31 may. 2012

Google Apps, ISO 27001 y los centros educativos del Gobierno de Navarra


En principio, he de decir que todo me parece bien, me parece perfecto que Google certifique sus servicios en la nube (Google Apps tal y como se ha publicado en Techcrunch y en Bitelia) en una norma como ISO 27001, ya que aporta credibilidad y seguridad tanto a Administraciones Públicas (como en este caso al Gobierno de Navarra) así como a empresas privadas y usuarios. Ahora bien, tal y como formuló Javier Cao (experto y reconocido profesional del sector de la Seguridad de la Información) en Twitter, lo verdaderamente importante es saber ¿Cuál es el alcance de esa certificación? Pues no es cuestión baladí, ya que no es lo mismo certificar la nube de esos servicios al completo o certificar por decir algo sólo la base de datos o una parte pequeña del área en cuestión y después eso sí, publicar a bombo y platillo que se han certificado esos servicios en ISO 27001. Cosa que ocurre muchas veces con este tipo de certificaciones, ya que esta muy bien ver el certificado colgado en la pared o en la website, pero hay que saber ver más allá y observar cual ha sido el alcance real de esa certificación. Todo ello, en lo que respecta a los servicios recogidos en Google Apps, ya que a día de hoy todavía no he conseguido saber cual es el alcance real de su certificación en ISO 27001, por lo que ya veremos cual es su alcance real y si es criticable o no.

Otra cuestión que ha saltado a la palestra esta semana en relación directa con la anterior, es el hecho de que "El Gobierno de Navarra opta por Google Apps en sus centros educativos" lo cual al igual que la noticia anterior, a priori me parece una buena noticia. Sólo me quedaría mencionar la cuestión de por que no seguir con proyectos modernos y seguir con dicha inercia migrando los sistemas operativos de la Administración Foral de Navarra a software libre aprovechando que probablemente este año deberán migrar de Windows XP a Windows 7 y de aplicaciones privativas de oficina como Microsoft office a Open o libre Office, consiguiendo así un ahorro de unos 102,99€ por sistema operativo y otros 301,35€ por paquete Office por equipo, por poner un ejemplo de medidas "revolucionarias".

Dejando de lado esta cuestión sobre la posible migración de los equipos de la Administración Foral de Navarra a software libre. En principio como decía, es una buena noticia, el hecho de que el Gobierno de Navarra apueste por herramientas como "Google Apps" ya que esto supondrá probablemente un ahorro respecto a la apuesta por otro tipo de herramientas. No obstante en esta cuestión también me planteo al igual que otros profesionales del sector como Gontzal Gallo entre otros, la cuestión sobre ¿Cómo hará el Gobierno de Navarra el tema del contrato de Encargado de Tratamiento regulado en la LOPD en lo que respecta a los servicios de Google Apps? Este, es un tema viejo, tan viejo como los servicios en la nube o "Cloud Computing" (a los que en su día ya hice referencia en mi entrada sobre "Safe Harbour" y Cloud Computing). En este sentido, Google no tendría tantos problemas legales para prestar este tipo de servicios, ¿Pero y el Gobierno de Navarra? ¿Qué ocurre con el citado contrato de Encargado de Tratamiento? ¿Cómo lo va a hacer el Gobierno de Navarra?

Mejor dicho tal y como me planteó Gontzal Gallo en Twitter ¿Cómo lo han hecho ya? ¿Cómo lo ha hecho el Gobierno de Navarra con el tema de opengov y la cuestión del contrato de Encargado de Tratamiento? (Regulado en Proyecto de Ley Foral de la Transparencia y del Gobierno Abierto)

En definitiva, ¿Cómo queda este tema?

A pesar de que tal y como citaba al principio del post en principio ambas son buenas noticias, tanto que Google Apps se certifique en ISO 27001 como que El Gobierno de Navarra en su modernización apueste por herramientas en la nube (que además están acorde con los tiempos económicos que vivimos). Así como el chat que recientemente pondrá en funcionamiento en la línea o estrategia de la Dirección General de Gobierno Abierto y Nuevas Tecnologías de emplear las redes sociales para atender a la ciudadanía, conversar con ella y facilitar su participación, según ha informado el Gobierno en una nota. A pesar de todo esto que en principio es bueno, hay dudas/ claros y sombras como las ya planteadas, las cuales creo que son importantes y sería conveniente aclarar.

Seguiremos de cerca estas cuestiones que se nos planteen en cuanto a Cloud Computing y la vigente normativa.

Actualización 1: Ya conocemos el alcance del SGSI de Google Apps (gracias a Adrian Capdevila) y la verdad es impresionante, hay quien no se lo cree de lo amplio que es, pero bueno, si así lo dicen es que será verdad ¿No?

Alcance completo del SGSI de la certificación en ISO 27001 de Google Apps: http://bit.ly/JOAlWs

Servicios incluidos en el alcance (http://bit.ly/L5hrtu)

¿Dónde están los de Google? No se citan, por lo que ¿Debemos entender que todos los de Google son los que se han incluido en el alcance?

Actualización 3: Gracias a l Google Apps ofrecerá un modelo de contrato con cláusulas ajustadas a la Directiva Europea de Protección de Datos

Google Apps to offer additional compliance options for EU data protection

WEDNESDAY, JUNE 6, 2012



Over four million businesses use Google Apps for enterprise needs, and as this number grows, we want to offer our customers a diverse range of compliance options to help them meet their regulatory requirements.

Today we’re pleased to announce that Google will soon offer model contract clauses as an additional means of meeting the adequacy and security requirements of the European Commission’s Data Protection Directive for our customers who operate within Europe. The Directive is an important piece of privacy legislation passed by the European Union (EU) in 1995. It restricts the movement of data from the EU to non-EU countries that do not meet the EU 'adequacy' standard for privacy protection.

In 2000, to help address these requirements with respect to the United States, the US Department of Commerce in consultation with the European Commission developed the US-EU Safe Harbor Framework as a means by which US companies could achieve compliance with the adequacy standards. Google, as well as 2,500 other US companies that offer services in Europe, is a participant in the US-EU Safe Harbor Framework.

In 2010, the European Commission approved model contract clauses as a means of compliance with the requirements of the Directive. The effect of this decision is that by incorporating certain provisions into a contract, personal data can flow from those subject to the Directive to providers outside the EU or the European Economic Area. By adopting model contract clauses, we’re offering customers an additional option for compliance with the Directive.

Google’s adoption of model contract clauses, along with our continued participation in the US-EU Safe Harbor Framework and our recent ISO 27001 certification, will provide our customers with an even wider palette of EU regulatory compliance options.


Entrada Relacionada:

MIÉRCOLES, 27 DE ENERO DE 2010


No hay comentarios: