LOPD y Dropbox

Recientemente me ha llegado al correo una petición de si podría aclarar si sería factible desde el punto de vista LOPD el utilizar el servicio de Dropbox como un sistema de almacenamiento para el backup de datos e incluso intercambio de información.  Aunque ya di respuesta, considero que puede ser un tema interesante y quiero compartirlo con todos vosotros.

Inicialmente se plantean desde este hecho dos problemas fundamentales en lo concerniente a la gestión de datos de carácter personal:

-          ¿Dónde se encuentra el servicio y cómo se aloja la información?

-          ¿El proveedor accede a la información alojada en su sistema?

En la primera de las circunstancias habría que tener presente la posible transferencia internacional de datos, y posiblemente estar sujeto a comunicación a la AEPD e incluso la necesidad de solicitar permiso en determinadas circunstancias. También hay que tener presente las posibles condiciones particulares del servicio y la posible necesidad para que el prestador deba cumplir unas obligaciones locales, permitiendo por ejemplo el acceso a la información en determinadas circunstancias.

En la segunda hay que tener en cuenta que para la prestación del servicio, el proveedor podría necesitar acceder a la información subida. Por lo tanto en este caso se convertiría en encargado de tratamiento, siendo necesario establecer el acuerdo y las condiciones legales requeridas en esta circunstancia por la Ley Orgánica 15/1999.

Para analizar la situación lo mejor es analizar los términos de servicio y visión de la seguridad que se establece con Dropbox. En algunas circunstancias se comenta con respecto al tratamiento de datos de carácter personal, que puesto que la información se transfiere y almacena de forma cifrada, se cumplen las condiciones necesarias para que no puedan ser consideradas como un fichero de datos tratable por el proveedor. Sin embargo si se analiza la política de privacidad puede extraerse la siguiente información:

“Cumplimiento de las leyes y solicitudes de aplicación de las leyes; protección de los derechos de Dropbox. Podemos divulgar a partes ajenas a Dropbox los archivos almacenados en su Dropbox e información relativa a usted que recabemos, cuando creamos de buena fe que la divulgación resulte razonablemente necesaria para (a) cumplir con una ley, reglamentación o solicitud legal obligatoria; (b) proteger la seguridad de cualquier persona y evitar su muerte o una lesión física grave; (c) evitar el fraude o el abuso de Dropbox o de sus usuarios; o bien para (d) proteger los derechos de propiedad de Dropbox. Si proporcionamos sus archivos de Dropbox a un organismo de aplicación de la ley según se estipuló anteriormente, eliminaremos el cifrado de Dropbox de los archivos antes de proporcionarlos a dicho organismo de aplicación de la ley.”

Un dato interesante consiste en que el cifrado es de tipo reversible y la información almacenada, podrá ser facilitada a otros. La causas para ello, podrán ser legales o no.

La condición del cifrado se proporciona definitivamente en el documento sobre la visión general de la seguridad:

“Ciframos los archivos que almacena en Dropbox mediante la norma AES-256, la cual es la misma norma de cifrado usada por bancos para proteger datos de los clientes. El cifrado para el almacenamiento se aplica después de cargados los archivos y nosotros administramos las claves de cifrado.”

En el contrato hay que tener presente que la solicitud de eliminación de la información, podría implicar que no fuera eliminada totalmente por parte del proveedor y por lo tanto los ficheros de datos accesibles por ellos.

“Conservaremos su información durante el tiempo que su cuenta permanezca activa o bien según resulte necesario para prestarle servicios. Si desea cancelar su cuenta o solicitar que dejemos de usar su información para brindarle servicios, puede eliminar su cuenta aquí. Podemos conservar y usar su información según sea necesario para cumplir con nuestras obligaciones legales, resolver disputas y exigir el cumplimiento de nuestros acuerdos. En función de tales requisitos, intentaremos eliminar su información rápidamente una vez recibida su solicitud. No obstante, tenga en cuenta que puede existir cierta latencia al eliminar información de nuestros servidores y después de dicha eliminación, pueden existir versiones de copias de seguridad. Además, no eliminaremos de nuestros servidores archivos que tenga en común con otros usuarios.”

Se recoge también en el documento sobre visión de seguridad, la política de acceso a la información subida al servicio:

“Los empleados de Dropbox tienen prohibido ver el contenido de los archivos que almacenas en tu cuenta de Dropbox, y solo tienen permitido ver los metadatos de los archivos (por ejemplo, las ubicaciones y los nombres de los archivos). Como la mayoría de servicios en línea, tenemos un grupo pequeño de empleados que tienen que poder obtener acceso a los datos de usuario por los motivos mencionados en nuestra política de privacidad (por ejemplo, cuando sea necesario por razones legales). Pero es una excepción poco frecuente, no la regla. Tenemos una estricta política y controles de acceso técnico que prohíben que los empleados obtengan acceso excepto en estas circunstancias poco frecuentes.”

