Vente a la nube Pepe

Vente a la nube Pepe. Porque el multicloud es la decisión ganadora. 

He dudado el título de este artículo hasta el último minuto entre “vente a la nube Pepe” y “la nube no es para mí”. Ambos con referencia evidente a clásicos del cine patrio. 

En el primer título, amigos y familiares animaban al protagonista a emigrar a un lugar nuevo que ellos entendían más ventajoso y lleno de oportunidades; mientras que, en el otro, se muda del pueblo a la ciudad para conocer la vida de sus hijos que supone han progresado. Sin embargo, pronto comprendían que el cambio que habían iniciado implicaba mucho más de lo que había previsto (o le habían contado). 

Cada vez que veo el titular de un gran proyecto de transformación digital en que se migra la carga de trabajo de un cliente a un cloud en particular (normalmente a una de las tres grandes nubes públicas) no puedo dejar de pensar si estaremos ante una decisión bien razonada o si ha sido tomada desde un despacho y sin tener en cuenta todas las implicaciones de la decisión. 

De ninguna manera estoy en contra de la nube, lo que vengo a decir es que en definitiva la nube es un servicio y cuando se contrata un servicio lo que se ha de tener en cuenta es un análisis del coste/beneficio de contratar ese servicio frente a las alternativas. 

Siendo esto así ¿Son todas las nubes iguales? ¿Hay nubes públicas más allá de AWS, Azure, Gcloud? ¿Tiene sentido separar los servicios en diferentes nubes? 

Para los ansiosos: No, sí y sí. 

¿Son todas las nubes iguales? 

No, ni muchísimo menos. Cada nube tiene unas características y servicios diferenciados. Empezando por la ubicación física real de los datos, los servicios gestionados y no gestionados que ofertan, el coste de dichos servicios o incluso los parámetros que se usan para calcular esos costes. 

¿Hay nubes públicas más allá de AWS, Azure, Gcloud? 

La respuesta es: Por supuesto. A veces perdemos la perspectiva e identificamos “la Nube” con los grandes proveedores. Para la inmensa mayoría de la población los demás son desconocidos y no me refiero sólo a pequeños proveedores. Gigantes como IBM tienen nubes con servicios tan buenos como los anteriores y sin embargo necesitan hacer grandísimas inversiones en promoción para rascar una pequeña parte del mercado. Y tras los gigantes una miríada de proveedores de todos los tamaños y con servicios más o menos estandarizados (si, hasta las nubes también ha llegado el software libre) 

¿Tiene sentido separar los servicios en diferentes nubes? 

¿Y por qué no? Es decir, si no hay una razón técnica o económica que lo desaconseje ¿Por qué no aprovechar las razones técnicas o económicas que lo aconsejen? Creo que este punto se entiende mejor con un ejemplo. 

Supongamos que tenemos una infraestructura de base en la nube de Microsoft ya que sus servicios de correo y federación nos parecieron la mejor opción en su momento; pero ahora vamos a desarrollar una aplicación de información turística, que recibe las coordenadas de geolocalización desde una app móvil y devuelve un video explicativo del monumento frente al que se está situado. Y supongamos también que el desarrollador principal del proyecto es un experto en las funciones lambda de AWS. 

¿Qué nube seleccionamos para el backend de nuestra aplicación? 

Si nos aferramos a tener toda nuestra infraestructura en una sola nube usaremos Azure puesto que ahí tenemos la infraestructura previa. Otra opción sería migrar toda la infraestructura previa a AWS y así aprovechar el “know how” del programador; pero ¿Usa la app alguno de los servicios previos? No; entonces ¿Podemos desarrollar la app para AWS y mantener el correo en Azure? Si. Mmmmmm. Parece lógico ahorrase la migración. Ya tenemos 2 nubes. 

Tras la primera semana de uso de la aplicación nos damos cuenta de que la factura de AWS es mucho mayor de lo que esperábamos y que prácticamente la totalidad de la factura corresponde al tráfico de enviar los videos a los dispositivos. Descubrimos entonces que el tráfico de AWS es N veces más caro que en un proveedor como IONOS, pero IONOS no nos ofrece la funcionalidad de las funciones lambda que el desarrollador ha usado para la aplicación. ¿No sería genial tener lo mejor de ambos proveedores? ¿Y por qué no? De AWS tenemos la disponibilidad y el cómputo que transforma las coordenadas en un identificador de un video y desde IONOS servimos los videos. 3 nubes. 

