Impacto de la protección de datos en los sistemas de información: nube privada

El enfoque de la normativa de la Ley Orgánica de Protección de Datos (LOPD) influye de manera determinante en la configuración de un sistema de información en un entorno seguro.

Mantener un nivel de seguridad alto en protección de datos implica comunicaciones por Internet seguras, acceso a soporte encriptado, registro de accesos al fichero, back up separado, autenticación segura y un largo etc,.

La situación actual requiere a los departamentos de sistemas centrarse en las áreas de valor asociadas a sus competencias. El cumplimiento normativo de la protección de datos tiene sus complicaciones técnicas de selección de un modelo, requiere una infraestructura adecuada y unos costes estables y competitivos, para el mantenimiento de un sistema de información en condiciones de respaldo y recuperación en caso de desastre y que cumpla la LOPD.

El que una empresa pueda permitirse el lujo de cumplir para todos los ficheros de los que es responsable, con los requisitos de seguridad de nivel alto de la LOPD y su Reglamento a un coste razonable de explotación, mantenimiento y respaldo, es un aliciente que a la fecha es posible y abre puertas a la competencia en el entorno PYME.

Hay muchas formas de llegar a esto y cada caso tendría sus características intrínsecas. Nos vamos a ocupar de dos tipos de nube, una pública y una privada. En ambos casos se cumple el funcionamiento de que tenemos una o varias carpetas en nuestro ordenador, que se actualizan de forma sincrónica con una carpeta idéntica en un servidor activo, vía una conexión segura en Internet (https://), que hace que las peticiones y el tráfico entre nuestro equipo y el servidor vayan encriptados.

Como ejemplo de nube pública tomamos el caso Dropbox, que cumple con Safe Harbor desde el 14 de febrero de 2012, Este hecho habilita a Dropbox para competir en Europa, sin que haya que pedir permiso por la transferencia internacional de datos a la Agencia Española de Protección de Datos (AEPD).

Este compromiso lo define de la siguiente forma la guía de la AEPD: “Las proporcionadas por las empresas ubicadas en los Estados Unidos que hayan suscrito los principios de Puerto Seguro. Al igual que en el caso anterior será suficiente con hacer constar la transferencia en la notificación del fichero a la Agencia Española de Protección de Datos”.

Se considera que ofrecen garantías adecuadas para la protección de datos las entidades estadounidenses adheridas a los principios de “Puerto Seguro” (safe harbor), de conformidad con la Decisión 2000/520/CE de la Comisión de 26 de julio de 2000. La lista de entidades estadounidenses adheridas a los principios de “Puerto Seguro” está disponible en http://www.export.gov/safeharbor.

Los requisitos de seguridad para ficheros clasificados de nivel alto obligan a llevar registro de accesos. La versión de pago de esta aplicación en cuestión cumple este requisito, que es un requisito engorroso para un departamento TIC, en términos de recursos asignados de preparación y pruebas.

En definitiva es una solución de alta tecnología, disponibilidad, eficacia, eficiencia y seguridad, muy a tener en cuenta en el ámbito de la empresa, que cumple con la normativa legal y en la actualidad tiene la ISO 27001 y otras certificaciones de calidad.

Luis Fernández de Heredia
Director TIC