Residencia de datosPerspectivas de la Política de AWS

Julio de 2018

[ Perspectivas de la Política ]

Perspectivas de la Política

© 2018, Amazon Web Services, Inc. o sus empresas afiliadas. Todos los derechos reservados.

AvisosEste documento se suministra únicamente con fines informativos. Representa la

oferta actual de productos y prácticas de AWS a partir de la fecha de publicación

de este documento. Dichas prácticas y productos pueden modificarse sin

previo aviso. Los clientes son responsables de realizar sus propias evaluaciones

independientes de la información contenida en este documento y de cualquier uso

de los productos o servicios de AWS, cada uno de los cuales se ofrece “tal cual”,

sin garantía de ningún tipo, ya sea explícita o implícita. Este documento no genera

ninguna garantía, declaración, compromiso contractual, condición ni certeza

por parte de AWS, sus filiales, proveedores o licenciantes. Las responsabilidades

y obligaciones de AWS con respecto a sus clientes se controlan mediante los

acuerdos de AWS y este documento no forma parte ni modifica ningún acuerdo

entre AWS y sus clientes.

Perspectivas de la Política

ÍndiceIntroducción.................................................................................................................1

Motivos por los que la residencia de los datos no ofrece mayor seguridad .............2

Motivos por los que la nube no afecta al riesgo de acceso obligatorio ....................4

Limitando el acceso obligatorio............................................................................................................. 5

Por qué el riesgo de acceso no autorizado es inferior en la nube .............................7

Reducción del riesgo de acceso no autorizado................................................................................ 7

Nube de hiperescala: enfoque transformacional de la seguridad ............................9

Responsabilidad del CSP: seguridad nativa en la nube ..............................................................11

Responsabilidad del cliente: enfoque de arquitectura segura ................................................11

Roles para la protección de datos.......................................................................................................12

Alineación de política de seguridad, transformación digital y crecimiento económico ..........................................................................................14

Desafíos de los sectores público y comercial con la residencia de los datos ...................14

Consideraciones al establecer políticas de residencia de datos ..............................17

Perspectivas de la Política

1

IntroducciónEn el complejo entorno informático de hoy las organizaciones del sector público siguen teniendo una preocupación legítima

por la seguridad de sus datos. Por este motivo algunos gobiernos han llegado a la conclusión de que exigir la residencia

de los datos, es decir, el requisito de que todo contenido de los clientes procesado y almacenado en un sistema de TI

permanezca dentro de las fronteras del país específico, brinda una capa adicional de seguridad. La residencia de los datos

es una combinación de problemas asociados principalmente a riesgos de seguridad percibidos (y en algunos casos reales)

relacionados con el acceso de terceros a los datos, incluidas las autoridades competentes extranjeras. Los clientes del

sector público desean tener la certeza de que sus datos están protegidos frente al acceso no deseado de no solo atacantes

maliciosos, sino también de otros gobiernos.

Una posición en la que se pida rigurosamente la residencia de los datos a veces restringe el uso de proveedores de servicios

en la nube (CSP, por sus siglas en inglés) multinacionales a gran escala, denominados a menudo CSP de hiperescala. La

preocupación general en torno a la ciberseguridad, así como la posible extralimitación de la vigilancia gubernamental por

parte de algunos países han contribuido a que el debate se centre continuamente en mantener los datos en el país. No

obstante, esta restricción es contraproducente para el objetivo de proteger de manera efectiva los datos del sector público.

Tal y como se detalla a continuación, un CSP de hiperescala, que puede estar ubicado fuera del país, ofrece a la totalidad de

la base de clientes la posibilidad de alcanzar altos niveles de protección de datos con la protección de su propia plataforma

y con herramientas llave en mano para sus clientes. Estos proveedores ofrecen estos niveles de protección, al mismo que

tiempo que mantienen la soberanía reglamentaria de nación-estado.

Los servicios en la nube de hiperescala representan una disrupción tecnológica transformacional debido al alto grado de

eficiencia, agilidad e innovación en el suministro de servicios de seguridad de clase mundial para dar soporte a sus clientes.

Los CSP de hiperescala diseñan, operan y mantienen ofrecimientos que permiten a clientes de diferentes sectores (comercial,

público, regulado) abordar algunos de los riesgos de seguridad y vulnerabilidades predominantes. Los clientes confían en

los ofrecimientos de los CSP de hiperescala para que apliquen prácticas de seguridad que sean dinámicas y respondan ante

amenazas en tiempo real, mejorando así drásticamente la seguridad de cada cliente. Por su parte, los CSP tienen los incentivos

adecuados para mantener una ciberseguridad de clase mundial dado que se enfrentarían a consecuencias sustanciales a

largo plazo, tales como las repercusiones asociadas a un sistema en peligro, la pérdida de confianza de los clientes y el daño

a la marca. En otras palabras, la seguridad de primer nivel es requerida para el éxito de un CSP. La seguridad tiene que estar

totalmente integrada en el diseño, el desarrollo y las operaciones de servicios en la nube de hiperescala.

En este artículo se abordará lo siguiente:

• Los riesgos reales y percibidos en seguridad expresados por los gobiernos cuando exigen la residencia de los datos

en el país.

• Las repercusiones en el sector comercial y público, así como el impacto económico de las políticas de residencia de

datos en el país, con foco en los datos gubernamentales.

• Consideraciones para que los gobiernos evalúen antes de exigir el cumplimiento y limitar en forma no

intencionada los objetivos de transformación digital del sector público, incrementando el riesgo de ciberseguridad.

Perspectivas de la Política

2

Motivos por los que la residencia de los datos no ofrece mayor seguridad La propiedad y la ubicación geográfica de los datos se ha convertido en un tema importante para las iniciativas de

ciberseguridad y políticas relacionadas con la nube en todo el mundo. Desde un punto de vista histórico, el comando y el

control de los datos confidenciales de las compañías suponía alojar la información localmente en las instalaciones o en

instalaciones propiedad del contratista accesibles físicamente dentro de un país. Tener propiedad total de la “plataforma

tecnológica”, desde el suelo y las paredes del edificio hasta el software de los servidores, hacía que la gente tuviera la

confianza de que sus datos estaban todo lo seguros que podían estar. Este razonamiento sigue estando vigente en muchos

gobiernos.

A medida que la tecnología ha ido evolucionado, tres realidades fundamentales han irrumpido en el modelo del “control de

la plataforma tecnológica completa” tradicional.

1. La mayoría de las amenazas se explotan

remotamente. La ubicación física de los datos tiene

poco o ningún impacto en las amenazas propagadas

a través de Internet. Los sistemas conectados a

Internet exponen a una organización a una amplia

variedad de amenazas, todas las cuales se propagan

desde cualquier ubicación. Por ejemplo, el reciente

código malicioso o ransomware Petya afectó a los servicios de salud, debilitando sus operaciones y la capacidad para

cuidar a los pacientes. Esto se ha producido como consecuencia del malware que ha afectado a la propagación de los

centros de datos locales a través de Internet. A pesar de los enormes esfuerzos realizados para proteger los sistemas

interconectados utilizando firewalls y otros dispositivos anti-intrusión, la experiencia ha demostrado que la seguridad

del perímetro es una parte muy pequeña de un sistema protegido. Sea cual sea la ubicación física, si los sistemas de

TI están conectados de alguna manera a Internet (u otras redes con varios participantes), aunque sea indirectamente,

dichos sistemas corren un riesgo considerable y son susceptibles de sufrir ataques de un amplio espectro de amenazas

de acceso lógico.

2. Los procesos manuales presentan riesgos de errores humanos. Los procesos humanos tienen un rol

preponderante (sino que en su totalidad), en las fallas de la ciberseguridad. Un ejemplo habitual es no aplicar parches

en sistemas vulnerables con actualizaciones de software publicadas durante muchos meses antes de que se produzca

la vulnerabilidad de seguridad. El proceso manual de actualización de sistemas aplicando los parches más recientes es

difícil y no es factible hacerlo periódicamente sin automatización.

3. Las amenazas provenientes del interior siguen siendo un riesgo significativo. La gran mayoría de las

situaciones en las que se han puesto en peligro los datos se han producido como consecuencia de errores no

intencionados o a que ha habido un comportamiento malicioso intencionado por parte de personas con cuentas

autorizadas con derecho a accesar los datos. En los últimos años, los ataques de seguridad con más alto impacto

se atribuyeron principalmente a malas prácticas de higiene cibernética. Entre las amenazas a cuentas autorizadas

más frecuentes se encuentran los siguientes escenarios:

Sea cual sea la ubicación física, si los sistemas de TI están conectados de alguna manera a Internet (u otras redes con varios participantes), incluso indirectamente, dichos sistemas corren un peligro considerable.

Perspectivas de la Política

3

• Inadvertida: las credenciales se pierden o se administran incorrectamente, de manera que un atacante puede

actuar dentro de un sistema como un usuario válido.

• Ingeniería social: ataques de phishing y ataques de ingeniería social que engañan a los usuarios o

administradores para que divulguen credenciales a los atacantes.

• Maliciosa: clásica amenaza proveniente del interior –agentes dentro de la organización con malas intenciones

y objetivos ilegales.

La ubicación física de los datos no influye en ninguna de las realidades enumeradas anteriormente.

En las circunstancias actuales, la administración de riesgo es una tarea aún más complicada teniendo en cuenta la

tecnología móvil y las relaciones entre entidades externas e internas. Todos los sistemas que están conectados a Internet

son, directa o indirectamente, un vector de ataque potencial, sea cual sea la ubicación física de la infraestructura o el

sistema. A medida que la tecnología progresa y que cambian las vulnerabilidades y los vectores que amenazan a los

clientes, los gobiernos tienen que reevaluar la forma de modelar sus estrategias y la tolerancia de riesgos. En la vida real se

han producido ya casos que demuestran que almacenar los datos en los servidores propios, los centros de datos propios y

el propio país no constituye en modo alguno una forma apropiada de proteger los datos.

Por ejemplo, se produjo un grave ataque de seguridad en una agencia gubernamental estadounidense que afectó a más de 20

millones de empleados federales en un entorno local debido a que se habían comprometido las credenciales de usuario. Dichas

credenciales se filtraron y se usaron en Internet desde varios puntos pasando por alto, de esta manera, todas las protecciones del

entorno local. Este error de seguridad del organismo gubernamental estadounidense es un buen ejemplo del tipo de amenaza

que existe en Internet sin limitantes geográficas.

El problema se aplica no solo en los sistemas en contacto directo con Internet. Los sistemas que no cuentan con una conexión

directa a Internet pueden permitir que los usuarios obtengan acceso a Internet mediante una conexión de red privada virtual

(VPN) desde portátiles, equipos domésticos o dispositivos móviles. Los ataques de seguridad no necesitan tener acceso físico

a un servidor, sino que explotan la carencia de controles de seguridad lógicos implementados de manera efectiva. Con esto

se demuestra que el requisito de residencia de datos es poco relevante protegiendo la información contra las amenazas más

predominantes hoy en día. Por lo tanto los requisitos de localización geográfica tienen poca importancia cuando se trata de

proteger la información contra las amenazas actuales. En cambio, los mejores mecanismos de protección, detección, respuesta y

recuperación consisten en usar la seguridad transformacional ofrecida por los CSP de hiperescala por medio de la modernización

y la automatización. Dichos CSP de hiperescala, como es el caso de AWS, invierten en las mejores prácticas de seguridad operativa

y técnica, ya que es un elemento fundamental para su operación y ofertas de valor. Los clientes se benefician cuando se

apalancan de la infraestructura y soluciones en la nube de los proveedores de servicios en la nube como AWS.

Tanto Gartner1 como IDC2, dos organizaciones líderes de investigación de TI, concluyeron que el nivel de seguridad de

los principales CSP es igual o mayor que el de los mejores centros de datos empresariales, y que la seguridad no debería

considerarse un inhibidor principal para la adopción de los servicios de nube pública. De hecho, las compañías se benefician

en realidad de la seguridad nativa en la nube.

1 http://www.gartner.com/smarterwithgartner/is-the-cloud-secure/

2 Pete Lindstrom, “Assessing the Risk: Yes, the Cloud Can Be More Secure Than Your On-Premises Environment,” International Data Corporation (julio de 2015).

Perspectivas de la Política

4

Motivos por los que la nube no afecta al riesgo de acceso obligatorioAlgunos gobiernos consideran que los requisitos de residencia de datos son una forma de reducir el riesgo de que otra

entidad obtenga acceso a sus datos. En esta sección se aborda el riesgo percibido que genera la capacidad de una entidad

para “exigir acceso” a los datos de otra entidad soberana cuando dichos datos están almacenados en un entorno de CSP

de hiperescala. El concepto de divulgación obligatoria o acceso obligatorio hace referencia al derecho de acceso de los

gobiernos o sus organismos a los datos utilizando métodos lícitos. Como resultado de este tipo de derecho de acceso

las compañías están sujetas a las leyes y reglamentos vigentes a escala nacional, regional y sectorial de cualquier país, y

pueden verse obligadas a conceder acceso a sus datos o a entregarlos en virtud de las mencionadas leyes y reglamentos. La

preocupación que se percibe es que la divulgación obligatoria puede llegar a dejar al propietario de los datos sin capacidad

para evitar que una entidad que invoque una ley vigente tenga acceso a sus datos. Sin embargo, el acceso lícito de un país

soberano a los datos no es un problema que se plantee específicamente en la nube.

Siendo el propietario de un sistema físico, ya sea de forma directa o indirecta (mediante un contrato de subcontratación), no

disminuye el riesgo de acceso obligatorio, ya que existen otros mecanismos jurídicos que dan a los gobiernos de una jurisdicción los

medios para solicitar acceso a datos almacenados en otra jurisdicción. Por ejemplo, los tratados de asistencia judicial recíproca (MLAT

por sus siglas en inglés)3 y las comisiones rogatorias4 existen para regir las solicitudes de datos de un país soberano desde mucho

antes de que surgiera la tecnología de la nube.

En comparación con un entorno local tradicional, cuando los organismos responsables de hacer cumplir la ley intentan

obligar a un CSP a divulgar los datos de un cliente, tienen que superar por lo general más obstáculos. Dichos organismos

no pueden buscar datos almacenados en los servidores de un CSP ni apropiarse de ellos sin respetar para ello los marcos

legislativos vigentes que a efectos de la aplicación de la ley abarcan un ámbito muy reducido. Además los CSP pueden

cuestionar las solicitudes que son demasiado amplias, excedan la autoridad del solicitante o no cumplan escrupulosamente

la legislación aplicable.

Más importante aún, los CSP como AWS tienen el firme compromiso de notificar a los clientes afectados debido a la

solicitud de datos, lo que permite a los clientes interactuar con las autoridades o adoptar medidas apropiadas adicionales

para impedir la divulgación indebida de sus datos. Es importante reconocer que este complejo desafío no afecta

exclusivamente al gobierno de los Estados Unidos ni a las empresas con sede en dicho país, ya que todas las empresas

multinacionales están sujetas a leyes y reglamentos aplicables a nivel nacional, regional y sectorial de cualquier país, sea

cual sea la ubicación de sus datos.

3 Los tratados de asistencia judicial recíproca (MLAT) por lo general permiten el intercambio de pruebas e información en asuntos penales y cuestiones conexas. https://www.state.gov/j/inl/rls/nrcrpt/2012/vol2/184110.htm

4 Las comisiones rogatorias son peticiones de los tribunales de un país a los de otro país en las que se solicita el desempeño de una actuación que, si se hace sin la sanción del tribunal extranjero, podría constituir una violación de la soberanía de ese país. Las comisiones rogatorias pueden usarse para la notificación de actos procesales o para obtener pruebas si lo permite la legislación del país extranjero. https://travel.state.gov/content/travel/en/legal/travel-legal-considerations/internl-judicial-asst/obtaining-evidence/Preparation-Letters-Rogatory.html

Perspectivas de la Política

5

Limitando el acceso obligatorioDesde el siglo XX muchos países disponen de mecanismos jurídicos para habilitar el acceso a información almacenada en el extranjero para responder a las solicitudes legales pertinentes de información relacionadas con investigaciones criminales y acciones judiciales. Por ejemplo una empresa que opere en el país X puede estar sujeta a una solicitud legal de información aunque el contenido esté almacenado en el país Y en virtud de marcos normativos bilaterales o multilaterales establecidos. En la mayoría de los casos, el mecanismo jurídico reconocido es un tratado de asistencia judicial recíproca (MLAT).

Además de los acuerdos de asistencia judicial bilaterales entre países, existen acuerdos de asistencia judicial regionales clave, como la Convención Interamericana sobre Asistencia Mutua en Materia Penal, el Acuerdo de Asistencia Judicial entre la Unión Europea y los Estados Unidos de América y el Tratado de Asistencia Mutua en Materia Penal de la ASEAN. En caso de no existir un tratado de asistencia judicial recíproca, los países pueden obtener una comisión rogatoria para solicitar ayuda a los gobiernos extranjeros. En todas las jurisdicciones, la ley indica los criterios que deben cumplirse para que los organismos pertinentes que velan por el cumplimiento de la ley puedan presentar una solicitud válida. Por ejemplo, si un organismo gubernamental desea obtener acceso a un contenido en concreto, tendrá que obtener una orden o mandamiento judicial en el que se indique que dicho organismo tiene un motivo válido para obtener acceso al contenido. Aunque estos instrumentos jurídicos son en sí mismos mecanismos legítimos, no se han elaborado para abordar el acceso a los datos de los organismos encargados del cumplimiento de la ley en un mundo digital.

En un esfuerzo por adaptar leyes asíncronas a la tecnología moderna, EE. UU. aprobó el pasado mes de marzo de 2018 la ley Clarifying Lawful Overseas Use of Data (Aclaración del uso legal de datos ubicados en el extranjero, CLOUD). La ley CLOUD proporciona un tercer mecanismo jurídico internacional para obtener datos en el extranjero mediante solicitudes realizadas directamente al proveedor de servicios.5 La ley CLOUD establece procedimientos para que los EE. UU. firmen acuerdos ejecutivos con otros países. El objetivo de dichos acuerdos es eliminar las restricciones jurídicas que gravan la capacidad de determinados países para solicitar datos directamente a proveedores estadounidenses, siempre y cuando los EE. UU. hayan establecido previamente que las leyes de los mencionados países extranjeros protegen correctamente la privacidad y las libertades fundamentales. En virtud de la ley CLOUD los CSP tienen derecho a negarse a revelar información si, al hacerlo, infringen leyes de otro país. Los acuerdos de asistencia judicial recíproca, las comisiones rogatorias y los acuerdos ejecutivos de la ley CLOUD son mecanismos jurídicos internacionales recíprocos que permiten el acceso de los organismos encargados de velar por el cumplimiento de la ley a datos almacenados en el extranjero.

5 La ley CLOUD se aplica a empresas estadounidenses y extranjeras que operan en los Estados Unidos y que proporcionan “servicios de comunicación electrónicos” o “servicios informáticos remotos”, como es el caso de los negocios que ofrecen al público servicios de correo o mensajería electrónicos o almacenamiento en la nube.

Las leyes que rigen el acceso de dichos organismos a los datos almacenados en el extranjero para ayudar a investigar delitos graves como el terrorismo fueron escritas sin tener en cuenta la tecnología moderna. A consecuencia de ello se han dado casos en que empresas tecnológicas, en cumplimiento de un mandamiento judicial emitido de acuerdo con las leyes de un país, corren el riesgo de incumplir las leyes de otro país que prohíben la divulgación de datos. La ley CLOUD brinda un nuevo marco que cubre las solicitudes de carácter delicado de los organismos encargados del cumplimiento de la ley cuando existen acuerdos ejecutivos en vigor entre los EE. UU. y otro país, y también confirma, de acuerdo con los principios de cortesía entre naciones, el derecho de los proveedores de servicios a negarse a divulgar datos si, al hacerlo, infringen las leyes de otro país, incluso en ausencia de un acuerdo ejecutivo. Por otra parte dicha ley también permite a los CSP divulgar datos a los gobiernos que presenten un mandamiento u orden judicial de solicitud de información basado en datos que demuestren que se ha cometido un delito grave y que la información que se solicita está relacionada directamente con el mencionado delito.

Perspectivas de la Política

6

Por lo general, las leyes de un país se aplican a todas las empresas que operan en dicho país, sea cual sea el país donde se

haya constituido la empresa o el lugar donde se almacene la información: en la nube, en un centro de datos in situ o en

registros físicos. A medida que los países avanzan

en los procesos de digitalización hacia una sociedad

moderna basada en la información, también

evolucionan los regímenes de acceso obligatorio

legal que dan apoyo a las investigaciones de delitos

graves que afectan a la seguridad nacional, como el

terrorismo. La promulgación de la ley CLOUD genera

un marco adicional cuyo objetivo es fortalecer

el proceso jurídico debido que deben seguir las

solicitudes de los organismos encargados del

cumplimiento de la ley en el contexto actual.

En realidad, dicho acceso obligatorio se produce en

muy raras ocasiones y solo cuando la necesidad de

información es extrema (por ejemplo, para impedir

situaciones relacionadas con el terrorismo). E incluso, para reducir aún más este bajo nivel de riesgo, las organizaciones

pueden aplicar medidas de diligencia debida creando sus propias protecciones con los servicios que tienen a su disposición

en la nube. En AWS reducir este riesgo usando, por ejemplo, el cifrado de datos en reposo y en tránsito, la descomposición

y la distribución de datos y las estrategias de tokenización se puede utilizar con solo una fracción de los recursos que se

necesitarían en una solución en sitio.

AWS presta mucha atención a la protección del contenido de nuestros clientes, sea cual sea el origen de una solicitud de

contenido o cualquiera que sea el cliente. AWS no divulgará contenido de los clientes a menos que sea necesario para

cumplir con una orden válida legalmente y vinculante, como una citación o una orden judicial. AWS examina detenidamente

cada solicitud para autenticar su precisión y verificar que cumple la legislación aplicable. AWS cuestionará las solicitudes

que sean demasiado amplias, excedan la autoridad del solicitante o no cumplan escrupulosamente con la legislación

aplicable. A menos que la ley lo prohíba, AWS también intenta reconducir la solicitud directamente al cliente, lo que le da

a este la oportunidad de emprender acciones contra la solicitud. Si desea más información, consulte nuestro informe de

transparencia más reciente y las Directrices para la aplicación de la ley de Amazon.6

6 http://d0.awsstatic.com/certifications/Amazon_LawEnforcement_Guidelines.pdf

Restringir los CSP a una única jurisdicción no sirve para aislar mejor los datos contra el acceso gubernamental

En un análisis jurídico independiente realizado entre los primeros países en adoptar la nube para la administración pública, se evaluaron las leyes específicas de cada país que regían el acceso de los organismos encargados del cumplimiento de la ley a los datos con base en la nube almacenados en el extranjero. Este estudio evaluó diez jurisdicciones internacionales: Australia, Canadá, Dinamarca, Francia, Alemania, Irlanda, Japón, España, Reino Unido y Estados Unidos, y determinó que restringir los CSP a una sola jurisdicción no aísla mejor los datos frente al acceso gubernamental.

Perspectivas de la Política

7

Por qué el riesgo de acceso no autorizado es inferior en la nubeAlgunos gobiernos consideran que los requisitos de residencia de datos son una forma de reducir el riesgo de que otra entidad

obtenga acceso a sus datos. En esta sección se aborda el aumento percibido del riesgo de acceso no autorizado cuando se

usa un CSP de hiperescala. El acceso no autorizado es la mayor amenaza empleada por los adversarios que intentan obtener

acceso a los datos del cliente utilizando diversos medios. Por acceso no autorizado se entiende el acceso de terceros, en el que

se incluye la posibilidad de amenazas provenientes del interior de la organización o de agentes negativos externos.

El requisito de residencia de datos no suele cubrir las vías habituales que siguen los atacantes para obtener acceso. La explotación

de estos vectores se produce casi siempre como consecuencia de un error en las disciplinas de ciberhigiene básicas como la

gestión del inventario del sistema, la gestión de la configuración, el cifrado de datos y la gestión del acceso privilegiado.

Reducción del riesgo de acceso no autorizadoEvitar los accesos no autorizados supone poner en práctica una higiene de seguridad adecuada e implementar funciones

de detección y prevención sólidas. Por ejemplo, los sistemas deben diseñarse para limitar el “radio de propagación” de

cualquier intrusión, de modo que un nodo comprometido tenga un impacto mínimo sobre cualquier otro nodo de la

compañía. Los CSP de hiperescala como AWS proporcionan un entorno de herramientas de seguridad completo para que

los clientes puedan mantener comunicaciones cifradas e implementar protecciones contra manipulaciones, reduciendo

de este modo el riesgo de acceso no autorizado. AWS no tiene visibilidad sobre el contenido de la cuenta de un cliente y

no sabe qué contiene ni si dicho contenido incluye información personal. Se empodera a los clientes de AWS en el uso de

diferentes técnicas como el cifrado,7 la tokenización, la descomposición de datos y el ciberengaño para que el contenido sea

incomprensible para AWS y cualquier tercero que quiera obtener acceso a su contenido..

• Cifrado: si los datos se cifran correctamente, pueden resultar ilegibles. Esto significa que los datos cifrados

almacenados en la nube, sea cual sea su ubicación, proporcionan una protección adecuada contra la gran mayoría de

amenazas de sustracción. Es vital que las claves de cifrado de los datos se administren con cuidado para garantizar

que se mantenga una buena protección frente a cualquier tercero que pueda interceptarlas. AWS presta servicios que

proporcionan estas capacidades a nivel empresarial con AWS CloudHSM o AWS Key Management Service (KMS).8

El grado de control que los clientes desean tener sobre el método de cifrado, el almacenamiento de las claves

criptográficas y la administración de las claves criptográficas usadas con sus datos será decisión del cliente.9

7 AWS permite a los clientes utilizar sus propios mecanismos de cifrado prácticamente para todos los servicios de AWS, entre otros, Amazon S3, Amazon EBS, Amazon DynamoDB y Amazon EC2. Los túneles IPSec con VPC también se cifran. Amazon S3 también ofrece a los clientes la opción de utilizar el cifrado en el servidor. Además los clientes también pueden utilizar tecnologías de cifrado de terceros.