Como se puede ver los titulares del tipo “la empresa X migra su carga de trabajo a la nube Y” que decía al principio, son tan generalistas que difícilmente tendrán en cuenta detalles técnicos de proyectos concretos y resultarán en ineficiencias técnicas o económicas. 

Derecho a la desconexión digital y teletrabajo

El teletrabajo en España, regulado en el artículo 13 del Estatuto de los Trabajadores, ha pasado de ser una opción por la que pocas empresas apostaban (un estudio realizado por InfoJobs en septiembre del 2019 señala que solo el 19% de la población activa afirma que en su empresa está permitido realizar teletrabajo, aunque en más de la mitad de los casos, sólo en ocasiones puntuales. A su vez, un estudio de Adecco publicado a principios de este año atribuye al teletrabajo un porcentaje del 7,9% del total de ocupados el cuarto trimestre de 2019) a ser una de las medidas estrellas adoptadas por un gran número empresas para poder continuar con su actividad pese a la situación actual que estamos viviendo por la crisis mundial producida por el efecto de la expansión del coronavirus.

Si bien el teletrabajo se presenta como una de las opciones que más facilitan la conciliación laboral y que permiten obtener más beneficios a las empresas, es muy importante controlar los tiempos de trabajo en esta modalidad, puesto que en caso contrario, podemos estar conectados todo el día, caer en la “trampa” de que el teletrabajo supone estar a plena disposición horaria por parte del trabajador. Esta “hiperconectividad” puede llegar a ocasionar problemas de estrés y ansiedad.

Por todo ello, directamente relacionado con el teletrabajo, es imprescindible apelar al derecho a la desconexión digital, un derecho que Francia o Bélgica incluye desde hace años en su legislación para regular su práctica, y ahora España se suma también. El derecho a la desconexión digital fuera de la jornada laboral viene contemplado en la Ley Orgánica de Protección de Datos y Derechos Digitales (LOPDGDD), de 5 de diciembre de 2018, y pretende garantizar el descanso del empleado.

Además, impone determinadas obligaciones a las empresas, como el deber de elaborar políticas internas que definan para toda su plantilla la manera en la que se va a llevar a cabo el derecho a la desconexión digital, así como establecer las acciones de formación y de sensibilización que permitan la conciliación entre la vida laboral y personal o familiar, y la protección de la salud del empleado. Es evidente que el teletrabajo, bien gestionado, supone grandes ventajas tanto para el trabajador como para las empresas y, por ende, para la sociedad.

Entre sus beneficios se encuentra la promoción de la autonomía del trabajador, ahorro en los tiempos de desplazamiento con aumento de la productividad relativa, reducción de costes empresariales ligados a mantenimiento de infraestructuras, suministros y servicios, así como proporcionar la integración de personas con discapacidad o atracción de talento. Por el contrario, y como ya adelantamos, es necesario establecer las rutinas y políticas que permitan la desconexión del trabajador y la mejor integración de la vida laboral y familiar, para evitar el desgaste del capital humano y el ‘síndrome del trabajador quemado’.

Pese a lo anterior, el Estado de Alarma ha sido una circunstancia excepcional, temporal, y su carácter finito abre una gran incógnita respecto a qué sucederá con este hábito de empleo a distancia una vez que finalice este escenario de confinamiento y post confinamiento en el que vivimos.

Una cosa está clara, el COVID-19 ha hecho más méritos por el teletrabajo en este país que todas las políticas y regulaciones concebidas hasta la fecha. Confiemos en que todo lo aprendido no caiga en el olvido una vez que superemos la pandemia.

Apuesta infinita y valiente por la innovación

El trabajo remoto es tendencia y realidad hoy en día. Rubén Fernánez, responsable del departamento de marketing & business transformation en Bloomvertech, reflexiona sobre esta nueva realidad en un artículo para Conecta Industria: Apuesta infinita y valiente por la innovación.

A continuación, el artículo completo:

El 2020 quedará marcado a fuego en nuestra memoria. El año del confinamiento, de la enfermedad, de la incertidumbre y también del tiempo en el que todos tomamos consciencia de que innovación y tecnología se daban la mano para facilitarnos la vida y fomentar la economía colaborativa. Aunque la preocupación por la crisis en que nos ha sumido la COVID-19 se extienda a todos los sectores, es una evidencia que la pandemia ha sido rotunda con la actividad empresarial: en las semanas más duras, sólo las empresas con cierto grado de digitalización pudieron continuar su actividad.

