Microsoft y el cumplimiento del Esquema Nacional de Seguridad: Reportaje y entrevista a Santiago Núñez, responsable de la obtención de la conformidad con el ENS.

Microsoft y el cumplimiento del Esquema Nacional de Seguridad

El pasado 22 de abril de 2016 Microsoft Ibérica anunciaba que había logrado la certificación de conformidad de nivel alto con el Esquema Nacional de Seguridad para sus soluciones en la nube Office 365 y Azure, todo un hito, pues ellos han sido los primeros en conseguirlo, llamado a revolucionar la relación de las Administraciones Públicas españolas con la informática, que ahora podrán prescindir de parte importante de sus propias infraestructuras, optando por alojar sus datos y aplicativos en este tipo de servicios.

Así, se ha abierto un nuevo escenario lleno de expectativas y también no falto de interrogantes. En este reportaje y entrevista, conoceremos la estrategia de Microsoft relativa a “la nube”, las implicaciones de la obtención de esa certificación de conformidad y Santiago Núñez, principal coordinador del proyecto para conseguir este importante reconocimiento, nos responde a una batería de preguntas sobre detalles muy importantes del singular logro:

El desafío de llegar a lo más alto y mantenerse

Microsoft y el cumplimiento del Esquema Nacional de SeguridadMicrosoft lleva siendo una de las compañías más relevantes del sector informático a escala mundial desde mediados de los años 80 y fue una de las pocas empresas cuya popularidad trascendió más allá del circuito profesional gracias a productos como Windows y Office. Si bien, lejos de estar exclusivamente centrada en el mercado de consumo, desde los años 90 gran parte de su actividad está orientada al ámbito corporativo, ofreciendo servicios y productos desconocidos por el gran público, pero con un alto grado de implantación en organizaciones de todo el mundo: Windows Server, Exchange, System Config Manager, SQL Server, etc.

Durante la década pasada y la actual, tanto Microsoft como otras grandes compañías tecnológicas, han tenido que afrontar los retos que se han ido planteado como resultado de la sucesión de transformaciones derivadas de la penetración global de Internet en todos los ámbitos de la sociedad, el uso masivo de tecnología móvil, y el surgimiento de nuevos competidores que en muy poco tiempo se han posicionado en lugares de privilegio en el mercado.

Cambiar para sobrevivir, cambiar para crecer

Microsoft y el cumplimiento del Esquema Nacional de SeguridadCon el comienzo de la década del 2010, Microsoft inicio una apuesta estratégica de gran calado, orientada a transformarse a si misma, pasando de ser una empresa que creaba y vendía productos, ofreciendo ciertos servicios complementarios, a ser una empresa que a medio plazo vendería íntegramente servicios, ya fueran soluciones software o el resto de servicios complementarios que ya ofrecía (consultoría, soporte, etc.).

Así, la gran apuesta de Microsoft ha sido centrarse en la denominada “computación en la nube”: soluciones informáticas en la que toda la complejidad tecnológica está oculta para quienes las usan, que pagan solamente por su utilización, y cuyas infraestructuras pueden estar potencialmente en cualquier parte del mundo.

Esta transformación, que supone todo un cambio de paradigma, está siendo gradual, tanto por las inercias de la propia compañía, como por la necesaria adaptación por parte de los clientes, que tienen que convencerse de la viabilidad, las ventajas y la fiabilidad de este planteamiento.

Las dos puntas de lanza de esta estrategia de Microsoft son dos servicios: Office 365 (un solución ofimática integral, que incluye almacenamiento, herramientas de colaboración y comunicación, además de todos los componentes tradicionales de Office) y Azure (infraestructuras informáticas ofrecidas como servicio, que van desde el alojamiento de aplicaciones o datos, al de máquinas virtuales).

Las Administraciones Públicas, clientes preferentes en España y en todo el mundo

Microsoft y el cumplimiento del Esquema Nacional de SeguridadPara Microsoft el sector público supone uno de sus principales nichos de clientes y le presta especial atención en todo el mundo, lo que tradicionalmente le ha supuesto tener que hacer adaptaciones en sus productos y servicios para cumplir con la legislación de cada ámbito político o país, como es el caso de la Unión Europea, y concretamente de España.

En nuestro país, que su estrategia de orientación hacia “la nube” pueda tener éxito dentro de las Administraciones Públicas, le ha exigido el cumplimiento de dos legislaciones fundamentales: la Ley Orgánica de Protección de Datos (15/1999, de 13 de diciembre) y el Esquema Nacional de Seguridad (Real Decreto 3/2010, de 8 de enero).

