La Seguridad Jurídica de los Servicios Cloud

Tamaño: px

Comenzar la demostración a partir de la página:

Download "La Seguridad Jurídica de los Servicios Cloud"

Luis Gallego Aguilera
hace 8 años
Vistas:

1 La Seguridad Jurídica de los Servicios Cloud de/para las Administraciones Públicas T11 Privacidad en la nube Dr. Carlos Galán Presidente Agencia de Tecnología Legal Profesor de la Universidad Carlos III de Madrid

2 Índice 0. Semblanza del ponente 1. Modelos de Cloud Computing 2. Consideraciones previas 3. Dimensiones jurídicas básicas 4. Mapa de relaciones en Servicios Cloud 5. Cautelas en la elección del proveedor 6. Marco jurídico habilitante. 7. Conclusiones. 2

Mapa de relaciones en Servicios Cloud 5.

3 0 Semblanza del ponente Carlos Galán es Doctor en Informática, Abogado especialista en Derecho de las Tecnologías de la Información, Certified Information Security Manager (CISM) por ISACA y Consultor/Formador Homologado de la EOI. Autor de una decena de libros relacionados con las Tecnologías de la Información, su Derecho y sus aplicaciones, ha escrito asimismo una multiplicidad de artículos y comentarios en prensa y publicaciones especializadas. Ha desarrollado parte de su carrera profesional en el Grupo Telefónica, ocupando diversos cargos y desarrollando importantes proyectos nacionales e internacionales. Ha sido Vocal Asesor y Director de la Oficina de Modernización del Ministerio del Interior, donde, entre otras actividades, diseñó y dirigió el Plan de Modernización de las Fuerzas y Cuerpos de Seguridad del Estado y presidió la Comisión de Informática y Comunicaciones de la Seguridad de los Juegos Olímpicos de Barcelona 92. Ha sido profesor de la Facultad de Informática de la Universidad Politécnica de Madrid, de la Escuela Técnica Superior de Ingenieros Industriales de la UNED, de la licenciatura de Administración y Dirección de Empresas de la Universidad Complutense de Madrid y del Instituto de Postgrado de la Universidad Pontificia de Comillas. Ha sido Director General de la Agencia de Certificación Electrónica ACE (primer Prestador de Servicios de Certificación de España), Vicepresidente de la Asociación Española de Entidades de Confianza Digital AECODI, Director General de Desarrollo y Tecnología de la Fundación General de la Universidad de Málaga y Presidente del Comité de Nuevas Tecnologías de Hispajuris, la mayor red de despachos de abogados de España. En la actualidad, en su calidad de especialista en Administración Electrónica, Seguridad y Firma Electrónica, es Profesor de Derecho de las TIC en el Grado de Derecho de la Facultad de Ciencias Sociales y Jurídicas, en el Máster de Derecho de las Telecomunicaciones y Tecnologías de la Información y en el Máster Universitario de Ingeniería Informática de la Universidad Carlos III de Madrid, siendo profesor igualmente de Calidad, Seguridad y Protección de la Información, de la Ingeniería de Informática de la Universidad Pontificia de Salamanca, actividades que compagina con la escritura de monografías y artículos y el dictado de conferencias y cursos donde es ponente habitual en las materias relativas al Derecho de las Tecnologías de la Información y las Comunicaciones, la Firma Electrónica, Certificación Digital y Seguridad IT. Carlos Galán es consultor independiente, Presidente de la Agencia de Tecnología Legal, Vicepresidente de la Comisión de Licitación y Contratación Electrónica de ANEI y colaborador del CCN. 3

Autor de una decena de libros relacionados con las Tecnologías de la Información, su Derecho y sus aplicaciones, ha escrito asimismo una multiplicidad de artículos y comentarios en prensa y

4 1 Modelos de Cloud Computing Marco de la Arquitectura de Cloud Computing 4

5 1 Modelos de Cloud Computing Modelos de Servicio Se utilizan las aplicaciones del proveedor, que se ejecutan en una infraestructura de nube. Se despliegan en la infraestructura de nube aplicaciones del consumidor/cliente (adquiridas o creadas). Servicios de procesamiento, almacenamiento, redes y otros recursos computacionales de forma que el consumidor pueda desplegar y ejecutar cualquier software, que puede incluir sistemas operativos y aplicaciones. 5

Se despliegan en la infraestructura de nube aplicaciones del consumidor/cliente (adquiridas o creadas).