Nunca hubiéramos podido imaginar que el teletrabajo, una ficción para buena parte de los trabajadores en España, tomaría su protagonismo actual. Hoy, el trabajo en remoto es tendencia y realidad. Una solución que, si bien abre un nuevo espectro de posibilidades para empleados y empresas, también entraña nuevos riesgos que debemos encarar.

Habilitar Escritorios remotos virtuales, supone en primer lugar la necesidad de contar con una infraestructura de seguridad adaptada. Cuando aumentamos el perímetro de acción de nuestro negocio, crece parejo a él la inseguridad. Por ello, siempre remarcamos que es vital contar con una política interna de ciberseguridad que proteja no sólo la estructura informática, sino también nuestros Derechos digitales y los mayores activos con que contamos: la protección de los datos y la propiedad intelectual e industrial.

Se habla de que vivimos tiempos de transversalidad, y no podemos más que asentir porque hace tiempo que somos pioneros en estas lides y apostamos con decisión por la fusión jurídico-tecnológica en nuestra estrategia corporativa. Una apuesta por la Ciberseguridad y el Derecho tecnológico como ejes vertebradores de un entramado que hoy entremezcla asuntos de ética, privacidad, legislación y seguridad.

Debemos colaborar para evitar más cierres que dañen a nuestro tejido productivo

Hoy, las empresas invierten, se arriesgan, son valientes y luchan por sobrevivir. En el Derecho Mercantil contamos con instrumentos que facilitan la adaptación a la nueva situación post-COVID y salvaguardan la actividad empresarial, bien a través de reestructuraciones o mediante la negociación de los pre-concursos de acreedores. publicidad

Comenzábamos hablando de cómo estos meses nos han obligado a reflexionar acerca de nuestras vidas y nuestros negocios, y me gustaría despedirme con dos apuntes: el primero es que hemos de devolver a la Innovación y la Investigación el protagonismo que les corresponde en la estrategia corporativa y la segunda es que la innovación es infinita y siempre devuelve sus frutos cuando le damos la oportunidad.

 

Teletrabaja de forma segura con Bloomvertech

Teletrabajar de forma segura y eficiente es posible gracias a la herramienta VDI (Virtual Desktop Infrastructure) alojada en nuestro centro de datos y protegida con nuestro SOC.

En el blog de Bloomvertech ya habíamos hablado sobre la nueva realidad del teletrabajo: ¿Está la ciberseguridad empresarial preparada para el repentino trabajo a distancia?. Para trabajar de forma remota sin comprometer las infraestructuras y la información corporativa es necesario contar con las soluciones de seguridad más adecuadas, ¿quieres saber cuál es la mejor forma de teletrabajar?

 

Nuestro servicio VDI

La tecnología VDI consiste en hospedar el escritorio de nuestros clientes en una máquina virtual, la cual opera desde nuestros servidores seguros. Esto nos proporciona la posibilidad de proveer un servicio de teletrabajo con las siguientes características:

    • Monitorización de seguridad 24*7 desde nuestro SOC
    • Navegación segura
    • Comunicaciones unificadas
    • Ciclo de parcheo gestionado
    • Copias de seguridad de la información (backup)
    • Carpetas compartidas
    • Gestión centralizada de contraseñas
    • Antivirus gestionado
    • Búsqueda de vulnerabilidades
    • Posibilidad de housing\hosting de servidores corporativos en la misma red segura

Nuestros escritorios virtuales pueden ser de dos tipos: persistentes (personalizados para cada usuario, al igual que los equipos trabajo comunes que podemos encontrar en una oficina) o volátiles (en los que cada vez que el usuario finaliza la sesión se revierten a su estado inicial, conservando la información generada en la sesión).

Este último tipo de escritorios ofrecen un extra de seguridad ante ciertos tipos de ataques, como por ejemplo los tan conocidos ataques de ransomware, evitando la propagación del código malicioso gracias a su capacidad de volver a su estado original.

 

¿Por qué los escritorios virtuales son la mejor solución de teletrabajo?

Llegados al punto en el que el confinamiento nos ha obligado a teletrabajar, gran parte de los usuarios no son conscientes de que exponer sus escritorios directamente a internet supone un punto de entrada ideal para los atacantes. Desde el punto de vista tanto de la seguridad de la información como de la ciberseguridad, esta es la peor de las soluciones. El Instituto Nacional de Ciberseguridad (INCIBE) ya alertaba hace un año de este peligro: ¿Es seguro tu escritorio remoto?