En el primer caso Microsoft consiguió el reconocimiento de cumplimiento por parte de la Agencia de Protección de Datos Española en junio de 2014, para sus servicios Office 365, Azure y Dynamics CRM Online.

Pero el segundo se antojaba un reto más complicado. El Centro Criptológico Nacional, principal garante del cumplimiento del Esquema Nacional de Seguridad, elaboró la guía “CCN-STIC-823: Utilización de servicios en la nube”, en la que describía los requisitos para que un proveedor de servicios “en la nube” para las Administraciones Públicas cumpliera con el Esquema Nacional de Seguridad. Esta guía fijaba unas muy altas exigencias, acordes con la importancia de lo que supone que una entidad pública pueda prescindir de tener infraestructuras propias, para alojar información vital o confiar servicios esenciales para su funcionamiento diario en un actor externo, operando con mucha probabilidad desde el extranjero.

Microsoft logró el certificado de conformidad con el ENS

Microsoft y el cumplimiento del Esquema Nacional de SeguridadEl 22 de abril del presente año 2016 Microsoft Ibérica difundía un comunicado de prensa en el que informaba que había conseguido, tras un año de ímprobos esfuerzos, la certificación de conformidad con el nivel alto del Esquema Nacional de Seguridad para sus servicios Office 365 y Azure. Todo un hito, al ser el primer proveedor en la nube en conseguir tal reconocimiento.

La importancia de haber conseguido esta certificación de conformidad es altísima, no ya para la propia compañía, sino para las Administraciones Públicas españolas, para las que se ha abierto un horizonte de posibilidades antes impensables: algunas de ellas podrían optar por eliminar gran parte de sus infraestructuras propias, incluidos los costosos “centro de procesos de datos”, para alojar todas sus aplicaciones, documentación y datos en estos servicios ofrecidos por Microsoft (o por otros proveedores que consigan la certificación de conformidad próximamente). Además, para muchas Administraciones Públicas de mediano y pequeño tamaño, puede ser la única opción viable de cumplir con los requisitos en materia de seguridad que fija el Esquema Nacional de Seguridad.

Por otra parte, las Administraciones que opten por este tipo de soluciones, estarán cediendo el control directo sobre sus datos y aplicativos,  deberán realizar un excepcional esfuerzo de supervisión de este tipo de contratos, se enfrentarán a necesarios procesos de adaptación de gran parte de su personal informático cuyas funciones actuales dejarán de ser necesarias y deberán replantearse sus esquema de subcontrataciones vigentes, con lo que los tejidos empresariales de sus respectivas zonas geográficas cercanas pueden verse afectados.

Ventajas y desventajas, oportunidades y retos. Este nuevo escenario que se abre supone un desafío al que más pronto que tarde deberán enfrentarse todas ellas, para tomar decisiones que pueden condicionar su futuro, y no sólo tecnológico, para los siguientes 10, 15 o 20 años.

Entrevistamos a Santiago Nuñez, coordinador de los trabajos para la obtención de la certificación de conformidad con el ENS

Santiago Nuñez - Microsoft y el cumplimiento del Esquema Nacional de SeguridadPara conocer todos los entresijos de este logro de Microsoft, que ha requerido un gran esfuerzo interno y una intensa labor de comunicación y entendimiento con el Centro Criptológico Nacional, nos hemos puesto en contacto con Microsoft Ibérica, y en concreto con Santiago Nuñez, quien ha sido el encargado de coordinar el proyecto para conseguir la certificación de conformidad con el ENS.

Santiago Nuñez es Licenciado en Informática por la Universidad Politécnica de Madrid, cuenta con 18 años de experiencia profesional y lleva trabajando en Microsoft desde el año 2000, donde ha desempeñado diversos puestos hasta que en 2007 comenzó a ocupar su cargo actual: “Arquitecto Empresarial” especializado en seguridad de la división de Servicios de Microsoft en España. En ese cargo su labor diaria está orientada a apoyar a los clientes en sus procesos de transformación digital, definiendo e implementando las estrategias empresariales asociadas, tareas en las que trabaja en colaboración con diverso personal de la compañía, si bien él está especialmente centrado en todo lo relacionado con la seguridad.

 

Santiago Nuñez ha sido el encargado de supervisar y armonizar las actividades del personal de diversas áreas de Microsoft, tanto en nuestro país y como en departamentos de la compañía situados en el extranjero, para que el objetivo de la certificación de conformidad fuera posible:

Conseguir la conformidad con el ENS, tanto para Azure como para Office 365 y además para categoría ALTA, debe haber supuesto un importante esfuerzo. ¿Qué importancia estratégica tiene para los objetivos de negocio de Microsoft en España posicionar sus servicios en la nube en un buen lugar frente al sector público?

