Este documento discute temas relacionados con la seguridad y privacidad de datos en la nube. Explica conceptos como confidencialidad, seguridad e ISO 27001. También analiza casos de filtraciones de datos y multas a empresas. Finalmente, introduce conceptos de cloud computing como Software como Servicio y Plataforma como Servicio.
1. CLOUD COMPUTING: SEGURIDAD EN LA NUBE, ¿DÓNDE QUEDA NUESTRA CONFIDENCIALIDAD? Carlos L. Guardiola Director de Desarrollo de Negocio, MediaNet Software
2. 3 Conceptos Cloud Computing Seguridad Confidencialidad ¿Cómo se relacionan entre sí?
5. ¿Qué es la confidencialidad? confidencialidad. 1. f. Cualidad de confidencial. confidencial. (De confidencia). 1. adj. Que se hace o se dice en confianza o con seguridad recíproca entre dos o más personas. confidencia. (Del lat. confidentĭa). 1. f. Revelación secreta, noticia reservada.
14. Algo para pensar Historial de localización en iOS y Android http://online.wsj.com/article/SB10001424052748703983704576277101723453610.html#ixzz1KGFVHDgp Unión Europea crea grupo de trabajo para aclarar la privacidad en la geolocalización http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp185_en.pdf
16. Algo para pensar +$2 billion in EBIDTA (2011) +600 millionusers (Jan 2011) http://online.wsj.com/article/SB10001424052748704436004576297310274876624.html#ixzz1NU9sHgjB Facebook, MySpace y otras RRSS han compartido personales con anunciantes que permitirían obtener el nombre y detalles personales de usuarios (May 2010) http://online.wsj.com/article/SB10001424052748704513104575256701215465596.html
18. Facebook Connect es el OpenID? En 2010 +400M usuarios activos +1,5M páginas de empresa +500,000 aplicaciones +80,000 sitios web autentican desde FB +60 millones de usuarios se autentican vía FB +100 millones de personas acceden vía móvil http://www.digitalbuzzblog.com/facebook-statistics-facts-figures-for-2010/ http://trends.builtwith.com/docinfo/OpenID 6,298 sites usan OpenID (Mayo 2011)
19. Algo para pensar De la política de privacidad de FB Actividad en FB Cesión de información general (nombre y los nombres de tus amigos, fotografías de perfil, sexo, identificador de usuario, conexiones y cualquier compartido público) en conexiones a través de FB Connect Seguimiento de campañas y anuncios Indexación de información “pública” Cesión de datos agregados que no te identifiquen a anunciantes para anuncios personalizados y anuncios sociales Cesión de datos que te sí te identifiquen a proveedores de servicios de FB y en su Marketplace Pese a eliminar, cierta información permanece. ¿Información cedida?
20. “Riesgos inherentes a compartir información” Aunque te permitimos definir opciones de privacidad que limiten el acceso a tu información, ten en cuenta que ninguna medida de seguridad es perfecta ni impenetrable No podemos controlar las acciones de otros usuarios con los que compartas información No podemos garantizar que sólo vean tu información personas autorizadas No podemos garantizar que la información que compartas en Facebook no pase a estar disponible públicamente No somos responsables de que ningún tercero burle cualquier configuración de la privacidad o medidas de seguridad en Facebook Puedesreducir estos riesgos utilizando hábitos de seguridad de sentido común. http://www.flickr.com/photos/fr1zz/
22. Lo que saben de nosotros porque no nos queda más remedio
23. La relación con las AAPP Los datos personales recogidos serán incorporados y tratados en el fichero "Sugerencias y Reclamaciones" cuya finalidad es tramitar las sugerencias, reclamaciones y peticiones de información presentadas por los ciudadanos así como realizar estadísticas. Estos datos podrán ser cedidos de conformidad con la legislación vigente en materia de protección de datos de carácter personal Menos mal que sabemos que esta información es confidencial
24. Denuncia por Exceso de Velocidad Matrícula, Marca y Modelo del vehículo Datos personales, DNI y domicilio. Menos mal que sabemos que esto es confidencial
25.
26. Menos mal que sabemos que… … según el Decreto 711/2002 de 26 de marzo del Ministerio Español de Ciencia y Tecnología, queda prohibida la búsqueda por números de teléfono
27. Conclusiones @carlosguardiola ¿Quién tiene información sobre mí? ¿Qué hace con ella? @carlosguardiola ¿Dónde la guarda? ¿Qué medidas toma para protegerla? @carlosguardiola ¿A quién se la cede? ¿Cómo la elimina?
30. ¿Cómo puedo saber si mis datos están a salvo? http://www.flickr.com/photos/horiavarlan/
31. ¿Cómo se acredita la seguridad de mis datos? ISO 27001 SAS 70 Esquema Nacional de Seguridad SafeHarbor, Directiva Europea 95/46/EC y LOPD
32. ISO27001 Calidad en la Gestión de la Seguridad de los Sistemas de Información (ISMS) Promovido por ISO Modelo de madurez Continuidad de negocio Auditoría para certificación 12.934 ISMS certificados en 117 países (ISO Survey 2009, pub. 25/10/2010)
33. ¿Qué significa tener un ISMS? Definido, implementado y auditado: Gestión de riesgos, amenazas, vulnerabilidades e impacto Medidas de seguridad y controles Proceso continuo Aspectos clave: confidencialidad, integridad, disponibilidad.