Una de las soluciones de teletrabajo mayormente adoptada en las corporaciones para paliar este peligro ha sido el empleo de VPNs (Virtual Private Networks), las cuales proporcionan un canal de comunicación seguro entre la red doméstica del trabajador y la red empresarial. No obstante, esta medida plantea dos inconvenientes:

    • Acercar una red desconocida y no controlada a la red empresarial
    • Generalmente, los dispositivos desde los que accede el teletrabajador no cumplen las políticas de seguridad que se han definido por la empresa: actualizaciones periódicas, uso de antivirus…

Finalmente, esto nos lleva a la solución óptima, los VDI. Una herramienta que, como hemos comentado antes, nos permite hospedar los escritorios de los usuarios en un entorno seguro y aislarnos de las posibles vulnerabilidades del equipo domestico final.  

Esta solución no solo es la mejor desde el punto de vista de la ciberseguridad, si no que cuenta con muchas otras ventajas, como, por ejemplo:

    • Capacidad de cómputo superior a la de un ordenador de sobremesa común: esto es debido a que toda la carga de procesamiento recae en nuestros servidores y no en los ordenadores personales de cada trabajador.
    • Ahorro en costes: derivado del punto anterior ya que se reduce la inversión en hardware.
    • Movilidad: permite acceder al entorno de trabajo desde cualquier dispositivo, generalmente haciendo uso de un navegador web.
    • Escalabilidad: un factor muy importante cuando hablamos del mundo de TI. Es posible crear y eliminar escritorios virtuales con mucha facilidad.

 

(Tele)trabaja con VDI

Ofrecer el servicio de escritorios virtuales nace en Bloomvertech durante el confinamiento con el propósito de brindar una forma segura de trabajar desde casa a nuestros usuarios.

No obstante, ahora que sabemos en qué consisten los VDI, es importante mencionar que el empleo de estos puede extrapolarse a cualquier ámbito de trabajo. Los usuarios pueden disfrutar de las ventajas de los escritorios virtuales conectándose desde su casa, su oficina o cualquier parte.

CONTROLAR LA CIBER-PANDEMIA ES POSIBLE

Hemos confeccionado un decálogo de medidas de protección básica para cualquier organización, y/o usuario individual durante estos momentos de aislamiento. Jonathan González, Asesor of Councel de BloomverTech y Castroalonso LET describe dichas medidas a continuación.

Confinados en casa por motivos sanitarios, la tecnología ha demostrado, una vez más, que es una herramienta imprescindible para trabajar, para estudiar, para socializar y para, simplemente, poder tener un rato de ocio, en soledad o en familia. Sin embargo, la adopción plena de hábitos tecnológicos no es una tarea sencilla. No lo es ni tan siquiera para los tecnólogos. Como cualquier otra destreza, se precisa cierta práctica, un hábito. Disfrutar y trabajar, pero hacerlo de una forma segura, no es sencillo, pero tampoco es algo imposible. Solo hay que tener unas pocas ideas claras.

Las preguntas que más se escuchan en estos momentos son ¿podremos seguir teletrabajando de ahora en adelante?, ¿hemos realizado la transformación digital, aunque sea de forma obligada?, realmente ¿estamos trabajando seguros?, ¿nos exponemos a una ciber-pandemia?

Ahora mismo más del 50% de la población mundial se encuentra conectada a Internet, la mayor parte de ella con más de un dispositivo a la vez. Internet es capaz de soportar esto y más. Internet es una red comercial (de ordenadores) herencia de un diseño militar (MILNET, una red de control de arsenales nucleares diseñada por la DARPA, la Agencia de Proyectos de Investigación Avanzados de Defensa de EEUU) la cual fue trazada para la resiliencia, es decir, para tener capacidad de operación descentralizada, pero no para ser una red segura. Se entendía, que al ser una red militar cerrada, no era preciso incluir los requisitos de seguridad como necesarios. Esto se daba por entendido. Sin embargo, al liberarse el diseño de esta red, y convertirse en lo que hoy en día es Internet, hemos heredado un planteamiento inacabado. Inseguro. Esta es la razón primigenia, aunque no única, de los problemas a los que nos enfrentamos hoy en día.

Volviendo al presente, debido a que la situación actual nos ha obligado a irnos a todos a casa y a colocarnos en la casilla de salida frente a una recesión de nuestras economías cual “cisne negro”. Ahora sí que todos estamos más concienciados con la seguridad tecnológica. Y esto es porque, de verdad en estos momentos, dependemos de la tecnología. Estoy seguro que muchas organizaciones comenzarán a prestar una necesaria atención a sus sistemas tecnológicos y a su seguridad, como nunca antes habían hecho. Nadie se acuerda de Santa Barbara hasta que truena, dice el refranero popular. Y es que, incluso en coyunturas complejas como las actuales tendemos a seguir subestimando la gravedad de las situaciones a las que nos enfrentamos. Esto está patente en nuestros hábitos.

