Cláusulas críticas en el contrato de cloud computing

El objetivo de ahorrar costes ha provocado un incremento del nivel de externalización de las empresas. La externalización de procesos y aplicaciones ha comportado también el desplazamiento de datos, información y servicios críticos al exterior de la empresa, convirtiendo a algunos proveedores en una extensión de los recursos corporativos.

Un claro exponente de este proceso en la actualidad es el cloud computing, por lo que el contrato que lo regula deberá tener en cuenta todas las cautelas que una empresa incluiría en sus procesos de control interno.

A continuación se enumeran algunas de ellas:

- Propiedad intelectual.

- Propiedad de la información.

- Confidencialidad de la información.

- Ubicación de los datos.

- Posibles transferencias internacionales de datos.

- Medidas de seguridad proporcionales al tipo de datos.

- Control de acceso y gestión de identidades.

- Copias de seguridad de los datos.

- Estándares e indicadores de calidad del servicio.

- Auditorías periódicas.

- Niveles de respuesta.

- Continuidad del servicio.

- Régimen de responsabilidades.

- Inclusión del proveedor en el plan de continuidad del negocio.

- Arbitraje tecnológico.

- Legislación y jurisdicción aplicables en el caso de proveedores extranjeros.

- Garantías postcontractuales: retorno ordenado de la información.

Evaluación de la seguridad física

Los distintos niveles de robustez y fiabilidad de los productos destinados a la seguridad física no son siempre fáciles de determinar. En unos casos existen normas y procedimientos de homologación que permiten conocer el nivel de resistencia de un cristal, una cerradura, una puerta o una cámara inífuga a las distintas amenazas a las que se halla expuesta. En otros casos hay que atender a las especificaciones técnicas del material (dureza del acero, temperatura de fusión, etc.) o a los niveles de resistencia establecidos unilateralmente por el fabricante.

Por ejemplo, en el caso de cerraduras y candados, hay fabricantes que acuden a homologaciones y otros que establecen su propia escala de seguridad. En un caso concreto, analizado en una auditoría, el fabricante había establecido una escala del 1 al 15 y aseguraba que el producto ofrecía los siguientes niveles de resistencia:

- Nivel 13 de resistencia a la congelación y fractura mediante gas licuado.

- Nivel 14 de resistencia al corte mediante sierra convencional.

- Nivel 15 de resistencia al corte mediante cizalla o herramienta similar.

- Nivel 15 de resistencia a la acción de un taladro sobre el bombín.

- Nivel 15 de resistencia al uso de ganzúas o llaves falsas.

Algunos fabricantes acuden a la homologación A2p (APSAD) y a las normas VDMA, NFPA, etc.

En cualquier caso, hay que reconocer que, mientras en el análisis de la seguridad lógica el auditor puede realizar pruebas directamente sobre el sistema (análisis de la robustez de las contraseñas, comprobación de privilegios, pruebas de intrusión, etc.) en el análisis de la seguridad física el margen de maniobra es menor y hay que acudir a información facilitada por el fabricante. Ante la dificultad para realizar pruebas de resistencia sin destruir o dañar el material instalado, deberán tenerse en cuenta las homologaciones, normas técnicas, certificaciones y especificaciones facilitadas por el fabricante, así como el nivel de confianza que ofrece la marca.