En Microsoft sabemos que la confianza es un pilar básico para nuestros servicios en la nube. En general los usuarios, tanto en el sector público como en el privado sólo utilizan tecnología en la que pueden confiar y eso lo convierte un elemento estratégico para Microsoft. La seguridad en la nube como la entendemos es el pilar principal en la transformación digital del sector público, por ello en Microsoft adoptamos medidas por encima de la media de la industria, esto nos permite dar cumplimiento a estándares tan exigentes como el Esquena Nacional de Seguridad español.

Por otro lado, somos conscientes de la importancia que tiene para el sector público y para la industria en general la implementación y cumplimiento de las medidas de seguridad contempladas en el ENS, ya que claramente incentivará a la industria a brindar servicios más robustos y seguros en beneficio de la sociedad española. España es un mercado estratégico para Microsoft y continuaremos apoyando a las administraciones públicas en su transformación digital hacia servicios en la nube seguros.

La guía CCN STIC 823 ha experimentado una evolución muy llamativa en sus distintas versiones. Frente a evoluciones suaves, con pequeños cambios que se introducen en otras, en este caso ha habido replanteamientos totales. ¿Influyó en esa evolución los mensajes que los grandes proveedores de servicios en la nube trasladabais al CCN?

Microsoft y el cumplimiento del Esquema Nacional de SeguridadPor la evolución que ha seguido la guía, creemos que es así. Las administraciones competentes en esta materia siempre están dispuestas a recibir comentarios y son organismos que, a pesar de estar centrados en la administración pública, mantienen un canal de escucha activa con el sector privado. Determinados entornos de nube estaban fuera del alcance de las versiones originales de la guía CCN STIC 823, lo que dificultaba a las administraciones públicas sacar todas las ventajas económicas, eficiencias y capacidades de estos servicios.

Hay que decir que los encargados de definir esta normativa han escuchado los comentarios de la industria y han ido incorporando los que consideraban adecuados en las diferentes versiones, facilitando una mayor oferta de servicios en las condiciones de seguridad y competitividad exigidas por el sector público.

Os ha llevado prácticamente un año conseguir los certificados de conformidad. ¿Qué equipo de trabajo formasteis para afrontar este reto? ¿Fue un equipo multidisciplinar? ¿Qué perfiles profesionales participaron?

Efectivamente, nos ha llevado casi un año completar el proceso, y el éxito se ha apoyado en el trabajo de mucha gente, organizada en un equipo principal y un equipo extendido.

El equipo principal ha estado liderado por Héctor Sánchez Montenegro (nuestro NTO – National Technology Officer) que es una persona de sobrado prestigio tanto en la industria como en Microsoft. Él ha sido el impulsor de esta iniciativa. El equipo principal lo hemos formado tres personas en la subsidiaria española y otras cuatro en Microsoft Corporación. Hemos contado con Gabriel López Serrano que es abogado y Director de Asuntos Regulatorios para la subsidiaria, cuyo conocimiento sobre legislación europea (y española) y en particular sobre LOPD ha sido fundamental. También hemos contado con los responsables de cumplimento normativo de Office 365 (Patricia Anderson y Brice Keown) y de Azure (Yen-Ming Chen y Amy Cline), puntos de enlace con los servicios en la nube y responsables de todas las certificaciones de seguridad (ISO, FedRamp, …). Y en ese equipo yo he aportado mi perfil de consultoría y gestión de proyectos, necesarios para ir dando respuesta a las solicitudes de los auditores. Pero dónde realmente se aprecia un equipo multidisciplinar es en el equipo extendido, no quiero nombrarlos a todos, pero en el proceso han participado cerca de 20 personas cubriendo todas las áreas de la compañía. Ha participado personal de recursos humanos, de nuestro departamento interno de IT, personal de operaciones, distintos especialistas técnicos y por supuesto personal de nuestros centros de datos.

La guía CCN STIC 823 cuando describe los requisitos de los tres niveles posibles de comunidades (BAJA, MEDIA o ALTA), define unos importantes requisitos de aislamiento:

  1. COMUNIDAD BAJA: “La  red  dedicada  a  usuarios  ENS  es  una  red  físicamente  diferenciada  de  otras  redes  que pueda tener el proveedor.”.
  2. COMUNIDAD MEDIA: “No se compartirá el mismo hipervisor con otras comunidades”.
  3. COMUNIDAD ALTA:  “La  red  administrativa  estará  separada  lógica  (red  privada  virtual)  o  físicamente  (red específica) de la red administrativa de otras comunidades”.