Los que trabajamos en el sector de la ciberseguridad decimos que la ausencia o presencia de un incidente es resultado de dos variables, interés y oportunidad. Interés en obtener algo, generalmente dinero y datos, que llevan también a la obtención por medios ilícitos de dinero, y oportunidad, que principalmente implica esperar el momento de un fallo en la seguridad, en la protección de redes y sistemas informáticos, y también un errores humano. Es de ley también reconocer que cuando se dice que un fallo de seguridad ha sido explotado por norma no es “un fallo” dicho textualmente, sino el sumun de una lista mayor de situaciones en las que todo se ha frustrado en cadena. Una vicisitud, que por sí sola, muy raramente ocasiona una debacle.

Seamos sinceros, la tecnología es vulnerable. Esto incluye hardware y software. Al ritmo de avance actual inusitado las tecnologías emergentes no son necesariamente más seguras. Si marcamos un rango de tiempo aceptable de evaluación, digamos desde 2017 hasta el presente, casi el 60% de los sistemas mundiales han sido atacados con diferentes niveles de éxito. Más recientemente, la computación cloud y el 5G se han llevado la mala fama pero, allá por 2017 (y también antes), la computación on-premise, es decir en el data center tradicional, no lo hacía mucho mejor. No hay una cura milagrosa que arregle todos los problemas de seguridad. De hecho, la seguridad completa no existe. La única defensa real es el entrenamiento ante desastres, la coordinación y la supervisión constante.

Entendiendo que la situación actual quizás supere a más de uno, desde Bloomver·Tech & CastroAlonso LET hemos confeccionado un decálogo de medidas que permita a cualquier organización, y/o usuario individual, conseguir un nivel de protección básica efectiva durante estos momentos de aislamiento:

