Los marcos regulatorios, ¿son una oportunidad o un freno para el crecimiento del Cloud?
Los cambios normativos y los nuevos marcos regulatorios, sobre todo en el terreno de los datos sensibles, suponen un reto importante para las empresas. Estar al día en cuanto a normativa es complicado, pero más lo es asegurarse de que los sistemas, aplicaciones y procesos de una compañía cumplen dichas normativas sin dejar ni un solo resquicio, ni margen para el error.
El ejemplo más cercano y, a la vez, importante, es el Reglamento General de Protección de Datos (RGPD), cuyo cumplimiento es exigible desde mayo de 2018. Bajo esta normativa, se otorga a los ciudadanos un mayor ámbito de protección sobre sus datos personales y se requiere que las empresas protejan los datos personales de sus clientes y empleados en todas las etapas de su ciclo de vida. Como ya hemos visto en otras ocasiones, esto puede suponer un gran reto para las empresas por los diferentes pasos que hay que tener en cuenta para asegurar la compliance.
Por otra parte, a pesar de que disponemos de la información y de guías para cumplir con los requisitos del RGPD en el Cloud, se puede decir que el desconocimiento de la normativa sigue siendo una de las principales barreras de entrada para la adopción del Cloud en las empresas. Ese desconocimiento es el que propicia que algunas empresas no den el paso a la Nube por pensar que no serán capaces de cumplir los requisitos, que pueden incurrir inadvertidamente en un incumplimiento que derive en una sanción, o por cualquier otro motivo relacionado.
Desde este punto de vista podríamos decir que los cambios normativos y de regulación pueden ser, efectivamente, un freno para el crecimiento del Cloud. Sin embargo, dichos cambios pueden ser una oportunidad para las empresas y organizaciones que sepan sacarle partido.
«Compliance as a Service» para superar las barreras de la normativa
Tal y como comentábamos cuando mencionamos XaaS como la evolución lógica de los Servicios en la Nube, poco a poco descubriremos nuevos servicios que evolucionan desde servicios equivalentes, pero en el «mundo físico».
Es la idea del «Compliance as a Service», que podría verse como el equivalente a un consultor especializado en el tema de la normativa, pero enfocado como un servicio en el Cloud. Sería la solución ideal para empresas de sectores con requisitos estrictos en cuanto a privacidad y protección de datos, como pueden ser entidades financieras, Fintech y similares.
La posibilidad de automatizar el proceso de comprobación del cumplimiento de las obligaciones de seguridad y legales a través de la Nube son grandes noticias. Incluso, la tecnología en la Nube ofrece la opción de impulsar la automatización de pruebas de cumplimiento y seguridad en el proceso de desarrollo de software, con el potencial de poder evitar violaciones de políticas de seguridad y normativa antes de que este software llegue a producción.
¿Por qué no se pueden almacenar los datos personales en la Nube, sin más?
Esta es una pregunta recurrente cuando pensamos en almacenar datos en compañías o Centros de Datos fuera de la Unión Europea (y es una gran razón para recomendar tener los datos en servidores nacionales). ¿Por qué, si es una solución segura, no podemos almacenar datos personales en la Nube fuera de la Unión Europea?
La respuesta es sencilla y compleja a la vez. En principio, solo deberíamos almacenar datos personales en empresas fuera de la Unión Europea cuando se cumplan las garantías y medidas de seguridad establecidas en el RGPD, de forma que dichos datos estén bien protegidos. ¿Qué significa esto? Que los datos tengan una protección especial, como el cifrado. Pero, incluso así, esto es algo que no está del todo claro (y, por supuesto, este argumento no tiene validez legal, ni es una recomendación explícita).
Según la Comisión Europea, la protección de datos no es lo suficientemente segura o fuerte en la mayoría de los países fuera de la UE. Por ejemplo, los Estados Unidos son problemáticos
Una posible solución, aunque depende de muchos factores y de la adopción de otras medidas recogidas en el RGPD, es utilizar una técnica de cifrado lo suficientemente potente. Esto lo recoge el RGPD al afirmar que el cifrado es una de las medidas posibles para garantizar un «nivel de seguridad adecuado al riesgo».
Los marcos regulatorios son una guía para garantizar la seguridad de los datos
Más que barrera u oportunidad, un marco regulatorio existe para garantizar no solo la seguridad de los sistemas y los datos, sino para dar pautas de desarrollo e implementación. Para las empresas, estos marcos son más una oportunidad para expandir sus negocios al extranjero con total garantía.
Como Product Owner de Virtual Desktop, su especialización en soluciones de escritorio virtual realmente está marcando la diferencia. No es solo un experto en AWS y SAFe, sino que también es un colaborador incansable con equipos internacionales.