Security Forum “El riesgo siempre existe. De hecho, el mismo usuario es un factor de riesgo”, manifestó Patrick Agut. Según su experiencia, los ataques más frecuentes son: • Ataques de negación de servicio. Caída de la web. Conexiones masivas de IP y consecuente bloqueo de la misma. • Acceso al servidor para generar y enviar spam. • Sustracción de datos. Estos problemas son subsanables con operaciones de actualiza- ción y mantenimiento de software si se cuenta con los servicios de una empresa proveedora de la gestión ‘cloud’. Asimismo, Alberto Ruiz indicó que “empleando información cifrada resulta imposible un uso indebido o incontrolado de la información. Se trata de un mercado todavía emergente, aunque ya existen normativas que exigen ciertos estándares de seguridad”. España, ¿un país seguro? El marco legal en cuestión de seguridad en ‘cloud computing’ varía de un país a otro, aunque se están haciendo esfuerzos en cuanto a establecer un marco de seguridad supranacional. “Vivimos en una revolución tecnológica permanente y Europa está trabajando para establecer un marco regulatorio en cuanto a privacidad. La Unión Europea ha adoptado el marco normativo del Reglamento Europeo de Protección de Datos. Con la anterior Directiva, cada país debía adaptarla a su marco legal. El español tiene un carácter más restrictivo que el de otros países”, afirmó Jorge Salgueiro. “Este Reglamento –añadió- también indica cómo proteger los datos de empresas y particulares europeos en sus relaciones privadas y comerciales con Estados Unidos. En este sentido, Europa exige a ese país que el tratamiento de datos cumpla la restricción europea. Para ello es necesario firmar un acuerdo entre Europa y Estados Unidos que hasta ahora aún no se ha producido. Nos encontramos en un escenario de incertidumbre, ya que no existe un marco jurídico para que se produzca ese acuerdo”. Rodolfo Lomáscolo expuso que “no se puede decir qué país es más seguro. Hay que trabajar con proveedores confiables y de confianza. La normativa vigente es compleja, pero se puede aplicar. Las empresas proveedores deben adecuarse a las dimensiones de sus clientes, no es lo mismo una pyme que una gran empresa. Hay que potenciar las figuras profesionales de los Data Officer, los Compliance Officer, los profesionales encargados de evaluar y redactar los riesgos internos y las amenazas externas”. Patrick Agut quiso destacar la necesidad de no contratar los servicios de proveedores teniendo solo en cuenta el precio. “Si contratamos proveedores baratos es probable que sus servicios sean poco seguros. Una de las ventajas de un buen proveedor es que nos pueda proporcionar un soporte rápido. No sólo debemos fijarnos en las leyes, sino también en calidad de los proveedores”. Por su parte, Alberto Ruiz indicó que “a pesar de que en España la ley es más restrictiva y que contamos con un marco regu- latorio europeo, hasta 2015 nuestro país se encontraba en el Top 12 de países emisores de spam. Ahora hemos salido de esa clasificación y poco a poco vamos haciendo las cosas bien. No hay mejores o peores países, sino aquellos que tienen el mejor marco normativo”. Conclusiones Antes de finalizar la mesa redonda, los participantes en la misma extrajeron varias conclusiones. Jorge Salgueiró des- tacó que “España es un país seguro, aunque seguridad es un concepto subjetivo. Nadie debe vincular su seguridad a un contrato. Debemos evaluar qué parte de nuestro patrimonio tiene más valor y, a partir de ahí, construir nuestra propia seguridad con las herramientas que nuestro proveedor ponga a nuestro servicio”. En este sentido, Rodolfo Lomáscolo coincidió en que “como en todo, la seguridad depende de lo que pide el usuario. Éste debe saber qué es lo que necesita. Cuando no existe formación, es difícil reclamar los servicios que precisamos. Hay que tener en cuenta que, aparte de procurar seguridad, los proveedores también ofrecen servicios de back-up, antivirus, etc. Los provee- dores ya ofrecen todo esto en el paquete estándar”. Patrick Agut indicó que “el mundo empresarial de nuestro país presenta un perfil de medianas empresas. Los provee- dores ofrecen cercanía al cliente, evitar la pérdida de datos, de conectividad. Las empresas no tienen por qué saber todas esas cosas, no tienen por qué emplear recursos. Hoy día, los servicios de ‘cloud’ no representan para las empresas un gran esfuerzo económico, ya que se ofrecen cuotas según necesi- dades y adaptables”. La mesa redonda finalizó señalando algunas de las claves a tener en cuenta en el futuro en cuanto a los riesgos que comporta el ‘cloud’, sobre todo, teniendo en cuenta el marco que en este aspecto va a representar el ‘internet de las cosas’. • Patrick Agut, de SW Hosting, y Alberto Ruiz, de Sophos. 70