Tal y como se ha recogido puede entenderse por lo tanto que existe una transferencia de datos a un servicio con un cifrado reversible y accesible por parte del proveedor. Es más, establecen que podrán, en determinadas condiciones y por parte de determinadas personas, acceder a la información existente. En el caso de datos de Carácter Personal si nos ceñimos a la normativa, existiría la necesidad de realizar un contrato como encargado de tratamiento, cuestión que evidentemente no se realiza con Dropbox.

Por lo tanto las organizaciones no deberían utilizar este servicio para el almacenamiento de datos de carácter personal, por mucho que se pueda garantizar la seguridad y  muy atractivo sea la posibilidad ofrecida.

Doctor, ¿cuánto he madurado?

En muchas ocasiones los administradores me piden que evalúe qué tal va la seguridad de sus sistemas. Este análisis es una de las más complicados de efectuar, puesto que la referencia requiere de parámetros y métricas. Cada cual maneja las suyas (dependen a veces de las cualidades intrínsecas de la organización) y van en función de las condiciones existentes e incluso de las circunstancias en determinados momentos.

En estos días estoy mejorando mi propia experiencia para los procesos de análisis. Para ello estoy realizando diversos diseños y proyectos (algunos muy enfocados al ENS), teniendo en cuenta múltiples aspectos y de los que me ha resultado muy instructivo la lectura de un libro que me han recomendado de Andre Jaquith: “Security Metrics: Replacing Fear, Uncertainty and Doubt”. Se comenta en el libro que hay determinados axiomas en los que herramos indefectiblemente cuando queremos establecer parámetros para cuantificar la seguridad. Las ideas que se manejan son transgresoras con determinados modelos de métrica y análisis de seguridad… pero es que en esencia lleva mucha razón en sus planteamientos.

Hasta la fecha tenía en cuenta la aplicación de los modelos convencionales para la gestión de seguridad en las organizaciones, sin embargo los modelos teóricos no se ajustan bien a las organizaciones, puesto que no pueden tratar las peculiaridades de las mismas y a la larga se vuelven inflexibles. Entiendo que los modelos teóricos deben dejar pasar a otros más prácticos que permitan ser más flexibles, y aunque dependen más de la actuación de la organización, ofrecen mejores respuestas cuando surge la necesidad de ser reactivo.

Definir un modelo ajustado a la organización asumo que dependerá de la madurez de la organización y de un proceso evolutivo, puesto que la mejor referencia de seguridad para una empresas reside en ella misma. Los parámetros del mercado, aunque interesantes, no son válidos puesto que no tiene en cuenta las peculiaridades de la misma. Pueden ser tomados como referencia, pero nunca como objetivos taxativos a alcanzar.

La madurez en los usos informáticos de la propia organización ofrecen esa primera visión necesaria que permite cuantificar y cualificar la seguridad de la organización. Desde Sidertia estamos llevando a cabo campañas de concienciación de seguridad de organizaciones con las colaboramos y que nos permiten ver por un lado la evolución de la organización, pero sobre todo aconsejar en gran medida atendiendo a las necesidades de negocio. Esta cuestión a veces queda muy lejos del alcance de los departamentos de sistemas. Si la seguridad “somos todos” hay que contar con todos y también, muy importante, el explicar a todos el “por qué de determinadas cuestiones”. Esa visión permite ver realmente la seguridad que espera el negocio y por lo tanto aplicar la métrica en función de la misma.

Cada organización es un mundo en sí misma, y aunque determinados aspectos de la seguridad son comunes a todas (un antivirus en un antivirus siempre), otros requieren desviar esfuerzos (económicos y personales) en función de las necesidades. ¿Qué es mejor invertir en un gran firewall perimetral o en que todo el mundo haga un uso más eficiente de los sistemas? Pues seguro que esto depende del tipo de la organización. Seguramente los dos son necesarios pero una empresa que tenga un gran número de desplazados (como comerciales) y este sea una capa de negocio esencial deberá maximizar la segunda de las opciones en detrimento de la primera.

Por lo tanto los axiomas que a menudo se aplican para medir la seguridad de la organización, resultan caducos. Cuando aprenderemos que un antivirus y un firewall no es la seguridad que requieren las empresas a día de hoy. Una parte si, pero hay mucho más, que sobre todo en España no se ve. Hablar de tú a tú con el negocio de la empresa puede abrirte en gran medida a las inquietudes de la organización y hablarte de sus necesidades.