar el control de los sistemas, es decir que estos funcionen, y por otro asegurar el control sobre los datos y procesos, porque estos “permiten identificar, constituir, preconstituir, resguardar y salvar las pruebas necesarias para constituir una evidencia en un juicio. El control sobre los datos también permite identificar la responsabilidad sobre los mismos, lo que se aplica tanto a personas naturales como a personas jurídicas”.

 

Respecto al marco legal, destacó que en el derecho más que hablar de servicios de Cloud, se habla de “servicios deslocalizados”, dado que podrían estar en cualquier parte, pero es fundamental que siempre quede establecido el responsable, el domicilio del responsable de los procesos y el domicilio de dónde se van a prestar los servicios.

 

Para el caso chileno, Lorena Donoso explicó que existen una serie de leyes que se pueden consultar para los servicios Cloud como son la Ley de Protección de Datos, en lo relativo a los datos que están siendo objeto de procesamiento, y el Código del Trabajo “porque rigen las relaciones laborales de las personas que están participando en los procesos. En lo referente a la seguridad de los bienes, básicamente se deben consultar las leyes de Firma Electrónica, de Delitos y de Propiedad Intelectual. En los procesos también está la Ley de Delitos Informáticos, la de Protección de Datos y la de Firma Electrónica”, señaló.

 

“Lo importante aquí es que desde la óptica jurídica nos interesa que la prueba se conserve de manera eficiente para que no pierda eficacia legal. Vamos a tener que ponernos de acuerdo con los proveedores de Cloud para que nos entreguen los archivos XML en un formato que sea susceptible de ser analizado por los sistemas y procesos de los Tribunales, en una audiencia en que la otra parte también tiene que llevarse una copia idéntica y que va a poder pedir peritaje de esos archivos. Y eso para el Cloud es un desafío importante”, concluyó la abogada.

 

--

Comunicaciones DCC