INAI crea guía para servicios de cómputo en la nube

La guía breve para los sujetos obligados para la contratación de los servicios de cómputo en la nube que impliquen el tratamiento de datos personales busca apoyar a las instituciones públicas a identificar qué servicios de nube son seguros para su contratación

Luis Méndez Zaldívar

A través de una conferencia en Facebook, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) dio a conocer una guía con la cual ayudará a los usuarios a elegir un proveedor de servicios de cómputo de nube, aportando recomendaciones y buenas prácticas a instituciones y empresas que contraten el servicio.

La guía se elaboró para identificar que los servicios sean seguros y “establecer consideraciones mínimas que orienten a los responsables del tratamiento de datos personales en la selección y contratación de proveedores (…) que ofrezcan garantías de un debido tratamiento de datos personales,” se lee en el documento.

Esta guía busca informar qué responsabilidades debe adquirir la institución al contratar el servicio de la nube y las implicaciones que tiene esta labor, así como criterios mínimos  cuando se hace la contratación o adhesión, también otorga sugerencias para controlar la prestación del servicio así como asegurar que el proveedor cuenta con todas las medidas de seguridad. 

La comisionada presidenta del INAI, Blanca Lilia Ibarra, menciona la importancia del estudio al respecto del Banco Interamericano de Desarrollo: que los proveedores de computación en la nube tienen una enorme relevancia en la actualidad debido a la práctica de gobiernos líderes para la transformación digital y compras públicas porque permiten agilizar, innovar y mejorar los servicios a sus ciudadanos.

También te puede interesar: Toma precauciones cuando compres en línea: INAI 

Posteriormente la comisionada del INAI, Josefina Ramón Vergara, resalta la importancia de los servicios de nube por encima de la inteligencia artificial, ya que éstos almacenan los datos personales de los ciudadanos según el reporte sobre expectativas en el mercado de los servicios de telecomunicación en México publicado el 1 de julio de este año por el Instituto Federal de Telecomunicaciones.

¿Qué señalo Josefina Ramón?

“Este servicio cuenta con un alto grado de importancia, como innovación tecnológica, e incluso está por encima de la inteligencia artificial o el Internet de las Cosas”, agregó. 

La guía sugiere consultar las normas  ISO 270001ISO 27017 y ISO 27018 como lo hace el INE, así lo confirmó Jorge Torres, el coordinador general de la Unidad Técnica de Servicios de Informática del Instituto Nacional Electoral (INE), quien dijo que antes de hacer una contratación con algún servicio de nube es importante que estén auditados por terceros, que se verifique que el proveedor cumple con diversas medidas.

¿Qué es ISOTools?  

ISOTools Excellence es un software para administrar sistemas de gestión y modelos de excelencia conformado por un conjunto de diferentes módulos, dando lugar así a un software flexible, escalable y adaptable a las diferentes particularidades y necesidades de cada organización, con independencia del tamaño o sector en el que cada una se encuadre. 

También te puede interesar: INE investiga filtración de datos del padrón electoral de 2018  

Los servicios que deben ofrecer estas compañías según Jorge Torres son: 

  • Protección contra ataques. Denominación de servicio o vulneración. 
  • Control de acceso. Cómo, quiénes y cuándo acceden a la información por parte del proveedor o terceros. 
  • Cifrado de los canales de comunicación. Que la comunicación entre nube y usuarios tenga aspectos de seguridad mínimos. 
  • Continuidad de la operación. Disponibilidad de los servicios para los usuarios
  • Cifrado de información en reposo o almacenada. 
  • Monitoreo continuo de la operación. 
  • Borrado seguro. Cuando concluye el servicio entre cliente y proveedor, que se permita borrar los datos que contiene la nube.  
INE en conferencia sobre guía breve para los sujetos obligados para la contratación de los servicios en la nube.

Por su parte, Federico González Waite, director ejecutivo del Centro de Investigación e Innovación en Tecnologías de la Información y la Comunicación, refirió el artículo 63  para asegurar que sí se puede contratar servicios de nube, con la condición de que el proveedor garantice las políticas de protección de datos personales que rigen en el país. 

El T-MEC otorga la posibilidad de contratar un servicio de nube desde cualquier sitio, en tanto cumpla con la normativa en materia de protección de datos personales que sea similar a la aplicable en México, no es necesario que la compañía esté establecida en el país, por lo tanto, los datos pueden estar fuera o dentro de la nación, dijo Cindy Rayos, directora general de Comercio Internacional de Servicios e Inversión en la Secretaría de Economía.

También te puede interesar: Cuidado con ciberataques en Juegos Olímpicos de Tokio: INAI

Los invitados concluyeron que la normatividad y la innovación pueden ir de la mano, proceso que beneficiará a la protección de los datos personales; esta tecnología debe ser aprovechada para dar mayor eficiencia a los servicios que consume la ciudadanía, además de tener un marco jurídico nacional e internacional de última generación.