8 El servicio AWS CloudHSM (Hardware Security Module) le permite proteger sus claves de cifrado dentro de dispositivos HSM diseñados y aprobados de acuerdo con los estándares gubernamentales (FIPS 140-2 de nivel 3) para la administración segura de claves que incluye una potente protección frente a la manipulación. AWS KMS, validado en FIPS 140-2 de nivel 2, proporciona un servicio similar, aunque es más escalable y está más integrado en una amplia gama de servicios de AWS de manera que las protecciones se proporcionan automáticamente con solo efectuar unos cambios sencillos en la configuración del servicio. Utilizando cualquiera de los servicios, puede crear, almacenar y administrar de manera segura las claves criptográficas utilizadas para el cifrado de datos de modo que solo usted pueda acceder a ellos. Para obtener más información, consulte https://aws.amazon.com/cloudhsm/ y https://aws.amazon.com/kms/.

9 Las opciones para el cifrado de AWS se detallan mediante los siguientes enlaces: 1) Cómo asegurar datos en reposo con el cifrado, 2) Protección de datos mediante cifrado en Amazon S3, 3)Detalles criptográficos de AWS Key Management Service y 4) Información general sobre los procesos de seguridad de AWS.

Perspectivas de la Política

8

• Tokenización: la tokenización es un proceso que le permite definir una secuencia de datos para representar un dato de carácter confidencial (p. ej., un token para representar el número de la tarjeta de crédito de un cliente). Por sí solo un token no tiene sentido y no puede volver a mapearse a los datos que representa sin utilizar el sistema de tokenización. Es posible construir bóvedas de tokens en VPC para almacenar información sensible cifrada mientras se comparten tokens con servicios aprobados para la transmisión de datos encubiertos. Además, AWS cuenta con una serie de socios especializados en proporcionar servicios de tokenización que se integran con bases de datos populares y otros servicios de almacenamiento.

• Descomposición de datos: se trata de un proceso que reduce conjuntos de datos a elementos irreconocibles que no tienen significado por sí solos.10 Después estos elementos o fragmentos se almacenan de forma distribuida de modo que si se pone en riesgo un nodo, el atacante solo obtiene un fragmento insignificante de datos. La ventaja particular de esta técnica radica en que el responsable de la amenaza tiene que comprometer todos los nodos, obtener todos los fragmentos y saber el algoritmo (o esquema de fragmentación) para reconstituir los datos de forma coherente.

• Defensa mediante ciberengaño: las soluciones y arquitecturas de ciberengaño pueden ser un componente clave para reducir el riesgo de adversarios avanzados. Las soluciones de engaño pueden utilizar trampas y señuelos muy sofisticados para crear en el atacante la ilusión de que se ha infiltrado en el sistema, cuando en realidad ha sido desviado a un entorno altamente controlado. Se reúne información sobre el atacante para reducir amenazas futuras y se neutraliza el ataque.

Una preocupación relacionada con el acceso no autorizado es el acceso de terceros al contenido del cliente y la adecuación de las medidas de control de acceso para evitar el acceso no autorizado del personal del CSP. El acceso de terceros a sistemas de AWS se asigna en función del principio de privilegio mínimo aprobado por una persona autorizada antes de acceder al aprovisionamiento y bajo la supervisión de un empleado de AWS. Las obligaciones y los ámbitos de responsabilidad (por ejemplo, solicitud de acceso y aprobación, solicitud de administración de cambio y aprobación, etc.) deben repartirse entre diferentes personas para reducir las probabilidades de que se produzca una modificación no autorizada o no intencionada, o un uso indebido de sistemas de AWS. El personal de AWS que por motivos de negocio tenga que obtener acceso al plano administrativo tiene que pasar primero una autenticación multifactor, que es diferente de sus credenciales corporativas normales de Amazon, para obtener acceso a hosts administrativos creados expresamente. Estos hosts administrativos son sistemas diseñados, creados, configurados y robustecidos a propósito para proteger el entorno administrativo. Todo este acceso está sujeto a registros y auditorías. Cuando un empleado ya no necesite obtener acceso por motivos de negocio al entorno administrativo, se le revocan los privilegios y el acceso a estos hosts y a los sistemas pertinentes. AWS ha implementado una política de bloqueo de sesión que se aplica sistemáticamente. Dicho bloqueo de sesión se mantiene hasta que se han llevado a cabo los procedimientos de identificación y autenticación.

AWS también monitorea para detectar una posible administración remota no autorizada y desconecta o deshabilita inmediatamente el acceso remoto no autorizado una vez que lo detecta. Todos los intentos de acceso administrativo remoto se registran y se revisan los registros. La revisión la llevan a cabo no solo personal del equipo para detectar actividad sospechosa, sino también sistemas de aprendizaje automático creados por el equipo de seguridad de AWS para detectar patrones de acceso fuera de lo normal que puedan indicar que se han producido intentos no autorizados para obtener acceso a los datos. Si se detecta actividad sospechosa, se inician los procedimientos de respuesta a incidentes. Asimismo, AWS ha establecido políticas y procedimientos formales para definir estándares de acceso lógico a los hosts y la

10 Hay una serie de investigaciones disponibles sobre técnicas de descomposición de datos. Uno de los informes, revisado para realizar este documento, es Data protection by means of fragmentation in various different distributed storage systems - a survey de Kapusta y Memmi, del 20 de junio de 2017.

Perspectivas de la Política

9

infraestructura de AWS. Las políticas también identifican responsabilidades funcionales para la administración de la seguridad y del acceso lógico. Salvo que la legislación vigente lo prohíba, AWS exige que todos los empleados se sometan a una comprobación exhaustiva de sus antecedentes en consonancia con su cargo y nivel de acceso a los datos.

Por último el cliente es el único en controlar sus instancias virtuales; para ello tiene acceso total a la raíz o control administrativo sobre las cuentas, los servicios y las aplicaciones. El personal de AWS no tiene la capacidad para iniciar sesión en las instancias de los clientes.

Nube de hiperescala: enfoque transformacional de la seguridad Los principales CSP de hiperescala como AWS ofrecen a los clientes la posibilidad de crear una seguridad adaptable y muy resistente para sus cargas de trabajo. Restringir las operaciones a requisitos específicos en el país inhibiría la innovación en el servicio y supondría un obstáculo para la capacidad de ofrecer servicios alternativos cuando se produzcan ciertas amenazas, como las que atacan la disponibilidad. Otra consecuencia perjudicial de las limitaciones geográficas en el país es que los responsables de las amenazas pueden mejorar la precisión del ataque a los objetivos, ya que saben que los datos residen en ubicaciones específicas. Los CSP de hiperescala cuentan con ofertas y arquitecturas de soporte disponibles que ofrecen capacidades de defensa en profundidad11 y en amplitud.12 Esto se debe a que los mecanismos de seguridad son una parte intrínseca del diseño y la operación de las ofertas del CSP de hiperescala.

A continuación enumeramos seis puntos donde se indican los atributos de seguridad básicos que son parte integrante de un CSP de hiperescala como AWS:

1. La integración en profundidad de la seguridad y la conformidad (conseguida en muy raras ocasiones en los sistemas tradicionales) hace que la seguridad se beneficie directamente de la conformidad, ya que los controles de seguridad se monitorean y actualizan constantemente.

2. Las economías de escala se aplican no solo a la tecnología, sino también a los procesos y al personal de seguridad, con lo que se obtiene un retorno de la inversión sin precedentes en comparación con los sistemas tradicionales.

3. El CSP se encarga de la mayor parte de la “zona de superficie” de seguridad y su ejecución se realiza con un enfoque y habilidades profesionales que superan los de prácticamente cualquier cliente en el mundo. Gracias a esta capacidad, el cliente puede reasignar sus profesionales y sus recursos de seguridad y concentrarlos en una parte mucho más pequeña del desafío, como la seguridad de aplicaciones.

11 Por defensa en profundidad se entiende la práctica de implementar numerosas capas de controles de seguridad para proporcionar independencia y redundancia. Si, por ejemplo, falla una capa de control, la siguiente capa podrá mitigar la incursión realizada contra el recurso.

12 Por amplitud de defensa se entiende el método que consiste en usar actividades multidisciplinares para proporcionar numerosos mecanismos de protección en cada capa de defensa identificada. Normalmente esto significa que en cada capa de seguridad hay más automatización y que los controles de seguridad son más variados.

Una consecuencia no deseada de la exigencia de que los datos residan en un país es que mejora la precisión de los ataques lanzados contra los sistemas objetivo, ya que los responsables de las amenazas saben que los datos residen en ubicaciones específicas.

Perspectivas de la Política

10

4. La nube aporta una visibilidad, homogeneidad y automatización desconocidas previamente en los sistemas tradicionales, las cuales incrementan los beneficios en la seguridad. Esta seguridad incluye capacidades de auditoría en profundidad y registro que, por ejemplo, pueden efectuar el registro de llamadas a la API realizadas

por el CSP y que pudiesen repercutir en la cuenta del cliente.

5. Los CSP funcionan como un “sistema contenido” que proporciona una visión más amplia del comportamiento y el

funcionamiento del sistema, incluidas las operaciones de seguridad, lo que brinda al cliente una capa adicional de

“defensa en profundidad”.

