¿Quién puede acceder a los datos que tienes guardados en la nube?

Cuando almacenamos datos en DropBox o accedemos al servidor de nuestra empresa desde un acceso remoto, muchas veces se nos viene una pregunta a la cabeza ¿quién puede ver estos datos?. Alguien tiene que custodiarlos pero ¿existe alguna administración pública que disponga de su acceso? Todas estas preguntas se repiten cada vez más debido al escándalo Prism. ¿Pueden gestionarse todas estas cuestiones con nuestro proveedor cloud?

Cuando se contrata un servicio cloud ambas partes asumen responsabilidades compartidas que se especifican en el contrato. Lo más importante es que en este contrato se especifique que el proveedor tiene la obligación de proporcionar al cliente acceso a sus propios datos y que el proveedor no deberá compartir éstos con terceros. ¿Obvio? puede, pero hay ciertos matices que conviene aclarar:

Acceso interno

Con el objetivo de proporcionar un mejor servicio, algunos proveedores cloud necesitan tener acceso a los datos del cliente. En este caso, el usuario deberá asegurarse de que este acceso es el mínimo indispensable y se deberá especificar:

• Que vendedores tienen acceso a estos datos
• Si el acceso consiste en un «privilegio mínimo» o en la «necesidad de conocer»
• Si estos privilegios se producen de manera adecuada y se rescinden cuando los empleados del proveedor dejan formar parte de la empresa o pasan a ocupar un cargo diferente
• La manera en la que se concede este acceso
• Si este acceso está controlado o analizado.

Acceso externo involuntario

Nuestro proveedor no solo debe almacenar y procesar la información, deberá controlar que no se produzca ningún acceso externo inadecuado proporcionando las medidas de seguridad adecuadas. Es decir, proteger nuestra información de piratas, hackers o cualquier otra amenaza externa. ¿También puede parecer obvio no? pues leamos los términos de servicio de Dropbox:

Este tipo de disposiciones no son raras en los este tipo de servicios cloud, lo lógico es que el proveedor tomara un poco de responsabilidad en el asunto, pero no suele ser así, ellos se conforman con dar el servicio y proveer la tecnología.

Acceso externo involuntario

Este aspecto tiene que ver con la obligación del proveedor de responder a las solicitudes gubernamentales u otro tipo. Volviendo a analizar los términos de Dropbox en sus términos se especifica que:

Estos son los puntos más importantes a tener en cuenta cuando se contrata un servicio cloud ya sea nivel personal o profesional. De hecho, estos puntos pueden ser negociados con los proveedores cloud en casos concretos y sobre todo con aquellos proveedores que cuenten con una política flexible.