    1.  En relación con la gestión de usuarios, credenciales y accesos, se recomienda el uso de credenciales diferentes por cada servicio que se está usando. No solo ahora, sino siempre, uno de los principales vectores de riesgo es la identidad digital. Cuando estamos en la oficina es posible que contemos con medidas de protección impuestas por la organización como el Single Sign On. Ahora en casa, en potencial ausencia de herramientas de gestión de identidades corporativas, es preciso replicar el comportamiento más básico para evitar la suplantación y/o robo de identidades. Recordar múltiples pares de credenciales es complicado, por lo que usar un gestor de contraseñas es casi imprescindible. Algunos de estos gestores de contraseñas son gratuitos. Ejemplos son KeePass, Bitwarden, Lastpass, 1Password, solo por mencionar algunos de ellos.
    2. A una gestión de usuarios, credenciales y accesos eficiente debemos sumar el uso de autenticación dual-factor o multi-factor (2FA y MFA, respectivamente). La autenticación de doble factor o multifactor combina dos o más credenciales independientes: lo que sabe el usuario (contraseña), lo que tiene el usuario (token) y lo que es el usuario (biometría). El objetivo de 2FA y MFA es crear una defensa por capas y conseguir que sea más difícil la obtención de accesos sin permiso. Si uno de los factores se ve comprometido, el potencial atacante todavía tendrá que enfrentarse al menos a otro desafío.
    3. Respecto a los ordenadores y dispositivos que usamos a diario, sean de trabajo o personales, mantenlos actualizados. Si usas un software antivirus, EDR (Endpoint Detection and Response) o DLP (Data Loss Prevention), asegúrate que estén actualizados a la última versión.
    4. Al respecto de nuestras actividades personales o profesionales desde casa, y en relación con el uso de redes sociales, siempre se ha de tener cuidado pero, en esta etapa tan crítica, es especialmente recomendable no compartir información, ni personal ni profesional, de forma innecesaria con terceros. Nunca se puede saber con total certeza quién está al otro lado de Internet, o de una llamada telefónica, y teniendo en cuenta que no nos podemos desplazar fuera del hogar, debemos tener presente que nuestras infraestructuras de trabajo hoy, más que nunca, pueden estar desprotegidas y susceptibles de ser atacadas físicamente. Sin darnos cuesta, podemos estar sujetos a campañas de suplantación de identidad que serían dificilmente detectables. Por esta razón, no abras archivos de trabajo en dispositivos personales que no estén asegurados y viceversa. Si bien es cierto que tenemos muchos equipos conectados en casa, debemos de respetar el uso personal/profesional de cada uno.
    5.  Verifica las fuentes. Se dice alegremente, pero sabemos que es muy difícil de conseguir sin ayuda. Cuando recibes una información, especialmente si es vía correo electrónico, pero sobre todo si no sabes si el contenido es 100% real, y si no conoces fehacientemente la fuente. Si te envían algún tipo de archivo como adjunto o con la forma de una dirección de descarga para que te lo bajes de Internet, desconfía. Lo más seguro es que sea un timo o una amenaza real. La regla de protección más básica es bien sencilla: si no conoces la fuente, y si no esperas nada, sea la fuente aparentemente conocida o no, no debemos abrir los adjuntos. No hagas clic sobre enlaces en los correos y no abras archivos sin estar 100% seguro de que el origen es quién dice ser y el contenido es inofensivo. Los cibercriminales utilizan temas de la actualidad, como el coronavirus, para atrapar incautos. Para verificar una fuente presta atención a las siguientes variables: fecha de la publicación o mensaje, fuente conocida o reputable, disponibilidad de terceros que puedan corroborar la información que has recibido, verificación de que te piden hacer algo con celeridad. Si algo te dice que la situación no está clara, muy posiblemente estés delante de un phising o un malware.
    6. Para conectarte con el trabajo usa conexiones seguras. Una conexión segura es una forma de VPN (Virtual Private Network, red privada virtual) o SDP (Software Defined Perimeter, perimetro definido por software). Si no la tienes olvídate por el momento de usar herramientas como Team Viewer, Any Desk o Remote Desktop, entre otros. Eso también aplica a otros tipos de conexiones y servicios de redes profesionales como WinBox, SSH, FTP, NFS, SMB, listeners de base de datos, etc… Si no puedes poner en servicio un canal realmente seguro es preferible que no te conectes a tu organización.
    7. Si eres el responsable de las comunicaciones y/o la seguridad de tu organización, incluso de las tuyas propias, y tienes el conocimiento, implementa unas reglas de control por origen en el firewall (cortafuegos) que permita excluir todos aquellos orígenes de conexiones con los cuales no tenemos contacto regularmente y/o son de alto riesgo. Implementa un sistema similar en el MDM (Mobile Device Management, Sistema de Gestión de Móviles) para supervisar todas las aplicaciones móviles. Y, aunque parezca absurdo, muchos firewalls, u otros dispositivos similares cuentan con un usuario y contraseña de fábrica que a veces quedan en el sistema por defecto. Asegúrate de borrarlos pues estos pares de credenciales serán los primeros en ser atacados desde fuera de la organización.
    8. En todo momento, asegúrate de saber quién está conectado, cuándo y de dónde. Implementa un control horario de conexiones a recursos corporativos. Incluso con credenciales válidas, un uso fuera de horario puede ser indicador de que un sistema puede estar siendo comprometido. Verifica constantemente los logs de los diferentes sistemas para supervisar los intentos de conexión fallidos y las conexiones realizas con éxito. Así podrás identificar conexiones sospechosas y eliminar a tiempo una posible amenaza.
    9.  Si hasta ahora no te habías planteado la posibilidad de consumir y distribuir tus recursos en cloud, estás ante una buena oportunidad para repensar el tema. Los proveedores de servicios de cloud, tanto en nube pública, privada como en nube híbrida, ofrecen flexibilidad absoluta técnicamente hablando, permiten una reducción de costes considerables, respecto a una inversión completa en datacenter tradicional, e inteligentemente implementado, permite que tu perimetro de seguridad se haga mayor, distribuyendo tus cargas de trabajo de forma híbrida entre tus propios recursos y los de la nube del proveedor, ganando en resiliencia.

La seguridad de la información es una tarea compleja para la cual, en muchas ocasiones, es mejor contar con un apoyo exterior. En Bloomver·Tech & CastroAlonso LET hemos puesto en funcionamiento una plataforma de servicios de seguridad especialmente orientados a cubrir situaciones complejas como la que se estamos viviendo en la actualidad. Nuestro principal objetivo es la gestión de la seguridad de nuestros clientes, aunque durante esta crisis sanitaria hemos generado soluciones modelo basadas en tecnologías cloud que pueden satisfacer las necesidades de muchas organizaciones en tiempo reducido para mejorar su seguridad. Todos nuestros servicios se estructuran conforme a la seguridad de los datos. No en vano nuestra matriz proviene del mundo legal. Generamos y consumimos inteligencia de amenazas para proteger a las organizaciones. Si te interesa, puedes conocernos mejor visitando nuestra web, en https://www.bloomver.com o nuestro perfil en LinkedIn.

