¿Un nuevo escenario para el manejo de datos confidenciales?
Un borrador de la agencia de ciberseguridad de la UE, ENISA, recoge que los proveedores de nube de fuera de la Unión Europea (UE), entre los que se encuentran los principales hiperescalares, deberán obtener un certificado de seguridad comunitario para manejar datos confidenciales. Certificado que sólo se podrá obtener a través de una organización conjunta con sede en Europa.
No hace demasiados días, la agencia Reuters lanzaba una noticia de gran calado para los principales hiperescalares del mercado, norteamericanos en su mayor parte. Según un borrador de ENISA, la agencia de ciberseguridad de la Unión Europea (UE) al que habría tenido acceso, aquellas figuras estarían obligadas a obtener un certificado de ciberseguridad comunitario para manejar datos confidenciales; que sólo podrían obtener a través de una organización conjunta con sede en Europa.
Las implicaciones
Importantes, según cree Francisco Torres-Brizuela, director de Canal, Alianzas y Cloud de NetApp Iberia. “Esto puede tener implicaciones importantes para los proveedores de servicios en la nube, incluidos los principales hiperescalares, ya que estos deberán cumplir con los estándares y las medidas de seguridad establecidos por la Unión Europea para garantizar la protección adecuada de los datos confidenciales de los ciudadanos europeos. Sin duda alguna, la implementación de este certificado es un paso más hacia la creación de entornos más seguros y fiables para todas las empresas y consumidores”, apostilla.
No obstante, Raúl Coria, Cloud Product manager de IPM, ve un pero: “Creo que el hecho de que no sea una normativa que vaya a ser extensiva y se vaya a aplicar de la misma forma en todos los países (sino que se ha dejado abierto el que cada Estado pueda proponer sus propios requisitos), va a suponer un problema para las empresas de todos los sectores. Principalmente porque el hecho de tener que adaptarse y pasar dichos requisitos, que pueden ser diferentes de país a país, va a ralentizar las gestiones y la aplicación de soluciones, así como la consecución de los proyectos que quieran llevarse a cabo.
En consecuencia, cree que es muy buena estrategia el hecho de que toda la información permanezca en Europa y de que los empleados que tengan acceso a la misma deban pasar con éxito una evaluación específica, “pero también considero que al no ser una medida igualitaria para todos, la aplicación de la estrategia resultará más negativa que positiva”.
Europa: centro del servicio en la nube
En consecuencia, los proveedores deben adaptar sus instalaciones y servicios a la legislación europea vigente, determina Juan Francisco Moreda, responsable de la unidad de ciberseguridad /fsafe de fibratel. “Todo esto se debe a la necesidad creciente por parte de las instituciones europeas de proteger los datos de los ciudadanos a través de leyes como la GDPR. De esta forma pretenden que todas las empresas garanticen unos mínimos de protección y todas ellas, independientemente de si su origen es de algún país de la UE o fuera de esta, se rijan bajo unos mismos criterios de seguridad”, añade a su explicación.
En este punto aparece un concepto que lo dice todo: soberanía. La obligación de operar y mantener los servicios en la nube desde Europa y procesarlos dentro de esta geografía, de acuerdo con las leyes europeas, implica una mayor responsabilidad y control sobre los datos confidenciales de los ciudadanos europeos. “Esto se alinea con la preocupación de la Unión Europea por garantizar la protección de los datos personales y la soberanía digital. Al requerir que los servicios en la nube se operen y procesen en Europa, se busca asegurar que los datos estén sujetos a las leyes y regulaciones de privacidad europeas”, regresa Francisco Torres-Brizuela.
Puede leer aquí el reportaje completo.