¿Cumplir con estos requisitos supuso introducir modificaciones importantes en la arquitectura de los distintos sistemas que componían las infraestructuras de los servicios cloud Azure y Office 365 en esos momentos?

Microsoft y el cumplimiento del Esquema Nacional de SeguridadPersonalmente, creo que uno de los aspectos más interesantes del proceso de acreditación es que permite conocer en detalle el diseño de los servicios y cómo se implementan las diferentes protecciones. En concreto, hay un concepto que se maneja dentro de la arquitectura de los servicios cloud Azure y Office 365 que se llama “tenant isolation” (que podríamos traducir como aislamiento de suscritores o clientes).

Bajo este principio se desglosan los mecanismos que protegen y aíslan la información y el servicio de cada cliente.

En el caso de servicios de hiperescala como son Azure y Office 365 estos mecanismos de aislamiento se basan en diferentes medidas de seguridad que garantizan un aislamiento tanto del proveedor como de los subscriptores. Por ejemplo, las redes se aíslan y gestionan mediante software usando SDN (Software Defined Networks), de manera que cada subscriptor tiene su entorno de red aislado. Dentro del proceso de acreditación, hemos tenido que proporcionar las evidencias detalladas de los mecanismos de aislamiento proporcionados en el sistema y de la seguridad de los mismos.

Dado que uno de los atractivos de los servicios en la nube es la reducción de costes, al aprovechar la potencia de las infraestructuras entre distintos clientes. ¿Cómo ha influido en inversiones, rentabilidad y precio final para los clientes el cumplir con los requisitos que acabamos de mencionar?

Este es un aspecto muy interesante. Los servicios en la nube son un gran mecanismo democratizador de las tecnologías de la información. Y creemos que tener esta acreditación puede reducir los costes de las administraciones para cumplir con el ENS. Si un cliente quiere cumplir con todas las medidas de seguridad del ENS en un entorno on-premises (en su propio CPD) tiene una ardua tarea y tendrá que abordar una serie de costes e inversiones para cumplir las diferentes medidas. Si decide poner el sistema en un entorno cloud acreditado, esos costes no desaparecen al 100%, pero sí existirán áreas dónde al ser responsabilidad del proveedor (Microsoft) la inversión y los costes serán menores. Un aspecto dónde esto es especialmente claro es en las medidas de protección de la infraestructura (mp.if): áreas separadas y con control de acceso, identificación de las personas, acondicionamiento de los locales, energía eléctrica, protección frente a incendios, protección frente a inundaciones, registro de entrada y salida de equipamiento e instalaciones alternativas. En el caso de los servicios de Azure y de Office 365, Microsoft facilita el cumplimiento de esas medidas y mediante el certificado de conformidad, facilitamos el cumplimiento por parte de los clientes sin que tengan que invertir en adaptar sus infraestructuras.

Uno de los aspectos más delicados de la contratación de servicios en la nube es lo referido a los subcontratistas del proveedor. ¿Microsoft trabaja con subcontratistas o toda la gestión de sus infraestructuras para ofrecer Office 365 y Azure lo hace con personal propio? De utilizar subcontratistas… ¿Ha sido uno de los aspectos más complejos para conseguir la conformidad?

Microsoft y el cumplimiento del Esquema Nacional de SeguridadGran parte de la gestión la realiza personal de Microsoft, pero como cualquier otra empresa trabajamos con subcontratistas contratados cumpliendo los estándares de calidad más altos y las condiciones normativas exigidas tanto por las autoridades europeas como españolas. Vale la pena mencionar que Microsoft fue pionera en España en recibir la primera autorización de la Agencia Española de Protección de Datos respecto de la utilización de las cláusulas tipo de la Unión Europea. En ese sentido, no ha sido especialmente complejo, porque es un aspecto que ya se tenía que cumplir por otras normativas como es la LOPD. Adicionalmente nuestros clientes tienen acceso a la información de los subcontratistas con los que trabajamos y cuando se produce un cambio en los mismos son notificados. Nuestros subcontratistas están obligados a seguir los mismos procedimientos de seguridad que el personal de Microsoft por lo que estas obligaciones se recogen en los contratos y además se realizan las correspondientes acciones de formación, monitorización, etc.