6. Gracias al acceso fácil y asequible a cantidades masivas de almacenamiento y capacidad de procesamiento, los

clientes de AWS “usan la nube para proteger a la nube”; es decir, realizan un análisis sobre la seguridad de sus

datos y registros utilizando “big data”, lo que les ofrece una mejor visión de su postura de seguridad dando como

resultado una mayor agilidad para remediar los problemas.

Debido a la rapidez de innovación e incremento de la escalabilidad, la seguridad de la nube mejora de forma continua. Por

ejemplo, solo en el último año, AWS ha añadido funciones de seguridad muy sólidas como Amazon GuardDuty13, una oferta

de detección de amenazas administrada que realiza continuamente monitorizaciones para detectar los comportamientos

dañinos o no autorizados; Amazon Macie14, una oferta que usa el aprendizaje automático para proteger la información

confidencial y AWS CloudHSM 2.015, una oferta completamente administrada que usa hardware validado FIPS 140-2 de

nivel 316 implementado automáticamente en un clúster de zonas de alta disponibilidad y redundancia, que permite a los

clientes generar, administrar y usar fácilmente sus propias llaves de cifrado en la nube de AWS a la par que no le da ningún

acceso a AWS a las llaves maestras u operaciones de cifrado básicas.

El cifrado debe considerarse un servicio básico ya que puede actuar como medio de protección de los datos en caso de que

otras funciones fallen. Añade una capa adicional de seguridad y asegura la confidencialidad y la integridad de los datos

en tránsito y en reposo. La combinación de AWS Key Management Service (KMS) y AWS CloudHSM son la pieza clave de

una solución de cifrado rigurosa.17 Los CSP de hiperescala como AWS ofrecen un cifrado ubicuo que puede estar fuera del

alcance en las operaciones en sitio. Por ejemplo, la validación AWS Key Management Service (KMS), FIPS 140-2 de nivel 2

ofrece una opción de utilización de las llaves propias (Bring Your Own Keys o BYOK, en inglés) que permite a los clientes

generar localmente sus llaves y almacenarlas en servicios de AWS. Gracias a esta capacidad los clientes pueden cumplir

los requisitos de seguridad y conformidad específicos asociados a datos altamente sensibles, ya que pueden conservar y

administrar sus llaves criptográficas fuera de AWS.

13 https://aws.amazon.com/guardduty/

14 https://aws.amazon.com/macie/

15 https://aws.amazon.com/cloudhsm/

16 Los requisitos de seguridad FIPS 140-2 para módulos criptográficos cubren 11 áreas relacionadas con el diseño y la implementación de un módulo criptográfico.

17 https://d1.awsstatic.com/whitepapers/compliance/AWS_Logical_Separation_Handbook.pdf

Perspectivas de la Política

11

Responsabilidad del CSP: seguridad nativa en la nubeLa infraestructura de AWS ha sido creada específicamente para la nube; todos sus elementos han sido diseñados para intercomunicarse bien y tienen una superficie de ataque lo más pequeña posible. Asimismo, los controles de seguridad físicos presentes en nuestros centros de datos se han diseñado para que sean los más rigurosos del mundo. La arquitectura de AWS se ha revisado y validado utilizando docenas de marcos de referencia de conformidad internacional.18 Contratamos a asesores y auditores externos independientes para que evalúen nuestra conformidad a estos regímenes y den testimonio de ello, y proporcionamos a los clientes acceso a los informes realizados y las pruebas que los certifican. Para poder dar respuesta a una gama tan amplia de requisitos de seguridad, AWS crea sus centros de datos y su arquitectura a escala y avanza siguiendo el ritmo de las innovaciones. Gracias a este enfoque, AWS se ha convertido en un proveedor de confianza de los gobiernos, las organizaciones militares, los bancos globales, las instituciones de salud y otras organizaciones que gestionan datos de gran confidencialidad.

En AWS, nuestro entorno único nos impulsa a crear muchas de nuestras herramientas de seguridad. Estas herramientas automatizan una gran cantidad de tareas rutinarias, lo que permite a nuestros expertos en seguridad centrarse en aspectos fundamentales de la salvaguarda del entorno. De este modo se consigue procesar y respetar los requisitos de seguridad en todo el ciclo de vida de desarrollo del sistema. Los problemas de seguridad más habituales se solucionan en las primeras etapas de desarrollo del sistema, lo que permite a nuestros expertos centrarse en reducir las amenazas complejas y avanzadas que se plantean en el nivel de producción.

Nuestros equipos de seguridad monitorean la infraestructura durante todo el día, cada día, y tienen una estrecha relación con todos los principales proveedores y grupos guardianes de seguridad para detectar de forma inmediata las amenazas potenciales. Esto se realiza a escala masiva, lo que convierte a AWS en una organización de seguridad que destaca sobre las demás. Al ejecutar algoritmos complejos para analizar millones de cuentas de clientes activos que ejecutan prácticamente cualquier tipo de carga de trabajo imaginable, podemos ver problemas que pueden producirse solo una vez cada mil millones de operaciones varias veces al día. Y después solucionamos el problema para toda la plataforma. Este tipo de visibilidad y de respuesta simplemente no está al alcance de la vasta mayoría de organizaciones que ejecutan centros de datos locales. El valor que se obtiene a partir de la concentración de conocimientos y de la escala masiva explica por qué Gartner e IDC han llegado a la conclusión de que las cargas de trabajo de la infraestructura de nube pública como servicio (IaaS) sufrirán menos incidentes de seguridad que los centros de datos tradicionales. En su investigación, Gartner calcula que los incidentes de seguridad se reducirán al menos en un 60%.19

Responsabilidad del cliente: enfoque de arquitectura seguraLas funciones de seguridad nativas de los proveedores en la nube de hiperescala como AWS brindan a los clientes una gran capacidad para crear arquitecturas únicas que permitan reducir los riesgos de acceso. Las instalaciones en sitio y similares carecen de las capacidades de homogeneidad, economía de escala, visibilidad y automatización que permiten generar grandes avances en materia de seguridad. Dichos avances son fundamentales para crear sistemas de alta seguridad que puedan afrontar las amenazas externas e internas en evolución constante. Las instalaciones en sitio tienen problemas para poner en práctica estos conceptos operativos nuevos debido a las exigencias de recursos que se necesitan para refactorizar la red y comprar nuevos sistemas, así como a los esfuerzos exigidos al personal por falta de una infraestructura automatizada (definida por software). Los CSP de hiperescala integran un nivel de agilidad y adaptabilidad a

18 Consulte https://aws.amazon.com/compliance

19 https://www.gartner.com/smarterwithgartner/is-the-cloud-secure/

Perspectivas de la Política

12

su infraestructura para implementar orgánicamente estos avances de seguridad. Esto hace que los clientes estén más preparados para usar los nuevos avances, ya que dichos avances están integrados de forma nativa en las ofertas de los CSP y permiten a los clientes crear sistemas que usan arquitecturas únicas como diseños polimórficos20 con microsegmentación y redes con tecnología de engaño de varios niveles.

Por ejemplo, si un cliente examina un diseño basado en la microsegmentación en AWS, verá que puede usar una amplia gama de servicios tecnológicos como Amazon Virtual Private Cloud (Amazon VPC), AWS Identity and Access Management (IAM), grupos de seguridad, listas de control de acceso a la red, numerosos servicios de cifrado y registro junto con AWS Certificate Manager como base para construir una red de confianza cero21 (Zero Trust Model o ZTM en inglés). Desde un punto de vista conceptual una ZTM aporta una clara ventaja en la reducción de amenazas y el monitoreo del desempeño. Es indiscutible que las organizaciones necesitan implementar una ZTM o un diseño de segmentación de seguridad parecido para dar respuesta a las amenazas de hoy en día, pero es muy difícil y oneroso crear este tipo de arquitectura en los entornos de compañías tradicionales. Si, por el contrario, las organizaciones optan por contratar un proveedor de la nube pública tendrán la oportunidad de implementar una ZTM o una red de concepto similar sin tener que afrontar los costos

significativos y la gran demanda de recursos que exige la creación o adaptación de una red física.

Roles para la protección de datosLa propiedad y la gestión de datos en el modelo de responsabilidad compartida tiene cinco aspectos básicos importantes:

1. Los clientes siguen siendo propietarios de sus datos.

2. Los clientes eligen la ubicación o las ubicaciones geográficas en las que desean almacenar sus datos; los datos no se mueven a menos que el cliente decida hacerlo.

3. Los clientes pueden descargar o eliminar sus datos siempre que quieran.

4. Los clientes pueden “criptoeliminar” sus datos eliminando las llaves de cifrado maestras necesarias para descifrar las llaves de datos que, a su vez, son necesarias para descifrar los datos.

5. Los clientes deben tener en cuenta el carácter confidencial de sus datos y decidir si van a cifrarlos mientras están en tránsito y mientras están en reposo, y cómo van a hacerlo.