Conclusión:

                Trabajar, sobrevivir en estos tiempos grises, y disfrutar, seguros, y mediante la tecnología, es posible.

ENS: Esquema Nacional de Seguridad.

El grado de concienciación que los ciudadanos tienen sobre sus derechos en materia de protección de datos ha aumentado significativamente. Andrea Matador Aguilera, abogada de nuevas tecnologías y seguridad de la información en CASTROALONSO LET, nos habla en el número 955 de la revista jurídica AJA sobre el Esquema Nacional de Seguridad. A continuación, el artículo completo.

La nueva legislación relativa a la protección de datos ha supuesto un enorme reto de adaptación en todos los ámbitos. En el de lo privado, nuestros despachos y empresas, y también en el de lo público, Administración y organismos locales, regionales o estatales han hecho esfuerzos para poner en marcha su maquinaria de seguridad. ¿Cuál es el balance un año después de la Unión Europea y del Comité Europeo de Protección de Datos? A pesar de muchas dificultades aseguran que es positivo.

Por un lado, el grado de conciencia que los ciudadanos tienen sobre sus derechos en materia de protección de datos ha aumentado significativamente. Por su parte, la Agencia Española de Protección de Datos (AEPD) durante este primer año de vigencia del RGPD, recibió alrededor de 14.000 reclamaciones (casi un 33% más), de las cuales más de 2.000 fueron canalizadas y resueltas satisfactoriamente, mientras que las notificaciones relativas a brechas de seguridad recibidas por dicha Agencia superan las 900.

En el ámbito de las Administraciones Públicas, con la entrada en vigor RGPD y la posterior aprobación de la LOPDGDD, ha sido necesario que también éstas se actualicen y pongan en marcha todas las medidas previstas en este nuevo marco legal, como entes encargados del tratamiento de datos de todos los ciudadanos (padrón municipal de habitantes, administración de sanciones, multas y tributos, tratamiento de datos sensibles para el acceso a subvenciones o ayudas sociales, etc). Durante los 15 meses de vigencia del RGPD, aproximadamente un 10% de las reclamaciones que los ciudadanos han realizado a la AEPD han sido por trámites con la Administración Pública.

Al igual que ha ocurrido en el ámbito del sector privado, la transformación digital del sector público tiene que ir acompañada de medidas organizativas y técnicas de seguridad que protejan la información manejada, los servicios prestados, las relaciones con los ciudadanos y por supuesto, entre ellas mismas. Para dar respuesta a todo ello, el art 156 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, recoge el Esquema Nacional de Seguridad (ENS) regulado por el Real Decreto 3/2010, de 8 de enero, que tiene por objeto «establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada».

¿En qué consiste el ENS?

Y llegado a este punto, ¿qué es y en que consiste a grandes rasgos el
ENS? Pues bien, es la herramienta encargada de definir la política de seguridad que las Administraciones Públicas han de cumplir en materia de seguridad, en la utilización de medios electrónicos. El Real Decreto al que hemos hecho referencia anteriormente, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, contiene los principios básicos y requisitos mínimos que permiten establecer una política de seguridad en la utilización de medios electrónicos por parte de la Administración para la protección adecuada de la información. Su finalidad, tal y como señala la propia norma, es la creación de las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita a los ciudadanos y a lo Público, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.

En este sentido, las Administraciones Públicas tienen, además, la
obligación de elaborar y publicar un registro de actividades de tratamiento, informar al ciudadano sobre el ejercicio de sus derechos, así como designar un Delegado de Protección de Datos que cuente con la debida cualificación, y proporcionarle los recursos necesarios para el efectivo ejercicio de sus funciones.

Medidas divididas en tres marcos.

Estas medidas de seguridad se encuentran identificadas en el Anexo II del Esquema Nacional de Seguridad y se dividen en tres marcos: uno organizativo, constituido por un conjunto de medidas relacionas con la organización global de la seguridad; otro marco operacional, constituido por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin; y por último, medidas de protección, que se centran en los activos concretos, según su naturaleza con el nivel requerido en cada dimensión de seguridad.

En definitiva, en nuestro país y gracias a un esfuerzo colectivo, disponemos de profesionales y empresas cualificadas, herramientas completas, adecuadas y eficientes para que empresas privadas y Administraciones Públicas continúen desarrollando e implantando modelos que cumplan con la normativa con el objetivo último de beneficiar y defender los intereses de clientes y ciudadanos.