6 1 Modelos de Cloud Computing Modelos de Despliegue La infraestructura de nube se pone a disposición del público en general o de un gran grupo industrial y es propiedad de una organización que vende los servicios en la nube. La infraestructura de nube se gestiona únicamente para una organización. Puede gestionarla la organización o un tercero y puede existir tanto en las instalaciones como fuera de ellas. La infraestructura de nube la comparten diversas organizaciones y soporta una comunidad específica que tiene preocupaciones similares (p.ej., misión, requisitos de seguridad, políticas y consideraciones sobre 6 cumplimiento normativo). Puede ser gestionada por las organizaciones o un tercero y puede existir en las instalaciones y fuera de ellas. 6

Puede gestionarla la organización o un tercero y puede existir tanto en las instalaciones como fuera de ellas.

7 1 Modelos de Cloud Computing El momento del Servicio Permanente Temporal El Servicio se presta con intención de que sea permanente en el tiempo (ej. gestión RR.HH.) La vinculación con el Prestador es mayor. Suelen ser servicios generalistas. (Mayor tiempo de respuesta). El Servicio se presta sólo para determinadas acciones concretas. (ej. licitación electrónica / digitalización) La vinculación con el Prestador es menor. Suelen ser servicios especializados. (Menor tiempo de respuesta). 7

(Mayor tiempo de respuesta). El Servicio se presta sólo para determinadas acciones concretas. (ej.

8 2 Consideraciones previas Antes de irse a la nube hay que pensar en Aspectos tecnológicos. Aspectos económicos y de financiación. Impacto en los servicios y en nuestra institución. Aspectos relativos al nuevo modelo de gestión. Aspectos jurídicos. 8

9 3 Dimensiones jurídicas básicas Funciones y servicios con consecuencias legales Normas jurídicas aplicables Operativa Regulatoria Contractual Relación cliente-proveedor (ANS + evidencias) 9

10 4 Mapa de relaciones en Servicios Cloud Proveedor Control de Gestión Servicios Consumidor 10

11 4 Mapa de relaciones en Servicios Cloud Proveedor Convenio (ANS) Control de Gestión Servicios Consumidor 11

12 4 Mapa de relaciones en Servicios Cloud Proveedor -Externo -AA.PP. Convenio (ANS) Control de Gestión Servicios Consumidor -AA.PP. 12

13 4 Mapa de relaciones en Servicios Cloud Convenio 2 (ANS) Control de Gestión Proveedor N2 Servicios -Externo -AA.PP. Proveedor N1 -Externo -AA.PP. Convenio 1 (ANS) Delegación Servicios Consumidor -AA.PP. 13

14 5 Cautelas en la elección del Proveedor 1. Observancia de la normativa legal aplicable. - Procedimiento Administrativo: - Genérica. - Específica, sobre la materia concreta. - Administración Electrónica. - Genérica. - Específica: Por razón de competencias. Por razón de especialidad. 2. Observancia de garantías adicionales: - Servicio adecuado a los fines perseguidos? - Cubre todas las etapas del proc. admtvo.? - Garantiza la seguridad? Proporciona evidencias? - Garantiza la interoperabilidad? - Atención al cliente?, Reputación Prestador?, Experiencia?, Certificaciones?, Futuro?... LAECSP RDLAECSP ENS ENI LOPD RDLOPD LSSICE PUBLICA PLIEGOS OFERTAS EVALUA ADJUDICA PEDIDO FACTURA PAGO 14

Observancia de garantías adicionales: - Servicio adecuado a los fines perseguidos? - Cubre todas las etapas del proc. admtvo.? - Garantiza la seguridad?

