InfoSecMan Blog

Decía en uno de mis últimos post que “la nube ha surgido y nadie sabe como ha sido”. Cada vez comienza a hablarse más de ello, existen servicios y proveedores aparentemente de alta calidad con soluciones en la nube, todos los grandes firmas de TI tienen una estrategia más o menos clara de Cloud Computing y ya comienzan a surgir contratos importantes de organizaciones que llevan muchos de sus servicios a ese nuevo paradigma de computación. 

Un ejemplo es el Ayuntamiento de los Ángeles y su decisión de  externalizar los servicios de correo electrónico de los servicios municipales (más de 30.000 empleados municipales, entre los que se encuentra la policía, bomberos, etc.) a Google, convirtiéndose así en la primera ciudad del mundo en trasladar los servicios de su administración a la “nube”. Otras ciudades estadounidenses (Seattle, por ejemplo) están esperando a ver cuál es la experiencia de Los Ángeles para implementarlo en sus ciudades. 

Pues bien, en un comentario de pasillo en la última International Conference de ISACA me comentaron que el contrato entre el Ayuntamiento y Google había sido más que problemático y bastante comentado. Como esto pareció de mucho interés se lo comenté a mi amigo y compañero Paco Uría, responsable de los servicios de cumplimiento legal de Intermark Tecnologías quien ha revisado este tema y ha tenido a bien compartir conmigo (y con vosotros) su análisis que incluyo a continuación con su consentimiento (gracias Paco!). Espero que os sea de tanto interés como me ha sido a mí. 

“En el Contrato se establecieron algunas cautelas, como el condicionamiento de la efectividad del contrato a la demostración práctica de su seguridad, pero fue firmado en espera de una enmienda que exigiría a Google indemnizar al Ayuntamiento  en caso de que el sistema de Google sea violado y los datos expuestos o robados, ya que en el Contrato no existe ninguna cláusula al respecto. La inexistencia de una clausula de responsabilidad por si no se realiza el servicio a satisfacción del Ayuntamiento, es especialmente delicado en lo que respecta a las fuerzas de seguridad que proporcionan, por ejemplo, información potencialmente sensible y confidencial al Departamento de Justicia. 

El Contrato recoge que los datos se almacenarán en instalaciones específicas dentro de los Estados Unidos y que serán administrados por personas sujetas a autorizaciones de seguridad de alto nivel. Pero sería deseable que Google ofreciera un sistema de verificación de antecedentes de las personas que puedan acceder a la información ya que, por ejemplo, datos sensibles de las investigaciones policiales pueden verse comprometidos si fueran expuestos por alguna de las personas encargadas de la administración del sistema. 

Es paradójico que Google, en su mandato 10-Q para la Comisión de Bolsa y Valores del 4 de agosto 2009, reconozca que el riesgo de este tipo de sistemas podría perjudicar gravemente a su negocio, riesgo que reconocen, es probable que aumente a medida que amplían el número de productos y servicios web que ofrecen, así como el número de países en donde operan. Además, en el mismo mandato reconocen que sus sistemas son vulnerables a los daños o la interrupción producidos por terremotos, atentados terroristas, inundaciones, incendios, pérdida de potencia, fallos de las telecomunicaciones, virus informáticos, la denegación de servicios, u otros intentos para dañar sus sistemas: “(As) nearly all of our products and services are web based, the amount of data we store for our users on our servers (including personal information) has been increasing. Any systems failure or compromise of our security that results in the release of our users’ data could seriously limit the adoption of our products and services as well as harm our reputation and brand and, therefore, our business. We may also need to expend significant resources to protect against security breaches. The risk that these types of events could seriously harm our business is likely to increase as we expand the number of web based products and services we offer as well as increase the number of countries where we operate. […] These products and services are subject to attack by viruses, worms, and other malicious software programs, which could jeopardize the security of information stored in a user’s computer or in our computer systems and networks.” 

Google ha anunciado su intención de crear una nube de “gobierno” para órganos estatales o federales y locales que cumpla con las normas de protección más elevadas, pero ésta aún no existe. 