Otro aspecto muy importante a tener en cuenta es lo referido a la devolución y portabilidad de los datos del cliente. En el caso de Office 365 se trataría fundamentalmente de archivos o información ofimática. Pero con Azure es algo mucho más diverso y complejo, al ofrecer servicios de alojamiento de bases de datos, de aplicaciones web y móviles y también de máquinas virtuales. ¿Cómo aborda todo esto Microsoft para garantizar que si un cliente decide cambiar de proveedor, o regresar a sus propias infraestructuras lo que tiene alojado en las vuestras, el proceso de haga con pleno éxito y sin ninguna pérdida? ¿Tenéis estimaciones del tiempo que puede llevar hacer uno de estos procesos?

Uno de los principios de los servicios en la nube de Microsoft es que los datos son de los clientes y que los clientes tienen el control total de sus datos. Eso implica que los clientes pueden extraer sus datos del servicio (y lo pueden hacer de manera autónoma), sin necesidad de comunicar o requerir asistencia por parte de Microsoft. Además, al término del contrato y para facilitar esta portabilidad se mantienen los datos sin coste para el cliente durante 90 días.

Tal y como comentas, dependiendo del servicio la extracción de los datos puede requerir pasos adicionales por parte del cliente, pero que en el caso de nuestros servicios en Azure resulta especialmente sencillo, ya que nuestras herramientas están pensadas para entornos híbridos permitiendo el movimiento del entorno cloud al entorno on-premises y viceversa. Por ejemplo, se pueden mover máquinas virtuales entre Azure y On-Premises (en ambos sentidos) usando herramientas como System Center. Esto mismo sucede con los datos en bases de datos de Azure.

La guía CCN STIC 823  dedica uno de sus apartados a tratar los “condicionantes geográficos”: que el cliente pueda decidir el país o la comunidad de países donde residirán sus datos. ¿Cómo responde Microsoft a esto dentro del ámbito de los clientes que están vinculados al cumplimiento del ENS? ¿Las administraciones públicas cliente podrán elegir la zona geográfica tanto para los datos como para las infraestructuras que tenga contratadas con Microsoft?

Microsoft y el cumplimiento del Esquema Nacional de SeguridadSí. Todos nuestros clientes pueden elegir la localización de sus datos. Nuestros clientes cuando dan de alta los servicios pueden decidir en qué región quieren ubicar sus datos. Además, en algunos casos, también pueden tener réplicas de los datos en otra localización para una disponibilidad o protección adicional. En concreto, dentro de la Unión Europea tenemos dos regiones (Norte de Europa que corresponde a Irlanda y Oeste de Europa que corresponde a Holanda). Estas dos regiones forman lo que llamamos una geografía. Esto permite a nuestros clientes configurar servicios que repliquen los datos en almacenamiento redundante en la geografía. Eso sí, Microsoft no replicará esos datos fuera de la geografía.

El Esquema Nacional de Seguridad, desde su reciente modificación el otoño pasado, tienen unos requisitos muy altos en lo relativo a registro de la actividad. Por su parte la LOPD también tiene exigencias en este aspecto. ¿Supone un consumo adicional de recursos especialmente relevante para vuestras infraestructuras cumplir con estos requisitos?

Este sí ha sido un tema más complejo a la hora de conseguir la acreditación. Básicamente lo que se ha perseguido aquí es que el cliente tuviese a su disposición la capacidad de habilitar el registro de actividades. A partir de ahí, estos registros se pueden llevar a un entorno on-premises o mantener en la nube. Esto sí supone un consumo adicional de recursos y unas configuraciones específicas de los servicios. En el modelo de pago por uso de los servicios cloud, los registros de actividades pueden incrementar los consumos por parte de los clientes, pero seguramente de una manera similar o menor que en el caso de registrar actividades en un entorno on-premises.

Seguramente, para los clientes, el entorno cloud permite establece de una manera más sencilla el registro de actividades y poder hacer un seguimiento de las mismas más eficiente.

La guía CCN STIC 823  también trata en varios apartados la necesidad de realizar auditorías: auditorías sobre la correcta gestión del registro y tratamiento de los registros de actividad, o en general, plantea una  serie de auditorías recomendables, que además son obligatorias para el nivel de servicio llamado COMUNIDAD ALTA. Dado que la lectura de la guía parece sugerir que cualquier administración pública podría exigiros esas auditorías, con lo que potencialmente podríais tener a un “batallón” de auditores revisando las mismas medidas y obligaciones una y otra vez. ¿Cómo habéis planteado afrontar estas auditorías? ¿Fue un aspecto a debatir y a acordar con el CCN?

Microsoft y el cumplimiento del Esquema Nacional de SeguridadRealmente nuestros entornos cloud ya tienen un “batallón” de auditores revisando medidas. Hay que tener en cuenta que los servicios tienen certificaciones internaciones, de industria o concretas de cada país. Y además estas certificaciones normalmente requieren renovaciones periódicas, con lo que existe un calendario bastante saturado de trabajos de auditores en los centros de datos.

