La informàtica en núvol (cloud computing) consisteix en la disposició d’aplicacions, plataformes o infraestructura a càrrec d’un proveïdor que ofereix recursos informàtics, especialment l’emmagatzematge de dades.

Els serveis que ofereix la informàtica en núvol es poden classificar en tres grups:

• el programari com a servei (SaaS, per l’anglès software as a service) és un model de distribució de servei en què tant el programari com les dades estan centralitzats en un únic servidor extern.
• La plataforma com a servei (PaaS, per l’anglès platform as a service) és un entorn de desenvolupament i implantació d’aplicacions des d’Internet que inclou totes les facilitats al programador per analitzar, desenvolupar, testar, documentar i posar en marxa aplicacions en un sol procés.
• Finalment, el tercer grup és la infraestructura com a servei (IaaS, per l’anglès infraestructure as a service), model de servei que ofereix infraestructura informàtica de manera externalitzada per donar suport a operacions. En general proporciona maquinari, emmagatzematge, servidors i espais de centre de dades o components de xarxa.

Com a exemple, els sistemes d’informàtica en núvol poden emmagatzemar còpies de seguretat del correu electrònic; desar fotografies, vídeos o altres fitxers; desenvolupar programes, i accedir a servidors virtuals. Els proveïdors més coneguts són Google (Google Drive), Dropbox, OneDrive i WeTransfer.

L’ús més comú de la informàtica en núvol és emmagatzemar informació. Per mitjà de la Circular 1/2014, de 18 d’agost, del director general del Servei de Salut de les Illes Balears, es va aprovar el Codi de bones pràctiques del Servei de Salut en l’ús dels sistemes d’informació i en el tractament de les dades de caràcter personal, en el qual s’estableixen les mesures que els usuaris han d’aplicar per mantenir els nivells adequats de seguretat de la informació relacionats amb l’emmagatzematge de dades en el núvol. En aquesta Circular, concretament en el punt 7.4.f), s’hi especifica el següent:

No és permès transmetre o allotjar informació sensible, confidencial, dades de caràcter personal o informació protegida pròpia del Servei de Salut en servidors externs o solucions d’emmagatzemament en el núvol, llevat que es disposi de l’autorització prèvia corresponent.

Solució corportaiva del Servei de Salut per emmagatzemar i compartir informació

En concret, la solució corporativa que s’ofereix al Servei de Salut per emmagatzemar i compartir documentació de mida gran o amb organismes externs és OneDrive for Business, que compleix els requisits de seguretat establerts.

Riscs de l’emmagatzematge en el núvol

• Falta de transparència: què, qui, com i on es du a terme el tractament de les dades proporcionades.
• Dificulta al responsable la possibilitat d’avaluar els riscs i establir controls adequats.
• Ús d’aquest servei sense el coneixement del departament de sistemes i sense l’aprovació d’aquest (shadow IT).
• Falta de control en la compartició de les dades.

Shadow IT es refereix als dispositius, al programari i als serveis que estan fora del control del departament de sistemes i no tenen l’aprovació explícita de l’organització.

Això passa quan una persona decideix utilitzar un servei basat en el núvol sense el coneixement de l’empresa. El risc d’emprar aquestes aplicacions és que no s’analitzen ni se supervisen, i que tampoc s’estableixen polítiques d’ús segur depenent de les seves característiques.

Per això no és apropiat emmagatzemar informació sensible, especialment dades de caràcter personal, atès que podrien representar un gran risc per al Servei de Salut.