El BIGData en INE: Se acabaron las encuestas

Numerosos ciudadanos han contactado con sus operadoras de telefonía para oponerse a la cesión de datos que éstas harán a favor del estudio del INE. ¿Por qué surge esta polémica? ¿Qué usos pueden hacerse de estos datos anonimizados? Lorena Pérez Martínez, responsable del área jurídica en CASTROALONSO LET, escribe escribe en profundidad sobre este tema para la revista jurídica AJA. A continuación, el artículo completo.

Mucho se ha hablado estos días sobre la privacidad y la cesión de los datos de localización de terminales móviles que las tres grandes operadoras de telefonía del ámbito nacional (Movistar, Vodafone y Orange) harán a favor del INE y que afectará a usuarios de toda España. Esta cesión de datos para uso estadístico permitirá al INE conocer dónde viven, trabajan y cómo se mueven los ciudadanos durante ocho días, con el fin de incorporar su resultado al estudio sobre movilidad que ofrece tradicionalmente en los Censos de Población y Viviendas.

En su comunicado institucional el INE informa de que los operadores no facilitarán datos individuales sobre números de teléfono, ni sobre los titulares de las líneas, no pudiendo rastrear la posición de ningún terminal de manera individualizada. También se ha hecho hincapié en la anonimización de estos datos, recalcando que el estudio, sometido a la Ley de la Función Estadística Pública, cumple con todos los requerimientos de la Ley de Protección de Datos.

Y es que efectivamente la anonimización de los datos excluye la aplicación sobre los mismos de la regulación en protección de datos personales. El propio Reglamento General De Protección de Datos (UE) 2016/679, en su considerando 26, excluye de su objeto de regulación los datos anonimizados, inclusive con fines estadísticos o de investigación.

La polémica está servida.

No obstante, la polémica está servida, hasta el punto de que numerosos ciudadanos han contactado con sus operadoras por diversos medios para transmitirles su malestar y oponerse a participar en el estudio. Y no es para
menos si tenemos en cuenta que, respecto de una población de algo más de 46 millones de personas y según el número de líneas móviles de cada operador a diciembre de 2018, las tres principales operadoras de telefonía acaparan aproximadamente el 80 % de la cuota de mercado en España. Esto nos da una idea del volumen de datos a los que el estudio hace referencia.

Tomando como referencia el número masivo de datos que van a ser tratados, respecto de la población total, la cuestión aquí no es la privacidad
de los datos personales individualmente considerados, sino el BIG DATA que se genera, es decir, la recopilación y el tratamiento de cantidades ingentes de datos, que afecta a elevado número de la población, así como la búsqueda de tendencias dentro de estos datos.

El análisis predictivo de grandes cantidades de datos, junto con técnicas analíticas, estadísticas y de aprendizaje automático, permiten la creación de un modelo predictivo para prever eventos futuros o calcular una probabilidad. Por tanto, lo que importa del Big Data no reside en el tratamiento de los datos individualizados, sino en la detección de los patrones que surgen al cruzar un gran volumen de datos, que son tratados sistemáticamente, y lo que las organizaciones, públicas o privadas, puedan hacer con ellos.

Posible uso con fines comerciales.

Esta información puede utilizarse con fines estadísticos que permitan la mejora de los servicios públicos y las infraestructuras, claro que sí, pero una vez obtenidos también podrían ser usados con fines comerciales, económicos, publicitarios e incluso de orden público, porque los datos de localización de terminales móviles tomados durante los días que dure el estudio del INE, dejando de lado el tema de la movilidad ciudadana, también permitirán conocer cuántos terminales se encuentran activos en el área de un determinado centro o zona comercial, cuántos han pasado por delante de una marquesina publicitaria, o cuántos se encuentran en el área de influencia de una manifestación o de incidentes como los ocurridos en Cataluña durante las últimas semanas.

El análisis predictivo de los datos que genera la actividad de los ciudadanos, junto con la creación de patrones y detección de tendencias, así como el uso de los resultados obtenidos en la toma de decisiones por parte de empresas y Administraciones Públicas, es uno de los temas más necesitados de reflexión en la actualidad y precisamente, debido al riesgo que entraña su uso, justifica que los ciudadanos nos tomemos un momento para reflexionar sobre el alcance y la proporcionalidad de la injerencia de los poderes públicos en los derechos y libertades, ya sean individuales o colectivas, de una sociedad democrática, incluso en los casos en los que los fines perseguidos son legítimos.