15 5 Cautelas en la elección del Proveedor Para muestra, la LOPD El Proveedor del Servicio Cloud como Encargado del Tratamiento. Ojo a las transferencias internacionales de datos. Garantía de los derechos ARCO. Cesiones ( consentidas o no-consentidas?) Implantación de las medidas de seguridad. Auditorías. Análisis de riesgos. Subcontrataciones. Ubicaciones. Certificación del Sw. Conservación, destrucción y bloqueo de datos. Etc. 15

Cesiones ( consentidas o no-consentidas?) Implantación de las medidas de seguridad. Auditorías.

16 6 Marco jurídico habilitante Ley 11/2007 Acceso Electrónico de los Ciudadanos a los Servicios Públicos Ley 30/1992 LRJAPPAC RD 1671/2009 Rgto. Desarrollo LAECSP Ley 6/1997 LOFAGE RD 3/2010 ENS RD 4/2010 ENI + NTs Ley 7/1985 LrBRL Planes Directores (Acuerdo Consejo Gobierno) RD 2568/1986 RDLrBRL Ordenanzas Reguladoras del Uso de los Medios Electrónicos 16

Desarrollo LAECSP Ley 6/1997 LOFAGE RD 3/2010 ENS RD 4/2010 ENI + NTs Ley 7/1985 LrBRL

17 6 Marco jurídico habilitante 1. Exigencias de Interoperabilidad: Infraestructuras y Servicios Comunes (ENI, 12 ENS, 28) Nodos de Interoperabilidad (ENI, 13-15) Interoperabilidad de documentos y formatos (ENI, 22-23) Control de la interoperabilidad (ENI, 25-28) Normas Técnicas de Interoperabilidad (D.A. 1ª) 2. Exigencias de Seguridad: Principios básicos de seguridad (ENS, 4) Requisitos mínimos de seguridad (ENS, 11 y ss.) Auditorías. 17

Interoperabilidad (ENI, 13-15) Interoperabilidad de documentos y formatos (ENI, 22-23) Control de la

18 6 Marco jurídico habilitante Ámbito de aplicación LAECSP/ENS/ENI Sedes electrónicas. Registros electrónicos. Sist. Inf. accesibles electrónicamente por los ciudadanos. Sist. Inf. para el ejercicio de derechos. Sist. Inf. para el cumplimiento de deberes. Sist. Inf. para recabar información y estado del procedimiento administrativo. Sist. Inf. desarrollo del proc. admtvo. Cualquiera que sea la forma de prestación del servicio 18

Sist. Inf. para recabar información y estado del procedimiento administrativo. Sist. Inf. desarrollo del proc.

19 7 Conclusiones - Puede (y debe) usarse el modelo de Servicios Cloud en el ambiente de la Administración Electrónica. - A los proveedores de servicios en la nube les es exigible todo lo que es exigible a las AA.PP. - Por tanto, conviene que los Proveedores de Servicios: - Posean las acreditaciones precisas/convenientes. - Superen las Auditorías pertinentes (en Interoperabilidad y en Seguridad, especialmente). - Hay que formalizar adecuadamente los Contratos/Convenios de prestación de los Servicios Cloud (ANS internos/externos). - La formación/concienciación de los responsables de las AA.PP. es fundamental para implantar y gestionar adecuadamente Servicios Cloud (prestados desde/para las AA.PP.) 19

- Por tanto, conviene que los Proveedores de Servicios: - Posean las acreditaciones precisas/convenientes.

20 Muchas gracias 20

Documentos relacionados

Administración electrónica y Cloud Computing: Cautelas y exigencias técnico-jurídicas

SEGURIDAD Y SERVICIOS CLOUD EN LAS AA.PP. LA EXPERIENCIA DEL AYUNTAMIENTO DE POZUELO DE ALARCON Seguridad Legal & Tecnológica Administración electrónica y Cloud Computing: Cautelas y exigencias técnico-jurídicas