#Semanaeuropeadelcoud en EOI

El día 15 de diciembre tuve el placer de ser invitada a este estupendo evento organizado entre otras instituciones por Eurocloud. Fue una reunión inmensamente fructífera de la que se pudieron sacar muchas conclusiones interesantes que he mencionado en innumerables ocasiones a través de mis amigos de ITD Media (ITUser).

Como les comentaba a los amigos de Eurocloud, en esta mesa redonda se pudo dar pinceladas y soluciones posibles al problema de responsabilidad en la cadena de suministro (sobretodo para SMEs) , también, en materia de privacidad.

He aquí algunos  datos relevantes desde mi punto de vista  (y en materia de la casa) para acompañar a las interesantísimas aportaciones de los  ponentes.

  1. Solo el 52% de los clientes cloud consiguen negociar las clausulas del contrato (pensemos en SLAs o en PLAs) (Consultora Iron Mountain). Por tanto para las pequeñas y medianas empresas deberán buscar otros mecanismos para “homologar” a sus proveedores o a sus subproveedores cloud.
  2. La máquina legisladora es más lenta que la tecnología, por lo que se deben buscar herramientas como la autorregulación sectorial que tomen iniciativa y adelenten y faciliten el labor a los legisladores de los Estados Miembros Europeos.
  3. El 95% de los empresarios clientes de cloud creen que no son responsables de la seguridad de los datos cuando éstos están en cloud.
  4. No olvidemos la complejidad añadida de la cadena de suministro (providers -subproviders)
  5. El GRPD (nuevo reglamento europeo de protección de datos) viene con regalos bajo el brazo: accountability (rendición de cuentas), nueva figura de responsable (dpo), PDAs, sanciones, medidas como el cifrado, la tokenización, etc…Hay muchas”taras” que podrán ser cubiertas por la autorregulación sectorial.
  6. La nueva regulación no tiene en cuenta los tipos de cloud (privada, público…etc) tampoco según los servicios (IaaS, PaaS, SaaS).
  7. La prevención y la concienciación tal y como dijo la Agencia Española de Protección de datos, será primordial a partir de ahora.

Ahora sí, me gustaría dejaros  datos relevantes de este evento en materia de cloud computing ( y también extensible ,¿por qué no?) en data protection & cloud compliance :

  1. La certificación staraudit es la más completa a nivel cloud con  160 cláusulas que se deben cumplir. (Alejandro García, IMQ Ibérica). El acuerdo firmado entre Eurocloud y Staraudit les permite auditor y certificar a los proveedores de cloud con un esquema más adecuado que las certificaciones ISO 27.000, que están más orientadas a la seguridad y que se hace además sobre el producto. Aunque tendrán que las distintas leyes y regulaciones locales con respecto a la privacidad y seguridad (y añado, el nuevo GRPD o reglamento europeo), lo que implica que requieran en cada caso contar con abogados expertos de cada región. Además, veo desde mi punto de vista, la necesidad de trabajar desde comités de trabajo (CCO , DPOs, y responsables de seguridad).
    CrwBKicW8AAy6NN.png
  2. El objetivo no es poner claúsulas sino también códigos de conducta (sellos) (Jorge Salgueiro, Eurocloud). Ver http://www.diarioabierto.es/291570/jorge-salgueiro-la-autorregulacion-es-necesaria-hasta-que-los-mercados-maduren
  3. Juan Valiente (Coteco) compara la póliza de riesgos de cloud computing como en seguridad víal (semáforo en rojo con sin accidentados o atropellos: habrá cobertura). Una interesante cuestión que se planteó fue  ¿y si se incluyera una póliza de seguros en la certificación? Por el momento, no se ha dado.
  4. Rafael Poyo (Abogado) destaca la importancia del análisis de riesgo (algo que como siempre he dicho no parece darse mucha importancia). También recordó al hilo del punto anterior que en vía jurídica no se puede indemnizar aquello que no se “cuantifica” en dinero. Por ejemplo, una depresiónpsicólogica por las consecuencias de un data breach. Se debe evidenciar pérdida económica cuantificable. Las clausulas en la contratación serán muy importantes.

Como conclusión, podemos decir que la fórmula secreta la podemos encontrar en :

Prevención (análisis de riesgos) +  SLAs/PLAs + Certificación/ Códigos de conducta + Pólizas de seguro cloud (hablaremos más adelante de ellas).

Es el momento de trabajar juntos!

Mi agradecimiento a Paco, Nacho, Jorge y Manuel (Eurocloud) y todos los ponentes y asistentes con los que compartimos unas jornadas estupendas.

Licencia Creative Commons
Esta obra está bajo una Licencia Creative Commons Atribución 4.0 Internacional.

 

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s