Cloud computing: ¿qué consideraciones debemos tener?

Por: David Chong, Director de Privacidad de la Sociedad de Derecho y Empresas Digitales.

Cada vez el uso de tecnologías de la información se hace más frecuente en todos los ámbitos de nuestras vidas. En buena cuenta, la coyuntura sanitaria que estamos viviendo en los últimos años nos ha obligado a familiarizarnos en la utilización de nuevas herramientas tecnológicas que facilitan la forma en cómo trabajamos, estudiamos, interactuamos y procesamos información.

Foto por Josh Sorenson / Pexels

Por otro lado, específicamente en el aspecto laboral, apreciamos que las empresas han iniciado o, en algunos casos, han acelerado sus procesos de transformación digital y cultural. Ello, en vista de la necesidad de mantenerse conectados con todos sus stakeholders, pero principalmente con sus clientes.

Siendo ello así, una de las tecnologías que más se escucha en los procesos de transformación digital empresarial es el Cloud Computing o Computación en la Nube. Definido en términos sencillos el Cloud Computing es el conjunto de herramientas tecnológicas (servidores, infraestructura, aplicaciones, etc) que, a través del internet, son puestos a disposición de las empresas que contratan esta tecnología.

Dentro de los usos más comunes del Cloud Computing podemos encontrar el correo electrónico, plataformas de procesamiento de información (SAP, Salesforce, Oracle, One Drive, etc), páginas web, aplicaciones, entre otros similares.

Ahora bien, según el Instituto Nacional de Estándares y Tecnología¹ del Departamento de Comercio de los Estados Unidos de América los servicios de Cloud Computing se clasifican en cuatro categorías:

Si bien esta herramienta tecnológica es de mucha utilidad para las empresas al momento de buscar eficiencias en el procesamiento de datos, se deben tener en cuenta los aspectos legales que conlleva la carga de información en la nube. Para ello, resulta de suma importancia establecer el marco normativo aplicable, así como las obligaciones del proveedor para el cumplimiento de las medidas de seguridad que garanticen las disponibilidad, integridad y confidencialidad de la información.

Foto by ThisIsEngineering / Pexels

En el Perú, los dispositivos legales que regulan de forma general el procesamiento de información de carácter personal es la Ley de Protección de Datos Personales — Ley N°29733 y su reglamento aprobado mediante Decreto Supremo N°003–2013-JUS. Estas normas establecen las medidas de seguridad técnicas, organizativas y legales que deben implementar las empresas que sean titular de un banco de datos. Sin embargo, dependiendo del sector de la empresa se pueden encontrar otros dispositivos normativos que se deben tomar en cuenta. Por ejemplo, las entidades financieras se encuentran obligadas de cumplir con el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad aprobado mediante la Resolución SBS N°504–2021 que exige, en el caso de servicios en la nube, que los proveedores cuenten con las certificaciones ISO/IEC 27001, ISO/IEC 27017 e ISO/IEC 27018 vinculadas a la seguridad de la información.

Sin perjuicio de las normas especiales, a continuación, precisamos las acciones que deben ejecutar las empresas que contratan un proveedor de Cloud Computing:

Los servicios de Cloud Computing son cada vez el must de toda empresa, puesto que les otorga flexibilidad y disponibilidad al momento para implementar sus iniciativas tecnológicas y, finalmente, seguridad debido a que pueden trasladar la responsabilidad en la implementación de las exigencias normativas de seguridad de la información.

No obstante, no se debe olvidar que los datos son el nuevo petróleo de las empresas y por consiguiente su activo más valioso. Por ello, es recomendable realizar auditorías constantes para verificar el cumplimiento de las medidas de seguridad de los proveedores de Cloud Computing. Ello, con la finalidad de evitar esperar a que suceda una filtración de información masiva que perjudique drásticamente a la empresa. Hay casos muy sonados como el de Cambridge Analytica, que tuvieron un gran impacto generando un daño reputacional irreversible.

¹ Revisar: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf
² Según el numeral 10 del artículo 2° de la Ley de Protección de Datos Personales, se define al flujo transfronterizo como la: “Transferencia internacional de datos personales a un destinatario situado en un país distinto al país de origen de los datos personales, sin importar el soporte en que estos se encuentren, los medios por los cuales se efectuó la transferencia ni el tratamiento que reciban.”

--

--

Sociedad de Derecho y Empresas Digitales

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store