La computación en la nube (cloud computing) consiste en la disposición de aplicaciones, plataformas o infraestructura a cargo de un proveedor que ofrece recursos informáticos, especialmente el almacenamiento de datos.
Los servicios que ofrece la computación en la nube pueden clasificarse en tres grupos:
- Software como servicio (SaaS, por el inglés software as a service) es un modelo de distribución de servicio en que tanto el software como los datos están centralizados en un único servidor externo.
- Plataforma como servicio (PaaS, por el inglés platform as a service) es un entorno de desarrollo e implantación de aplicaciones desde Internet, que incluye todas las facilidades al programador para analizar, desarrollar, testar, documentar y poner en marcha aplicaciones en un solo proceso.
- Finalmente, el tercer grupo es infraestructura como servicio (IaaS, por el inglés infraestructure as a service), modelo de servicio que ofrece infraestructura informática de forma externalizada para respaldar operaciones. Por lo general proporciona hardware, almacenamiento, servidores y espacios de centro de datos o componentes de red.
Como ejemplo, los sistemas de computación en la nube pueden almacenar copias de seguridad del correo electrónico; guardar fotografías, vídeos o archivos; desarrollar programas, y acceder a servidores virtuales. Los proveedores más conocidos son Google (Google Drive), Dropbox, OneDrive y WeTransfer.
El uso más común de la computación en la nube es almacenar información. Por medio de la Circular 1/2014, de 18 de agosto, del director general del Servicio de Salud de las Islas Baleares, se aprobó el Código de buenas prácticas del Servicio de Salud en el uso de los sistemas de información y en el tratamiento de los datos de carácter personal, en el que en el que se establecen las medidas que los usuarios deben aplicar para mantener los niveles adecuados de seguridad de la información relacionados con el almacenamiento de datos en la nube. En esta circular, concretamente en el punto 7.4.f), se especifica lo siguiente:
No está permitido transmitir o alojar información sensible, confidencial, datos de carácter personal o información protegida del Servicio de Salud en servidores externos o soluciones de almacenamiento en la nube, salvo que se disponga de la autorización previa correspondiente.
Solución corporativa del Servicio de Salud para almacenar y compartir documentación
En concreto, la solución corporativa que se ofrece en el Servicio de Salud para almacenar y compartir documentación de gran tamaño o con organismos externos es OneDrive for Business, que cumple los requisitos de seguridad establecidos.
Riesgos del almacenamiento en la nube
- Falta de transparencia: qué, quién, cómo y dónde se lleva a cabo el tratamiento de los datos proporcionados.
- Dificulta al responsable la posibilidad de evaluar los riesgos y establecer controles adecuados.
- Uso de este servicio sin el conocimiento del departamento de sistemas y sin su aprobación (Shadow IT).
- Falta de control en la compartición de los datos.
Shadow IT se refiere a los dispositivos, al software y a los servicios que están fuera del control del departamento de sistemas y no tienen la aprobación explícita de la organización. Esto ocurre cuando una persona decide usar un servicio basado en la nube sin el conocimiento de la empresa. El riesgo de usar estas aplicaciones es que no se analizan ni se supervisan, y que tampoco se establecen políticas de uso seguro dependiendo de sus características.
Por ello no es apropiado almacenar información sensible, especialmente datos de carácter personal, ya que podrían representar un gran riesgo para el Servicio de Salud.