Las medidas de protección de datos se aplican de forma más efectiva si previamente se han definido roles de gestión de datos para establecer los roles y las responsabilidades de las personas participantes. La mayoría de los esquemas de protección de datos establecen una diferencia entre el responsable del tratamiento de datos (también denominado “usuario”) y el encargado del procesamiento de datos y las obligaciones consiguientes basadas en estos roles diferenciados. Por ejemplo, según el Reglamento General de Protección de Datos de la UE, el responsable del tratamiento de datos tiene la responsabilidad de implementar las medidas técnicas y organizativas adecuadas para proteger los datos y evitar la destrucción accidental o ilícita, la pérdida accidental, la alteración y la difusión o el acceso no autorizados. Cuando el tratamiento lo vaya a realizar un encargado de tratamiento de datos por cuenta del responsable del tratamiento, dicho responsable tiene que elegir un encargado que aporte las medidas técnicas y organizativas adecuadas para el procesamiento que se va a realizar. Estas distinciones ayudan a delinear las responsabilidades de los proveedores tercerizados y sus clientes.

20 En pocas palabras, un diseño polimórfico permite crear objetivos en movimiento, lo que a su vez hace que sea más difícil para los adversarios llevar a cabo ataques con éxito.

21 Concepto acuñado originalmente por Forrester Research. Según dicho concepto ninguna entidad de la red es de confianza. El objetivo es, por lo tanto, poner en práctica un acceso seguro a todos los recursos, internos o externos. Esto significa que una organización tiene que comprender y clasificar sus datos y mapear cómo dichos datos, en especial la información confidencial, se mueven entre el almacenamiento, el proceso, el tránsito y los consumidores. A continuación, una vez que la organización ha comprendido los datos, ya puede implementar los mecanismos de la ZTM que aplican y automatizan el principio de mínimo privilegio absoluto, el cifrado integral y la inspección de tráfico completa.

Perspectivas de la Política

13

AWS, en su calidad de proveedor de una infraestructura de autoservicio que está totalmente controlada por el cliente, incluida la forma en que se tratan los datos y si estos se procesarán o no, proporciona servicios de infraestructura a los clientes que desean cargar y procesar contenido en AWS. AWS no tiene visibilidad sobre los datos que los clientes cargan en su red ni tiene conocimiento de ellos, incluyendo si ese contenido incluye o no datos personales. Además, los clientes de AWS están empoderados e incentivados a utilizar cifrado para que el contenido sea inintelegible para AWS y cualquier tercero que quiera obtener acceso a los datos.

Los servicios de AWS no dependen del contenido; ofrecen el mismo alto nivel de seguridad a todos los clientes, cualquiera que sea el tipo o la región geográfica del contenido que se procesa o almacena. En otras palabras, AWS aplica a todas nuestras ofertas el más alto nivel de alta seguridad. Esto significa que aplicamos el más alto nivel de clasificación y almacenaje de datos en nuestra nube comercial y aplicamos los mismos niveles de protección a todas nuestras ofertas y nuestros clientes. Después estas ofertas tienen que obtener una certificación de cumplimiento del más alto nivel de seguridad y conformidad, lo que aporta a los clientes unos niveles de protección elevados en el procesamiento y el almacenamiento de datos en la nube. La nube de AWS ha obtenido numerosas acreditaciones sectoriales (salud, finanzas, etc.), nacionales (por ejemplo, el FedRAMP de los Estados Unidos, el C5 de Alemania, el IRAP de Australia) y acreditaciones a escala mundial (por ejemplo, ISO 27001,22 ISO 27018,23 el estándar de seguridad de datos (DSS) del sector de las tarjetas de pago (PCI)24 y Controles de organizaciones de servicios (SOC, Service

Organization Controls)25), que prueban y validan la seguridad de

nuestros sistemas empleando los estándares más rigurosos.

22 La ISO 27001/27002 es una norma de seguridad global muy extendida que fija los requisitos y las prácticas recomendadas para un enfoque sistemático en la administración de la información de empresas y clientes que se basa en evaluaciones de riesgo periódicas adecuadas a las siempre cambiantes amenazas posibles.

23 La norma ISO 27018 es un código de prácticas diseñado para proteger datos personales en la nube. Se basa en la norma sobre seguridad de la información 27002 y proporciona asesoramiento en materia de implementación en lo referente a los controles de la norma 27002 aplicables a la información personalmente identificable (PII). Además, proporciona un conjunto de controles adicionales y asesoramiento relacionado a fin de satisfacer los requisitos de protección de la información personalmente identificable en la cloud no cubiertos por el conjunto de controles existentes de la norma ISO 27002.

24 El estándar de seguridad de datos del sector de las tarjetas de pago (Payment Card Industry Data Security Standard) (también conocido como PCI DSS) es un estándar de seguridad de la información propio administrado por el Consejo de estándares de seguridad del PCI (https://www.pcisecuritystandards.org/), fundado por American Express, Discover Financial Services, JCB International, MasterCard Worldwide y Visa Inc. PCI DSS se aplica a todas las entidades que almacenan, procesan o transmiten datos de los titulares de tarjetas (CHD) o datos de autenticación confidenciales (SAD) entre los que se incluyen comerciantes, encargados de tratamiento de datos, compradores, emisores y proveedores de servicios.

25 Los informes de Controles de Organizaciones de Servicio (SOC 1, 2, 3) han sido diseñados teniendo en cuenta una amplia variedad de requisitos de auditoría financiera de organismos de auditoría de los EE. UU. y de ámbito internacional. La auditoría de este informe se realiza conforme a los International Standards for Assurance Engagements N.º 3402 (ISAE 3402) y al American Institute of Certified Public Accountants (AICPA): AT 801 (anteriormente SSAE 16).

Libre circulación de los datos no personales como estándar de facto de la UE y la región del transpacífico

Recientemente, la Comisión de la UE ha publicado un proyecto de reglamento sobre la libre circulación de datos por el que se prohíben las normas de localización nacional de los datos en los Estados miembros de la UE y se reconoce el principio de libre circulación de los datos no personales en la UE. Esta propuesta establece la circulación de datos transfronteriza como el estándar de facto de la UE y es responsabilidad de los Estados miembros justificar los motivos de seguridad pública por los que se exige la localización de datos. Aunque las deliberaciones sobre este proyecto están en sus inicios, la propuesta reconoce las ventajas económicas y de seguridad que brinda la circulación de datos transfronteriza, hecho que se está imponiendo a las consideraciones de los partidarios de aplicar políticas de residencia de datos. Asimismo, a principios de 2018 se estableció el Tratado Integral y Progresista de Asociación Transpacífico en 11 países. Dicho tratado también admite la circulación de datos transfronteriza y no exige que las compañías creen instalaciones informáticas en el país como condición para hacer negocios en él.

Perspectivas de la Política

14

Alineación de política de seguridad, transformación digital y crecimiento económicoLas políticas deben evolucionar para dar respuesta a las realidades cambiantes de la tecnología y el mundo que esta

ayuda a crear. De no ser así, los gobiernos seguirán quedándose atrás en la actualización de operaciones, la atención a

los ciudadanos y la adopción de las soluciones más modernas y seguras. En esta sección se describe cómo AWS aborda

los objetivos de seguridad que subyacen a los requisitos de residencia de los datos para reducir las preocupaciones de

los legisladores. Asimismo se examinan los problemas económicos y de modernización de TI que plantea la exigencia de

residencia de datos y las consideraciones políticas para avanzar en la adopción de una nube de sector público segura.

Desafíos de los sectores público y comercial con la residencia de los datos Los gobiernos deben considerar cómo influyen sus políticas nacionales en el aumento o la disminución de oportunidades

de crecimiento económico y desarrollo de la fuerza laboral, las cuales son empoderadas con los servicios en la nube de

hiperescala. La implementación de requisitos de residencia de datos puede tener efectos negativos importantes como los

siguientes:

• Efecto adverso sobre los esfuerzos de expansión comercial multinacional de los negocios locales: a medida

que los negocios crecen y se expanden más allá de las operaciones regionales, es crucial que tengan acceso a

recursos de alcance mundial. Restringir el acceso a los servicios de los CSP de hiperescala limita gravemente el

nivel de la experiencia de usuario que un negocio puede proporcionar a su base de clientes mundial.

• Opciones limitadas de redundancia geográfica en comparación con las regiones de los CSP globales: para

la estabilidad de los gobiernos y los negocios, es fundamental garantizar la redundancia por si se produce un error

operativo debido a un desastre u otras circunstancias. Tener las operaciones agrupadas en un solo país expone a

la organización a un nivel de riesgo que puede superar ampliamente las preocupaciones relativas al acceso a los

datos.

• Estructuras de costos caras necesarias para incluir requisitos exigentes: los entornos de “nube” de inquilino

único o de comunidad exigen un nivel de precios para poder mantener las operaciones que puede acabar

excluyendo la adquisición de las capacidades adicionales necesarias para conseguir una defensa en profundidad.

La tecnología de la nube posibilita los avances en el sector público y comercial, y el grado de apoyo u oposición de los

gobiernos a la circulación de datos transfronteriza repercutirá en la solidez de las economías locales, así como en su

capacidad para competir en el mercado mundial.

