Artículo
23 julio 2021

El gobierno y la protección del dato en la nube

Para dar cumplimiento de la soberanía del dato, y su protección en un proveedor de servicios la nube (PSN), es de máxima importancia que el cliente comprenda el uso de las herramientas y servicios del PSN seleccionado.

El modelo de responsabilidad compartida[1] es un concepto clave para entender cómo y quién ha de cumplir con la seguridad del dato. Este modelo compartido puede aliviar la carga operativa del cliente, ya que el PSN opera, administra y controla los componentes del sistema operativo host y la capa de virtualización, hasta la seguridad física de las instalaciones. El cliente asume la responsabilidad y la administración del sistema operativo invitado (incluidas las actualizaciones y los parches de seguridad). Los clientes deben pensar detenidamente en los servicios que eligen, ya que las responsabilidades varían en función de los servicios que utilicen.

La seguridad de la nube debe ser la prioridad número uno y empezar en la infraestructura, diseñada para cumplir los requisitos de seguridad más exigentes. Dicha infraestructura debe además cumplir con los estándares locales como el Esquema Nacional de Seguridad (ENS)[2] nivel alto y estar sujetos a jurisdicción nacional. Es igualmente importante comprender cuál es la definición de una región[3] pues esta varía entre PSN y su definición resuelve la seguridad de los datos de forma diferente.

Los clientes deben tener el control absoluto de los datos y el PSN ofrecer servicios que les garanticen controlar dónde quieren almacenar y procesar los datos. Adicionalmente, el PSN debe facilitar mecanismos para que el cliente pueda monitorear cualquier actividad realizada sobre sus datos para que puedan gobernar, cumplir, detectar y auditar sus datos, incluida la forma en que se recopilan, usan, acceden, almacenan y eliminan los datos.

La transparencia es otro factor primordial donde el proveedor debe garantizar que no tiene acceso a los datos del cliente y donde existan mecanismos para que el cliente pueda cifrar los datos y mantener el control de las llaves privadas utilizadas. En el caso de que las fuerzas de la seguridad soliciten el acceso a los datos los clientes el proveedor debe priorizar la privacidad y seguridad del dato del cliente. El posicionamiento debe ser verificar la validez de la solicitud y tratar siempre que sea legalmente posible de notificar al cliente dicha solicitud. Como buena práctica los PSN[4] deberán publicar de forma transparente todas las notificaciones realizadas y si se tramitaron o no.

[1] https://aws.amazon.com/es/compliance/shared-responsibility-model/

[2] https://aws.amazon.com/es/compliance/esquema-nacional-de-seguridad/

[3] https://aws.amazon.com/es/about-aws/global-infrastructure/regions_az/

[4] https://www.amazon.com/gp/help/customer/display.html?nodeId=GYSDRGWQ2C2CRYEF

¿Te ha parecido útil este contenido?

 
Más información en: https://aws.amazon.com/es/government-education/sector-publico-espana/
Borja Larrumbide Martinez
Amazon Web Services
Security Assurance de España y Portugal
Cloud Security Cybersecurity Data Governance Data Management & AI

Te puede interesar

BITDEFENDER advierte que la publicidad maliciosa con temática de IA llega a Facebook
12 Abr 2024
ARROW: La innovación que la IA aporta a las empresas: el equilibrio entre su potencial y riesgo
12 Abr 2024
El impacto de la IA en ciberseguridad
12 Abr 2024
La IA pone a prueba la gobernanza del dato
11 Abr 2024
Sewan: Impulsando el futuro del trabajo con soluciones tecnológicas innovadoras
08 Abr 2024
Utilización de servicios cloud para mejorar la asistencia sanitaria
23 Nov 2023
Ciberseguridad en la nube
10 Feb 2023
AMAZON WEB SERVICES incorpora las tecnologías antimalware de Bitdefender para la detección avanzada de amenazas
01 Sep 2022
AMAZON WEB SERVICES: Invitación para investigadores
11 Feb 2022
AWS: Abordar la brecha de habilidades digitales del sector público: un nuevo estudio de IDC revela los mayores desafíos y oportunidades
31 Ago 2021