Ponemos a disposición de nuestros clientes los resultados de estas auditorías realizadas por un auditor independiente. En el caso de ser usuario del servicio además del certificado de conformidad se tiene acceso al informe de auditoría realizado por BDO (la auditora encargada del mismo).

Por otra parte, estas auditorías reflejan la operación de los centros de datos, y los clientes son los responsables de la gestión de los registros de actividades de su entorno y de proporcionar la información y las evidencias necesarias para las auditorias asociadas.

La continuidad es una de las dimensiones de seguridad que las soluciones en la nube tienen más a su favor, al ofrecer redundancias en ámbitos geográficos distantes. Pero el escenario del nuevo terrorismo internacional y de países que utilizan armas cibernéticas para favorecer sus intereses, hacen que surja el riesgo de que un ataque a un gran proveedor de servicios en la nube pueda suponer un daño devastador para todos sus clientes. ¿Qué garantías ofrece Microsoft ante este tipo de escenarios?

Microsoft implanta diferentes medidas de protección para protegerse y proteger a sus clientes de diferentes tipos de ataques. Tal y cómo comentas, uno de los riesgos más importantes a mitigar es el de los ataques cibernéticos, para mejorar las medidas de protección, en Microsoft se ha implantado un modelo de operaciones que asume que hay brechas en los sistemas. Para ello existen dos equipos de operadores: Red Team / Blue Team. Un equipo encargado de atacar las infraestructuras (Red Team) y otro encargado de detectar los ataques, proteger la infraestructura y responder a estos ataques (Blue Team). Este modelo de operación permite a Microsoft detectar vulnerabilidades y estar preparado para responder a ataques en cualquier momento.

La Comunidad Europea está a punto de aprobar un nuevo reglamento sobre protección de datos de carácter personal. ¿Su contenido tendrá impacto relevante en vuestros servicios ”cloud“ y os obligará a alguna nueva adaptación?

Microsoft y el cumplimiento del Esquema Nacional de SeguridadEn esta área mis compañeros Héctor Sánchez Montenegro y Gabriel López te podrían contestar mejor, ya que tienen un conocimiento muy profundo del nuevo reglamento y de sus implicaciones.

En Microsoft la privacidad ha sido una de las prioridades a la hora de proporcionar servicios en la nube, y el objetivo ha sido y es proporcionar servicios que cumplen con los principios de privacidad por diseño y privacidad por defecto. Y la normativa europea siempre ha sido el referente de la normativa más completa en temas de privacidad y ha ido marcando las evoluciones de nuestros servicios.  Para Microsoft el derecho a la privacidad es un derecho humano fundamental, por ello tiene como prioridad el cumplimiento de legislación en materia de privacidad y protección de datos. En ese sentido el cumplimiento del nuevo Reglamento de Privacidad no será la excepción, ya que actualmente estamos trabajando con la industria y las autoridades competentes para concretar aquellas normas que por su propio diseño y naturaleza requieren desarrollo normativo.

Un elemento que suele generar muchas reticencias a la hora de contratar servicios en la nube con empresas de origen norteamericano es la denominada “Ley Patriota”, y la obligación que incluye de que las empresas de ese país entreguen bajo determinadas circunstancias datos de personas y empresas que estén almacenadas en sus servidores y eso se haga, además, sin informar a los sujetos investigados. ¿Qué garantías tendrán las administraciones públicas españolas que su información no se entregará al gobierno de los Estados Unidos?

Los compromisos que Microsoft adquiere con sus clientes no sólo están respaldados por las inversiones que realizamos en materia de seguridad y por nuestros compromisos contractuales, sino también por todos nuestros recursos legales. Microsoft es de las empresas líderes en transparencia, por eso dos veces al año reportamos en nuestro portal de transparencia todas aquellas solicitudes de información que recibimos, no sólo por parte de las instituciones de EEUU, también de cualquier autoridad del mundo. Cuando consideramos que las solicitudes de información no se ajustan a la normativa aplicable en las jurisdicciones donde ofrecemos nuestros servicios, hemos tomado todas las medidas legales para defender los derechos de nuestros clientes. Por ello hemos demandado en varias ocasiones al gobierno de los EEUU logrando encauzar las solicitudes de información realizadas por dichas autoridades. Por otro lado, como hemos comentado, nuestros servicios otorgan a los clientes la posibilidad de definir la región en la que deseen almacenar sus datos para dar certeza y confianza a nuestros usuarios.