Perspectivas de la Política

15

Repercusión en el comercio

La libre circulación de datos transfronteriza tiene repercusiones positivas en la economía mundial. En varios estudios

recientes llevados a cabo por centros de investigación se presta una atención especial a estas repercusiones además de

destacar los costos que supone obstaculizar la circulación de los datos. En un informe de febrero de 2016 realizado por el

McKinsey Global Institute se calculó que la circulación de datos transfronteriza contribuyó con casi 2,8 billones de dólares

a la economía mundial del año 201426 al posibilitar la circulación de bienes, servicios y otros recursos. En dicho informe se

calcula que esta cifra podría llegar a los 11 billones de dólares en el año 2025. Los gobiernos que exigen la localización de

los datos y restringen la circulación económica transfronteriza pagan un precio elevado. El Centro Europeo de Economía

Política Internacional (ECIPE), un centro de investigación político independiente, publicó un estudio sobre las repercusiones

económicas en siete jurisdicciones de la aplicación de requisitos de localización de datos que discriminan a proveedores

extranjeros: Brasil, Corea del Sur, China, India, Indonesia, UE y Vietnam.27 En su investigación, se llegó a la conclusión

de que las restricciones unilaterales en la circulación de datos transfronteriza y el acceso a mercados extranjeros afecta

negativamente al crecimiento económico y a la recuperación porque limita el acceso a precios competitivos, el crecimiento

de los puestos de trabajo en muchos sectores de bienes y servicios, y las oportunidades de inversión. El estudio señaló que

los requisitos de residencia de datos no solo afectan a la circulación de datos, sino también a un conjunto más amplio de

oportunidades de expansión comercial que dependen de la circulación de datos transfronteriza.

En un estudio similar llevado a cabo por el Banco Mundial, se examinó la situación en seis países en desarrollo y en los

28 Estados miembros de la UE, y se descubrió que los requisitos de localización de datos pueden reducir el PIB en torno al

1,7%, las inversiones en torno al 4,2% y las exportaciones en torno al 1,7%.28 Este impacto se hace sentir principalmente

en los negocios a pequeña escala y en los emprendedores. Así, por ejemplo, el uso de la nube permite a individuos y a

pequeñas y medianas empresas (pymes) obtener acceso a recursos de TI de un costo y escala que en el pasado solo se

podían permitir entidades con una capitalización mucho mayor. Las pymes son las grandes impulsoras de la creación de

puestos de trabajo. El cómputo en la nube reduce los obstáculos para la creación de negocios y el acceso al mercado,

permitiendo de esta forma aumentar el número de emprendedores, lo que en última instancia lleva a la creación de más

puestos de trabajo. No obstante, según la Comisión Europea, las empresas tecnológicas, como es el caso de los CSP, pueden

enfrentarse a costos significativos para adaptarse a las diferentes leyes nacionales, lo que puede hacer que los costos de

vender en línea superen los beneficios. No hace mucho, en mayo de 2017, la Information Technology and Innovation

Foundation, un instituto de investigación imparcial, llegó de manera independiente a conclusiones similares.29

26 http://www.mckinsey.com/business-functions/digital-mckinsey/our-insights/digital-globalization-the-new-era-of-global-flows

27 Centro Europeo de Economía Política Internacional (ECIPE): “The Costs of Data Localization: A Friendly Fire on Economic Recovery”, http://www2.itif.org/2015-cross-border-data-flows.pdf?_ga=1.8208626.1580578791.1473954628.

28 http://documents.worldbank.org/curated/en/961621467994698644/pdf/102724-WDR-WDR2016Overview-ENGLISH-WebResBox-394840B-OUO-9.pdf

29 Nigel Cory, “Cross-Border Data Flows: Where Are the Barriers, and What Do They Cost?” Information Technology and Innovation Foundation (mayo de 2017) http://www2.itif.org/2017-cross-border-data-flows.pdf?_ga=2.243762501.1722557619.1508762047-1611916082.1508762047.

Perspectivas de la Política

16

Una conclusión clave a la que se llega sistemáticamente en todos estos estudios es que prohibir la circulación de datos

transfronteriza al exigir requisitos de residencia de datos puede repercutir negativamente en el crecimiento económico

local y regional, así como en la competitividad en el mercado internacional, las pymes son las empresas más afectadas.

Un sistema seguro en la UE no es ni más ni menos seguro que un sistema con arquitectura parecida en Latinoamérica. Los

gobiernos no entienden que la protección de datos no depende en general de dónde se almacena la información sino más

bien de las medidas que se adoptan para proteger los datos. Por lo general, la ubicación física no es importante, ya que los

centros de datos están casi siempre conectados a redes de una gran accesibilidad y, por tanto, la seguridad real depende de

los procesos y las prácticas técnicas, operativas y de administración que el CSP y el cliente pongan en práctica.30

Costos derivados de operar exclusivamente en centros de datos en el país

En un estudio realizado en el año 2015 por una compañía de seguridad de la información se evaluó de qué manera

un modelo de centros de datos en el país resulta mucho más caro que aprovechar los CSP globales. En el estudio

se llegó a la conclusión de que la localización de datos, según la disponibilidad de los servicios alternativos, puede

incrementar sustancialmente el costo de los servicios en la nube. Se llegaron a las siguientes conclusiones:

• Si Brasil hubiera aprobado la localización de datos como parte de su “Carta de Derechos de Internet”

publicada en el año 2014, las compañías hubieran tenido que pagar a los CSP locales, en comparación

con el precio mundial más bajo, un promedio del 54% más por usar los servicios en la nube (de todas

las categorías).

• Si la Unión Europea hubiera aprobado la localización de datos, las empresas seguirían teniendo que

pagar hasta un 36% más por usar servicios similares a los que proporcionan los CSP de hiperescala.

Cuando se realizó el estudio, algunos de los centros de datos con los costos más bajos se encontraban

en la Unión Europea.31

Repercusiones en el sector público31

Los países que ponen barreras a la circulación de datos pueden restringir la capacidad de sus ciudadanos para aprovechar

los servicios innovadores que mejoran su calidad de vida, así como la prestación de servicios gubernamentales. Por

ejemplo, las aplicaciones de inteligencia artificial (IA) y de aprendizaje automático (ML, por sus siglas en inglés) necesitan

una infraestructura personalizada para tener un funcionamiento óptimo,32 y si bien los CSP globales siguen expandiendo

la huella de sus centros de datos, no es realista suponer que se vayan a crear centros de datos en todos los países. Por

lo tanto, a medida que aumenta el uso de la inteligencia artificial y el aprendizaje automático para mejorar los servicios,

como los pronósticos en la atención de salud y la previsión meteorológica para prepararse a situaciones de emergencia, los

ciudadanos de los países que imponen requisitos estrictos de residencia de datos se quedan rezagados en el acceso a los

avances tecnológicos de los servicios de atención ciudadana.

30 Ibid p.4 En este artículo se llega a conclusiones similares de manera independiente.

31 http://www2.itif.org/2017-cross-border-data-flows.pdf?_ga=2.51021357.566718019.1510350061-1611916082.1508762047

32 Por ejemplo, sistemas con capacidades de GPU de uso general o matrices de puertas programables en campo (FPGA).

Perspectivas de la Política

17

La limitación de la circulación de los datos también tiene un efecto en cascada en los costos socioeconómicos,

concretamente en la competitividad comercial y en el desarrollo del personal. A medida que la tecnología en la nube vaya

convirtiéndose en una presencia generalizada y que su vínculo con los avances económicos sea más estrecho, el comercio

digital (y la reducción de las barreras que se le imponen) irá subiendo en las prioridades de los gobiernos. Los países que

permitan la libre circulación de datos tendrán ventaja sobre los demás ya que podrán obtener acceso a tecnología de

vanguardia, lo que a su vez repercutirá en la modernización de los servicios de los sectores público y comercial, mejorará

la productividad de los trabajadores y acelerará el aumento de las habilidades y los puestos de trabajo locales en todos

los sectores. Por su parte los países que restrinjan la circulación de datos y el comercio digital verán cómo, con el paso del

tiempo, su competitividad disminuye. Por ejemplo, la gama completa de beneficios asociados al Internet de las Cosas (IoT)

para habilitar ciudades, manufacturación y agricultura “inteligente” no

puede conseguirse aplicando políticas restrictivas que limiten el análisis

de big data, el aprendizaje automático (ML) y otras características que

solo se pueden obtener con la circulación libre y segura de los datos.

La imposición de límites de acceso a los tipos de servicios de TI

sofisticados que ofrecen los CSP de hiperescala generará un retraso

perenne que afectará al desarrollo y el mantenimiento del personal de

trabajo altamente cualificado y con grandes conocimientos técnicos.

Esto se debe a que las aptitudes del personal están ligadas a la

complejidad tecnológica de una organización, complejidad que, a su

vez, se basa en la capacidad de la organización para obtener acceso

a tecnología de vanguardia. Para usar de forma efectiva la tecnología

moderna es preciso que el personal tenga las habilidades pertinentes

para controlar dicha tecnología. Dada la amplitud y el ritmo de

innovación de los servicios en la nube, de todos es sabido que existe

una creciente brecha en la obtención de habilidades. Los gobiernos,

en especial, se han quedado rezagados en la carrera por contratar a

expertos fundamentales para modernizar las aplicaciones y al mismo

tiempo proteger los sistemas y la información del sector público contra adversarios altamente sofisticados y a ataques

cuya frecuencia y repercusión no dejan de aumentar.

Consideraciones al establecer políticas de residencia de datosTal y como se ha explicado anteriormente se puede lograr la soberanía estatal o nacional de la ley sobre los datos sin dejar

de obtener al mismo tiempo provecho de los beneficios financieros y de seguridad que aportan los CSP de hiperescala

como AWS. Las medidas de seguridad adoptadas en todos los servicios de AWS y verificadas mediante auditorías externas

brindan un gran nivel de confianza en la prevención y tratamiento de eventos riesgosos de acceso ilegal a los datos.

Alentamos, por tanto, a los gobiernos a considerar las siguientes políticas para cumplir los objetivos de seguridad asociados

con la residencia de datos.

Existe una demanda elevada y continua de expertos con habilidades en informática en la nube para ámbitos clave como la seguridad de las aplicaciones, el desarrollo de aplicaciones para compañías en la nube, la migración a la nube empresarial y los big data. La oficina de estadísticas laborales de los Estados Unidos informa que se espera que la demanda prevista para trabajos en seguridad de la información crezca a un ritmo del 37% entre los años 2012 y 2022. Para responder a la nueva demanda laboral, los gobiernos tendrán que invertir para proporcionar oportunidades de formación técnica y educativas para la adquisición de habilidades tecnológicas.

Perspectivas de la Política

18

1. Desarrollar políticas y requisitos que permitan

el uso de instalaciones de procesamiento de

datos fuera del país si dichos datos se procesan

y almacenan en un entorno en la nube de

hiperescala moderno y de alta seguridad. Los

clientes también pueden elegir ubicaciones que

tengan leyes de protección de datos similares

a las de su país y donde ya existan acuerdos de

transferencia de datos.

2. Alinear las políticas nacionales y los requisitos

reglamentarios con el principio de movimiento libre

de datos transfronterizo para equilibrar de manera

efectiva objetivos de seguridad, económicos y de

modernización de TI.

3. Evaluar los modelos de transferencia de datos

como el Escudo de privacidad UE-EE. UU. (US-

EU Privacy Shield, en inglés) y las cláusulas de

contratos estandarizadas como los cláusulas

modelo de la UE, aprobadas por las autoridades

de protección de datos de la UE, y que pueden

usarse en acuerdos entre los proveedores de

servicios y sus clientes para garantizar que todos

los datos personales que salgan del Espacio

Económico Europeo se transfieran de acuerdo con

el Reglamento General de Protección de Datos

(RGPD).33 Estos tipos de acuerdos de transferencia

de datos constituyen una garantía de que los CSP

salvaguardarán los datos de manera responsable, además de proporcionar un medio aprobado previamente para

proteger y prestar apoyo a la circulación de datos internacional de forma segura y de acuerdo con la normativa.

4. Asegurarse de que los CSP y los contratistas de terceros demuestren que cuentan con controles de seguridad

sólidos para abordar el acceso de terceros no autorizados a datos, sistemas y recursos mediante acreditaciones de

terceros reconocidas a escala internacional (por ejemplo, ISO 27001, ISO 27018, SOC, PCI DSS, etc.).

33 El anexo de procesamiento de datos del RGPD de AWS que incluye las cláusulas modelo de la UE ahora forma parte de nuestras condiciones de servicio online. Esto significa que todos los clientes pueden confiar globalmente en las condiciones del acuerdo de procesamiento de datos (APD) del RGPD de AWS siempre que dichos clientes usen los servicios de AWS para procesar datos personales de acuerdo con el RGPD. En el siguiente enlace, encontrará más información sobre el enfoque que aplica AWS a la conformidad con el RGPD: https://aws.amazon.com/compliance/gdpr-center/.

El Reglamento General de Protección de Datos de la UE, que entró en vigor en mayo de 2018, tiene como objetivo armonizar las leyes de protección de datos de toda la Unión Europea (UE) aplicando una única ley de protección de datos que sea vinculante en todos los Estados miembros. El RGPD no requiere leyes de residencia de datos en la UE, sino que da soporte a los marcos legales mediante modelos de transferencia de datos y cláusulas de contratos estandarizadas (por ejemplo, las cláusulas modelo de la UE) para fomentar la circulación de datos transregional.

En el artículo 45 del RGPD se establece el principio por el cual las transferencias de datos personales a un tercer país u organización internacional pueden realizarse si el tercer país, el territorio o uno o varios sectores específicos de ese tercer país o la organización internacional de que se trate garantizan un nivel de protección adecuado. Para conseguir esto, los gobiernos pueden:

• Cambiar las leyes de protección de datos que tienen en vigor e iniciar conversaciones con otros países sobre su idoneidad. Por ejemplo, Nueva Zelanda ha iniciado un proceso para conseguir que la Comisión de la UE tome una decisión sobre el carácter adecuado de la protección que este país proporciona.

• Establecer marcos bilaterales como el Escudo de privacidad UE-EE. UU.

Perspectivas de la Política

19

5. Clasificar datos y definir roles y responsabilidades de gestión de datos para determinar las obligaciones de

protección de datos apropiadas para cada una de las partes. Los gobiernos deben estudiar si aprovechan la norma

ISO 27018 para definir los roles del responsable y el encargado del tratamiento de datos. Los gobiernos pueden

trabajar con los CSP para comprender y aplicar de manera adecuada las responsabilidades de protección de datos

del responsable y el encargado del tratamiento de datos en cada uno de los modelos de servicio en la nube.

6. Garantizar la comprensión y la implementación por parte del cliente de los servicios de seguridad para el cifrado

de datos. AWS ha sido pionera en los servicios de cifrado que ofrecen a los clientes la posibilidad de controlar

plenamente las llaves de cifrado. AWS ofrece a los clientes la opción de cifrar datos mediante sus propias llaves

que pueden almacenarse fuera de AWS o de manera segura dentro de los servicios ofrecidos, permitiéndoles

controlar sus llaves y obtener acceso a datos cumpliendo con estrictas obligaciones de seguridad y conformidad.

7. Participar en esfuerzos bilaterales y multilaterales para actualizar el proceso del tratado de asistencia judicial

recíproca (MLAT) de modo que se equilibren las necesidades de los gobiernos de obtener de inmediato las pruebas

necesarias en investigaciones y enjuiciamientos con el derecho de un individuo a la privacidad en relación con el

contenido electrónico de su propiedad. Respaldamos la legislación que actualiza la privacidad y el acceso de los

organismos encargados del cumplimiento de la ley a las comunicaciones electrónicas, tanto a escala nacional

como internacional. También alentamos a los gobiernos a revisar y actualizar su legislación nacional para abordar

los roles, las responsabilidades y los mecanismos que rigen el acceso legal a los datos en consonancia con los

principios del proceso del tratado de asistencia judicial recíproca.

ConclusiónSi bien los gobiernos podrían percibir una sensación de mayor seguridad al imponer requisitos de residencia de datos para

los datos procesados y almacenados en instalaciones de TI locales debido a que ofrecen proximidad física y control, una

evaluación más profunda muestra que restringir los servicios de TI a la jurisdicción local exclusivamente no proporciona

una mejor seguridad general de los datos. Desde una perspectiva de riesgo-beneficio, los CSP de hiperescala como AWS

pueden ayudar a administrar mejor los riesgos de ciberseguridad al tiempo que minimizan el riesgo de acceso a los

datos de gobiernos extranjeros. Los gobiernos también tienen que valorar las contrapartidas significativas asociadas a

exigir la residencia de los datos. Los gobiernos que usan requisitos de residencia de datos restrictivos no solo perderán

el acceso a algunos de los entornos informáticos más seguros de la tierra, sino que, más allá de la seguridad, se verán

obligados a hacer frente a un retraso perpetuo en el acceso a tecnología de vanguardia rentable y necesaria para su propia

transformación digital. Exhortamos a los gobiernos a que reevalúen los objetivos de seguridad que realmente consiguen

aplicando las restricciones de localización de datos desde el punto de vista de los costos significativos económicos, de

modernización de TI y oportunidades de seguridad. Las capacidades de seguridad de los CSP de hiperescala no solo

abordan las principales preocupaciones, sino que también proporcionan seguridad a un nivel superior a la que proporcionan

las instalaciones locales tradicionales o contratadas localmente. Las soluciones basadas en políticas, como los acuerdos de

transferencia de datos y el aprovechamiento de acreditaciones de seguridad internacionales reconocidas, pueden servir

como medio suficiente para abordar los objetivos de residencia de los datos al tiempo que se promocionan los objetivos de

transformación digital del sector público.