Los servicios en la nube están consolidando su posición dominante en la era digital. Con la entrada en vigor del Reglamento General de Protección de Datos, los expertos se han visto obligados a buscar maneras más sólidas y flexibles de garantizar que dichos servicios cumplan con las normas de privacidad incluso mientras siguen evolucionando.

Economía digital

Una de las bases del Reglamento General de Protección de Datos (RGPD) es la incorporación de la protección de la intimidad y la seguridad desde el diseño. Sobre el papel, se trata de una postura firme, dado que requiere que las empresas y organizaciones que almacenan datos de usuarios integren los principios del RGPD en los nuevos proyectos informáticos desde las primeras fases de su diseño. Sin embargo, el crecimiento exponencial de los servicios descentralizados en la nube, en un proceso constante de cambio y evolución, podría convertir rápidamente en papel mojado el planteamiento de la protección de la intimidad desde el diseño. Eliot Salant, jefe de proyectos de IBM Haifa Research Labs, ha intentado ofrecer una alternativa viable a través del proyecto RESTASSURED (Secure Data Processing in the Cloud). «Ofrecer protección de datos y cumplimiento de la normativa de privacidad digital en un entorno en la nube es una tarea complicada. De forma inherente, la nube pública es poco fiable y presenta una amplia distribución geográfica y un sistema de varias partes interesadas en el que los datos no pertenecen al proveedor de servicios en la nube ni a la parte interesada encargada de la computación. Por otro lado, también está la cuestión de los cambios altamente dinámicos de las infraestructuras y los servicios en la nube». Entonces, ¿cómo podemos avanzar? «Con mecanismos y componentes en la nube para la detección del tiempo de ejecución, la predicción y la prevención de violaciones de la protección de los datos, así como a través de tecnologías nuevas para garantizar la protección de la información en reposo en un entorno en la nube», afirma Salant.

Cinco innovaciones fundamentales

RESTASSURED tenía como finalidad ayudar a los responsables del tratamiento, esto es, las entidades jurídicamente responsables de determinar los motivos del tratamiento y la manera en que se tratan los datos personales a la vez que se garantiza el cumplimiento de la normativa sobre protección de datos. Para ello, se centró en cinco innovaciones fundamentales. La primera es el uso de soluciones de «hardware» emergentes, como AMD SEV e Intel SGX, con el fin de ofrecer enclaves seguros para la gestión de datos. La segunda es el desarrollo del cifrado para archivos Parquet, lo cual permite un almacenamiento muy eficiente y la consulta de datos para analítica de datos masivos. Por otra parte, el equipo se centró en formas de evaluar el cumplimiento de la protección de datos durante la explotación del sistema, la gestión automatizada de los riesgos y la aplicación de «sticky policies» para definir el acceso a los datos, el uso y las reglas de almacenamiento. Salant subraya: «Todo esto es muy importante. Por ejemplo, el uso de “sticky policies” ayudará a crear puntos de decisión sobre políticas (PDP) y puntos de aplicación de decisiones políticas (PEP, por sus siglas en inglés) para regular el flujo de los datos a través de las aplicaciones en la nube. Por otra parte, la protección de datos sólida que ofrece el uso del cifrado modular Parquet (PME, por sus siglas en inglés) y los enclaves de “hardware” seguro puede ayudar a ofrecer un flujo de datos protegido y regulado entre los entornos en la nube establecidos en la Unión Europea». De acuerdo con Salant, probablemente el PME sea el logro más importante del proyecto. Ha sido oficialmente aceptado como estándar por la comunidad Apache Parquet y se ha incorporado en diversos productos de IBM.

Casos prácticos

Las soluciones de RESTASSURED fueron ampliamente evaluadas en los ámbitos de la asistencia social y los seguros «Pay as You Drive». «El caso de uso de la asistencia social se basó en un producto real de un socio del proyecto, Oxford Computer Consultants (OCC). Queríamos ver cómo podía migrarse a la nube este producto, el cual se centra tanto en los voluntarios que ofrecen ayuda como en aquellos que la solicitan —explica Salant—. La existencia de distintos roles requería una aplicación estricta del acceso a los datos basado en funciones. Además, la gestión automatizada del riesgo desarrollada en RESTASSURED resultó muy interesante para OCC, tanto para analizar su producto actual como para averiguar las implicaciones de llevar este producto a un entorno en la nube». Por otra parte, el seguro «Pay as You Drive» tenía implicaciones en cuanto a telemática para automóviles. Los datos personales del internet de las cosas se recogen «in situ» para transferirlos a la nube, lo cual implica restricciones del RGPD en cuanto a su tratamiento, así como restricciones de los propios datos cuando el vehículo atraviesa las fronteras nacionales. El proyecto finalizó en diciembre de 2019, pero se ha seguido desarrollando desde entonces. Se sigue trabajando con PME en el marco de otros proyectos de Horizonte 2020, mientras que varios socios de RESTASSURED han propuesto un proyecto de seguimiento denominado FogProtect (Protecting Sensitive Data in the Computing Continuum). Está previsto que el proyecto FogProtect se lleve a cabo hasta finales de 2022.

Palabras clave

RESTASSURED, IBM, nube, RGPD, datos masivos, analítica, cumplimiento, protección de datos, internet de las cosas