El tamaño de las administraciones públicas es muy diverso. Y su capacidad para afrontar las obligaciones que establece el Esquema Nacional de Seguridad es muy dispar, resultando en la práctica muy complicado que las de pequeño tamaño las puedan poner en marcha. ¿Microsoft tiene una estrategia de captación de cliente entre las administraciones públicas españolas que tiene esto en cuenta? ¿Ves más probable conseguir clientes entre las de pequeño o medio tamaño que entre las grandes?

Microsoft y el cumplimiento del Esquema Nacional de SeguridadEs una pregunta muy relevante, en nuestra opinión no hay distinción entre pequeños, medianos o grandes clientes en materia de requisitos de seguridad; y las inversiones necesarias para proteger los activos de los usuarios y dar cumplimiento a la normativa aplicable crece de manera exponencial a medida que los riesgos y ataques de seguridad siguen sofisticándose. Una de las principales ventajas de los servicios en la nube es el gran efecto que pueden tener en los clientes de tamaño pequeño o mediano. Estos clientes pueden disponer de tecnología de última generación disponible a costes asequibles sin tener que realizar grandes inversiones. Las fuertes inversiones y los recursos necesarios para implementar ciertas medidas de seguridad provocan que en muchos casos no sean accesibles a clientes de tamaño pequeño o medio y son un inhibidor de su implantación. Los servicios en la nube ponen estos servicios de seguridad a disposición de los clientes, independientemente de su tamaño. Microsoft quiere que nuestros servicios en la nube Azure y Office 365 sean una herramienta que permita a los clientes cumplir con el ENS de una manera más fácil y asequible. Esto va a ser un facilitador muy importante especialmente para los de pequeño o medio tamaño.

Los expertos en tendencias económicas auguran una cercana “tormenta perfecta” que provocará una catarsis en el ámbito laboral, con muchos tipos de empleos tradicionales que desaparecerán, tasas de paro muy altas, y el surgimiento de otros nuevos tras un periodo de doloroso ajuste. En el campo de la informática la progresiva implantación de los servicios en la nube hará que muchos empleos de administradores de sistemas, operadores de centros de procesos de datos, diseñadores de pequeñas infraestructuras, etc., dejen de ser necesarios. ¿Las nuevas posibilidades que abren entornos “cloud” como Azure generan oportunidades de empleo en cantidad suficiente que compensen las pérdidas en los “oficios informáticos” tradicionales? ¿Conoces si hay estudios al respecto?

Microsoft y el cumplimiento del Esquema Nacional de SeguridadEl futuro del entorno laboral presenta en mi opinión grandes oportunidades. No soy un experto en el tema, pero trabajar en Microsoft me permite ver la evolución de las tecnologías y ser consciente de que estamos en el comienzo de una nueva ola de disrupciones tecnológicas (inteligencia artificial, computación cuántica, ubicuidad…). Desde luego, tenemos que adaptarnos al cambio y prepararnos para nuevos trabajos, y este cambio tiene que realizarse de manera activa, no esperando a que un tercero nos cambie. En este plural, incluyo a todos los profesionales del sector, pero también a la sociedad. Desde el punto de vista individual, no hay mejor momento para que los profesionales de IT crezcan sobre sus puestos de trabajo y evolucionen en su carrera. La función a la que están llamados ahora a adoptar es muy diferente a la que tenían hace no 10, no 5 sino 3 años; ahora los profesionales de IT tendrán una función estratégica en las empresas tanto públicas o privadas. La pregunta que creo que nos debemos hacer es si estamos utilizando todo el potencial que la tecnología nos da ahora, si nos estamos capacitando constantemente con toda la información a la que tenemos acceso. Estamos como mencioné en un momento clave, donde como en cualquier otra industria y en cualquier otro momento histórico, aquellos profesionales que deciden mantenerse actualizados y evolucionar en sus empleos tendrán más oportunidades de desarrollo. Es muy importante la participación de las instituciones educativas en identificar las carreras que se requerirán en el futuro para dotarnos de los conocimientos necesarios para realizarnos profesionalmente.

¿Cuál ha sido la parte más complicada del proceso seguido para conseguir las certificaciones de conformidad con el Esquema Nacional de Seguridad?

Las partes más complicadas para conseguir las certificaciones de conformidad han tenido que ver con el amplio espectro de servicios que ofrecemos en Azure y Office 365. En cada medida se ha tenido que trabajar en el cumplimiento de la misma en todos los servicios y con funcionalidades y necesidades diferentes como por ejemplo el correo electrónico en Office 365, máquinas virtuales en Azure, colaboración con OneDrive for Business o gestión de identidades con Azure AD.

¿Cómo valoras la existencia en España de una legislación como el Esquema Nacional de Seguridad, la LOPD y la ley de Protección de Infraestructuras Críticas?

Microsoft y el cumplimiento del Esquema Nacional de SeguridadEl desarrollo normativo en España es muy avanzado y en algunos casos es una referencia internacional. En general, creo que podemos estar satisfechos con el trabajo que se está realizando en nuestro país para adecuar la legislación a las nuevas tecnologías, en particular en la legislación en seguridad y privacidad.

¿Cómo crees que evolucionará el escenario internacional de ciberamenzas en los próximos años?

Las ciberamenazas van a formar parte de nuestro entorno y tenemos que ser conscientes de ellas y aplicar una gestión de riesgos de seguridad adecuada, aplicando medidas diferentes para cada uno de los diferentes tipos de amenazas.

Por ejemplo, para enfrentarnos al cibercrimen tenemos que trabajar para romper el modelo de negocio que tienen los cibercriminales haciendo que a la larga no salga rentable. Por otra parte, los cibersabotajes no suelen tener una motivación económica por lo que será necesario dotar de resiliencia a nuestra infraestructura para hacer frente a este tipo de amenazas.

¿Crees que existe la suficiente conciencia en las administraciones públicas sobre la situación y sobre la importancia de realizar una buena gestión del riesgo antes ciberamenazas?

Microsoft y el cumplimiento del Esquema Nacional de SeguridadPor una parte, en la administración pública existe una conciencia de la importancia de las ciberamenazas, y se están creando los mecanismos para luchar contra ellas (todos conocemos algunos organismos haciendo un buen trabajo en esta área, por ejemplo: INCIBE, DSN, CNPIC, CCN, MCCD, Guardia Civil, Policía Nacional). Pero, por otra parte, a veces se nos olvidan los elementos básicos, y esto sucede en todos los niveles de la administración pública. Por ejemplo, muchas administraciones mantienen equipos con Windows XP, un sistema creado en el 2001 y que no tiene las medidas de protección necesarias para el entorno actual, en muchos casos sin soporte y sin actualizaciones de seguridad. Desde el punto de vista de gestión de riesgos de seguridad, disponer de sistemas actualizados es todavía una asignatura pendiente.

¿Te gustaría añadir algo más para nuestros lectores?

Me gustaría poner en valor la seguridad de los servicios en la nube. Como siempre, pero ahora con mayor razón, el sector público español puede sentirse seguro de que con Microsoft tendrá acceso a servicios confiables y que cumplen con las garantías de seguridad y privacidad.

Más información:

Comunicado de prensa sobre la certificación de conformidad con el ENS de Office 365 y Azure
Comunicado de prensa sobre el reconocimiento de la Agencia Española de Protección de Datos respecto a Office 365, Azure y Dynamic CRM Online
Guía CCN-STIC-809 del CCN/Cert «Declaración de conformidad del Esquema Nacional de Seguridad»
Guía CCN-STIC-823 del CCN/Cert «Utilización de servicios en la nube»
Esquema Nacional de Seguridad (Real Decreto 3/2010)
Ley Orgánica de Protección de Datos de Carácter Personal (15/1999)

Imágenes por cortesía de Microsoft Ibérica.
Desde CantabriaTIC queremos expresar nuestro agradecimiento al personal de Microsoft que ha hecho posible esta entrevista y especialmente a Juan Diego Fuentes Martín, Service Delivery Manager del departamento Microsoft Services en España.

Post By Florián Manuel Pérez Sánchez (64 Posts)

Me apasiona la tecnología, pero también el arte y el periodismo. Tres ámbitos aparentemente dispares pero que a lo largo de mi vida se han ido entrelazando con naturalidad. Soy Ingeniero en Informática, he administrado redes y dirigido proyectos informáticos bastante diversos, también he colaborado con un montón de revistas, he hecho radio, escrito dos libros y publicado un disco (con el grupo Soul Dealers, del que fui compositor y productor musical). Actualmente trabajo en ciberseguridad y en mi tiempo libre disfruto dirigiendo La Factoría del Ritmo (la web de información musical pionera en español, que lleva en activo desde 1995: www.lafactoriadelritmo.com ), escribiendo en las revistas Rockdelux y Hip Hop Life (con una sección fija en la que analizo tecnología aplicada a la creación musical), y aprendiendo diseño gráfico y composición musical. También me encanta participar en iniciativas tan frescas como este blog.

Website: → La Factoría del Ritmo

Connect

, , ,

No comments yet.

Deja un comentario

Leave your opinion here. Please be nice. Your Email address will be kept private.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies
Translate »