Auditoría Pública nº 75. Revista de los órganos autonómicos de control externo

4. FISCALIZACIÓN DE LA CONTRATACIÓN DE UN SERVICIO DE COMPUTACIÓN EN LA NUBE Los contratos de servicios de computación en la nube suelen ser por regla general significativos por alguna de las siguientes razones: su elevado valor estimado, su lar- ga duración o por afectar a alguna actividad o servicio clave para los objetivos de la fiscalización; por esas ra- zones será bastante normal que debamos fiscalizar, cada vez con mayor frecuencia, este tipo de contrataciones. En estos casos deberemos conocer y tener en cuenta las peculiaridades especiales de los contratos de servicios de computación en la nube. En primer lugar se deben definir con precisión las ca- racterísticas del servicio a contratar y las responsabilida- des de las partes, además de establecer acuerdos de nivel de servicio para definir la calidad del servicio contratado. Es importante tener en cuenta que la responsabilidad del cumplimiento de las normas aplicables en materia de seguridad y de protección de datos y el correcto tra- tamiento de los datos recaerá siempre sobre el organis- mo propietario de la información, con independencia de la existencia de acuerdos, seguros u otras medidas compensatorias. En cuanto a las responsabilidades de las partes y el cumplimiento del ENS, el proveedor de servicios cloud está obligado a cumplir todas las medidas del ENS que sean pertinentes. Pero es responsabilidad de las entida- des públicas contratantes notificar a los operadores del sector privado que participen en la provisión de solucio- nes tecnológicas o la prestación de servicios, la obliga- ción de que tales soluciones o servicios sean conformes con lo dispuesto en el ENS y posean las correspondien- tes Declaraciones o Certificaciones de Conformidad. Los pliegos deben recoger con claridad las responsa- bilidades del proveedor, los niveles de seguridad de la información y los servicios afectados, de forma que el proveedor cuente con las medidas de seguridad oportu- nas en cumplimiento de las diferentes leyes y normati- vas que le sean de aplicación. Además, es muy importante que en los pliegos se contemple de forma explícita cómo la entidad contra- tante, que es la responsable de los posibles riesgos que afecten a la información y a los servicios prestados, va a controlar la forma de prestar tales servicios por el CSP. Para garantizar el cumplimiento de las medidas de seguridad aplicables, la entidad deberá disponer del de- recho de auditoría sobre el CSP o exigir: • Certificación de conformidad con el ENS. • Auditoría que verifique con evidencias el cum- plimiento de las medidas del Anexo II del ENS que sean de aplicación de acuerdo con el nivel del sistema (el ENS es aplicable a una empresa privada contratada por un ente público). • Auditorías de cumplimiento normativo para sa- tisfacer requisitos de seguridad de información. • Otras certificaciones o acreditaciones en ma- teria de seguridad en función de la actividad de la entidad y de los datos almacenados. • Informes de auditoría tipo 1 o tipo 2 (requeri- dos por la NIA-ES-SP 1402). Cuando no se recoja esta exigencia en los PCAP de- beremos considerarlo un grave defecto de control in- terno y un incumplimiento del ENS, tanto más grave cuanto más crítico o relevante sea el sistema o servicio afectado. Asimismo, siempre que la prestación de servicios cloud albergue datos de carácter personal, deberán cumplirse, además de los requisitos establecidos por el ENS todos aquellos exigidos por la normativa en mate- ria de protección de datos. El artículo 122. 2 de la Ley de Contratos del Sector Público, exige que en aquellos contratos cuya ejecución requiera el tratamiento por el proveedor del servicio de datos personales por cuenta del responsable del trata- miento (la entidad contratante), que en el pliego se haga constar, entre otras cuestiones, las siguientes: • La obligación del futuro contratista de some- terse en todo caso a la normativa nacional y de la Unión Europea en materia de protección de datos. • La obligación de la empresa adjudicataria de presentar antes de la formalización del contra- to una declaración en la que ponga de mani- fiesto dónde van a estar ubicados los servido- res y desde dónde se van a prestar los servicios asociados a los mismos. Y la obligación de comunicar cualquier cambio que se produzca al respecto, a lo largo de la vida del contrato. • La obligación de los licitadores de indicar en su oferta, si tienen previsto subcontratar los ser- vidores o los servicios asociados a los mismos, el nombre o el perfil empresarial, definido por referencia a las condiciones de solvencia pro- fesional o técnica, de los subcontratistas a los que se vaya a encomendar su realización. Estas obligaciones en todo caso deben ser calificadas como esenciales a los efectos de ser consideradas como causa de resolución del contrato. Brevemente, dado que en la contratación de un ser- vicio cloud muchos de los aspectos que determinarán la seguridad de la información y el cumplimiento legal y regulatorio vendrán determinados por lo recogido en Auditando en la nube (no en las nubes) 39 Auditoría Pública nº 75 (2020), pp. 35 - 44