Las clausulas controvertidas más destacadas del Contrato entre Google y el Ayuntamiento de Los Ángeles son las siguientes: 

• – En realidad existen dos contratos, uno con Google y otro con Computer Sciences Corporation (CSC) para implementar, migrar e implementar el software de Google como servicio (SaaS) de correo electrónico y colaboración del sistema. 
• – Google se compromete a cumplir con las leyes federales relativas al aviso previo en caso de fallo o violación de la seguridad. En el caso de que se produjera una de estas situaciones, Google podría decir que es un proveedor de servicios (en lugar de un licenciatario o el titular de los datos personales) y que, por tanto, su única obligación es avisar al Ayuntamiento de Los Ángeles que se ha producido un fallo de seguridad, siendo el Ayuntamiento el que debe posteriormente dar aviso a las personas afectadas. 
• – En este sentido, Google deberá notificar al Ayuntamiento de Los Ángeles el fallo de seguridad tras su descubrimiento, sin causar demoras innecesarias y después de tomar las medidas necesarias para determinar el alcance de la infracción y restaurar la integridad del sistema. Esta clausula ofrece una gran flexibilidad para que Google pueda notificar al Ayuntamiento con retraso  la violación de la seguridad diciendo, por ejemplo, que ha estado adoptando las medidas necesarias para determinar el alcance de la violación. Dado que las obligaciones de respuesta a incidentes pueden ser cruciales para mitigar los daños causados por un fallo de seguridad que afecten a los datos del Ayuntamiento, lo más lógico sería imponer un período de tiempo determinado para notificar la violación o el fallo de seguridad. 
• – En el Contrato se requiere al Ayuntamiento de Los Ángeles para que cumpla con las regulaciones aplicables de privacidad, pero no se requiere a Google en el mismo sentido y eso que es Google la parte que realmente realiza el almacenamiento y procesamiento de los datos personales. En este sentido, Google adopta la posición de que es responsabilidad del Ayuntamiento de Los Ángeles, como propietario de los datos, el que debe asegurarse que Google cumpla con las leyes aplicables al titular de los datos. Si Google pretende dar un servicio al Ayuntamiento de Los Ángeles sabiendo que es el titular de los datos personales no es razonable que Google no se obligue al cumplimiento de la normativa de privacidad aplicable. 
• – El objeto del Contrato es bastante ambiguo. El Contrato no es muy claro en el sentido de si el propósito del mismo es establecer unas medidas de protección que proporcionen los recursos necesarios para el supuesto de que haya un fallo o violación de la seguridad que permita la recuperación potencial de los datos después de que suceda la incidencia, o si es el objeto del contrato es prevenir a priori una violación de la seguridad de la información. La diferencia es sustancial. 
• – Según el Contrato, el Ayuntamiento de Los Ángeles no tiene derecho a realizar una auditoría del programa de seguridad de Google, no exigiendo que Google deba poner en práctica todos los controles que sean necesarios para hacer frente a los problemas de seguridad.  Se señala que si el Ayuntamiento detectara deficiencias que fueran una seria amenaza para sus recursos podría rescindir el Contrato por incumplimiento del mismo, pero al no poder auditar la seguridad, en la práctica, no tiene un derecho explícito a rescindir el contrato. 
• – El Contrato recoge el reconocimiento por el Ayuntamiento que los controles implementados por Google en el momento de la ejecución del contrato se ajustan a los “estándares de la industria.” Ello permitiría reducir la indemnización a la que Google debería hacer frente si no implementa y mantiene una seguridad razonable durante toda la vigencia del contrato. 
• – No hay ninguna clausula en el Contrato que obligue a Google a cifrar los datos del Ayuntamiento de Los Ángeles. 
• – Google se compromete a no revelar información confidencial de una manera muy peculiar: se compromete a proteger la información confidencial del Ayuntamiento de Los Ángeles con el mismo nivel de cuidado que utiliza para proteger su propia información confidencial, pero en ningún caso menos de un cuidado razonable.”