La nube (cloud computing) es el futuro del almacenamiento de datos, que digo el futuro, es el presente, pero su uso genera recelos, especialmente en torno a la ciberseguridad, la privacidad y la dependencia de proveedores externos, en un contexto de crecientes amenazas cibernéticas.
Ventajas y desventajas de la nube
La nube ofrece al usuario numerosas ventajas, por ejemplo: reduce costes al eliminar la necesidad de infraestructuras físicas propias como locales y equipos informáticos potentes para el tratamiento de datos; permite el acceso a la información en cualquier momento y lugar mediante dispositivos conectados; y garantiza una alta eficacia y escalabilidad cuando se eligen proveedores especializados como AWS, Azure o Google Cloud.
No todo son ventajas, también hay inconvenientes: la disponibilidad de los datos depende de una conexión estable a Internet; existen riesgos de sobrecargas en los servidores del proveedor que pueden causar interrupciones; y se genera una dependencia del servicio externo que limita la autonomía, pero el mayor inconveniente radica en la seguridad y privacidad, especialmente si el proveedor no ofrece garantías robustas contra brechas o fugas de datos.
Riesgos derivados de la falta de transparencia
Los principales riesgos de la nube surgen de la falta de transparencia: los usuarios, a menudo, desconocen las medidas de seguridad implementadas, ignoran la presencia de múltiples encargados del tratamiento y subcontratistas, así como de la ubicación de los servidores en los que se almacenan sus datos. La ubicación de estas infraestructuras es clave para definir la normativa aplicable en materia de seguridad de la información. Si los servidores están en la Unión Europea, estarán sujetos a la Directiva NIS 2, el Reglamento DORA, y otras normativas específicas de ciberseguridad, además de la legislación de protección de datos personales (RGPD y regulaciones sectoriales correspondientes).
A la hora de seleccionar un proveedor de servicios en la nube, es esencial verificar la localización de los servidores; confirmar que se garantice la eliminación efectiva, completa y certificada de la información al finalizar el contrato, incluyendo datos residuales en backups; validar la existencia de planes de recuperación y restauración de datos con backups automatizados y pruebas periódicas; y evaluar la capacidad de respuesta rápida del proveedor ante incidentes de seguridad, mediante SLAs (acuerdos de nivel de servicio) que incluyan tiempos de notificación y resolución.
Protección de datos personales
En materia de protección de datos personales, el proveedor del servicio en la nube tiene la condición de encargado del tratamiento, pues actúa para la organización del usuario, quien ostenta el rol de responsable del tratamiento, o sea, quien decide sobre los fines, el contenido y el uso de los datos.
Como responsable del tratamiento, el usuario de la nube tiene la obligación legal de diligencia debida para asegurar que el encargado reúna las garantías necesarias para cumplir con la normativa de protección de datos, incluyendo evaluaciones de impacto y auditorías periódicas. El desafío surge cuando el encargado es una gran multinacional que impone condiciones contractuales asimétricas, limitando la transparencia o negándose a proporcionar detalles sobre subprocesadores. En tales casos es crucial revisan las políticas de seguridad antes de contratar un servicio en la nube.
Nube privada
Una alternativa a las nubes públicas es una nube privada. La ventaja es que el servidor se integra en una red interna cerrada, como una red corporativa, a la que solo pueden acceder los usuarios autorizados. Esto otorga al responsable del tratamiento un control absoluto sobre la información, minimizando riesgos externos y facilitando el cumplimiento normativo, aunque requiere mayor inversión inicial en hardware y mantenimiento.
Si dispone de un ordenador en desuso, puede transformarlo en una nube privada, ya sea con sistemas operativos Linux o utilizando máquinas virtuales. Incluso se pueden instalar programas específicos (FreeNAS, XigmaNAS, OpenMediaVault o XPenology) que permiten convertir el equipo en un servidor NAS y dentro montar la propia nube. Esta es una buena opción para autónomos y pequeñas empresas, si bien tiene un inconveniente: la custodia del dispositivo.
Existe una tercera vía: el almacenamiento híbrido, que aúna las modalidades de pública y privada. Esta opción es interesante para empresas que necesitan una memoria interna para datos sensibles y una capacidad accesible públicamente y que pueda escalarse con facilidad.
Un último consejo: si optan por una nube pública (como Dropbox, Google Cloud, Microsoft OneDrive, entre otras) no olviden cifrar los datos localmente antes de subirlos, especialmente si la información es sensible o confidencial. Utilice estándares como AES-256 con herramientas como VeraCrypt o las funciones integradas de los proveedores, y active autenticación multifactor (MFA) para reforzar la seguridad.