34. Un ISMS tiene en cuenta Activos El valor de los Activos Sus medidas de seguridad Las vulnerabilidades de las medidas de seguridad Las amenazas Los riesgos Los controles
35. ¿Qué hay que hacer para tener la ISO 27001? Una organización debe planificar: Alcance del ISMS Su política de seguridad La metodología de gestión de riesgos Un inventario de activos Amenazas Vulnerabilidades Identificar el impacto si se materializa una amenaza Análisis de riesgos Controles y mecanismos de seguridad Debe implementarlo Debe formar a sus trabajadores Debe auditar el proceso Debe evaluar el proceso, identificando acciones de mejora
36. SAS 70 Statement of AuditingStandards nº 70: ServicesOrganization Estándar de auditoría promovido por el American Institute of CertifiedPublicAccountants Guía para la realización de auditorías Complementa ISO 27001
37. ¿En qué consiste SAS 70? Dos tipos de controles: Tipo I. El informe del auditor indica si las medidas de control existentes en la organización en un momento dado son adecuadas para sus objetivos Tipo II. El informe del auditor incluye además la comprobación de su eficacia durante un periodo de tiempo (6+ meses)
38. Esquema Nacional de Seguridad Real Decreto 3/2010, de 8 de enero Ámbito de la Ley 11/2007 de LAECSP Política de seguridad en los medios electrónicos de las AAPP Principios básicos y requisitos mínimos http://administracionelectronica.gob.es/recursos/PAE_12924039691699901.pdf?iniciativa=146
39. ¿Por qué un ENS? Confianza en los servicios de las AAPP Política común de seguridad Elementos de Actuación Plazo limitado de implantación
40. ¿Cómo se aplica? Categorización de los sistemas de información Dimensiones de Seguridad: Disponibilidad, Autenticidad, Integridad, Confidencialidad y Trazabilidad Perjuicio que puede producirse en caso de fallar alguna. Alto (Incumplimiento grave de una ley, prejuicio al individuo) Medio (Reducción significativa de las capacidades del sistema, Incumplimiento material de una ley) Bajo (Incumplimiento formal) El sistema a su vez se clasifica en Bajo, Medio o Alto
41. En función de la categoría del SI Marco organizativo Política de seguridad Normativa de seguridad Procedimientos de seguridad Proceso de autorización Marco operacional Planificación Control de acceso Explotación Servicios externos Continuidad del negocio Monitorización del sistema Medidas de protección Protección de las instalaciones e infraestructuras Gestión de personal Protección de los equipos Protección de las comunicaciones Protección de los soportes de información Protección de las aplicaciones informáticas Protección de la información Protección de los servicios
42. SafeHarbor, Directiva Europea 95/46/EC y LOPD Derecho al control de las personas sobre la información que les concierne Derechos ARCO Consentimiento del afectado y deber de información Definición de medidas de protección de los datos de carácter personal Responsabilidades Administrativas, Civiles y Penales
43. Tipos de Datos y Medidas Datos de nivel básico, medio (hacienda, servicios financieros, solvencia, perfil del afectado) y alto (salud, ideología, religión…) Medidas de seguridad en función del nivel Identificación y Autenticación Control de acceso Funciones y obligaciones del personal Estructura de los ficheros Gestión de Soportes informáticos Ficheros Temporales Registro de Incidencias Copias de Respaldo y Recuperación Pruebas con datos reales Auditoría Datos en soporte papel
44. La cesión de datos Aplicabilidad de LOPD Estados Miembros de la Unión Europea Espacio Económico Europeo Países con nivel equiparable (Safe Harbor de EEUU, Suiza, Canadá, Argentina…) Sin un nivel de protección equiparable. Decisión 2001/497/CE, 2004/915/CE, 2010/87/UE… BindingCorporate Rules: transferencias internacionales en una misma compañía
46. PlayStation Network (Abril 2011) PlayStation Network Comprometidos más de 77 millones de usuarios. Sony Online Entertainment Comprometidos más de 22 millones de usuarios. Pérdida de la continuidad del servicio >1 mes. http://www.guardian.co.uk/technology/2011/apr/26/playstation-network-hackers-data?intcmp=239 http://www.guardian.co.uk/technology/blog/2011/may/03/sony-data-breach-online-entertainment?intcmp=239
47. Banco de Santander (Diciembre 2010) Filial UK de Banco de Santander remitió +35,000 extractos a personas equivocadas Considerado “error de imprenta” Investigado por la FinancialServicesAuthority Multa de 2,2M £ a Zurich Seguros en Agosto 2010 http://www.independent.co.uk/news/business/news/santander-sends-statements-out-to-wrong-addresses-2168428.html
48. Servicios Sociales, UK (Noviembre 2007) Extraviados 2 HD con datos de 25 millones de personas Principalmente, menores y sus familias Incluyendo el número de la seguridad social y datos bancarios y económicos No se siguió el protocolo establecido de acceso y traslación de datos http://news.bbc.co.uk/2/hi/uk_news/politics/7103566.stm
49. En España, la AEPD… Abre un procedimiento a la Consellería de Presidencia de la Xunta al detectar deficiencias de seguridad en el sistema de los juzgados gallegos http://elprogreso.galiciae.com/nova/89481.html Investigará la filtración de datos de Facebook (Mayo 2011) http://www.europapress.es/portaltic/internet/noticia-proteccion-datos-investigara-filtracion-datos-facebook-20110511141631.html Multa a Bankinter por la emisión de 1,000 correos electrónicos sin BCC (Junio 2010) http://protecciondedatosaldia.blogspot.com/2010/06/2000-de-multa-por-envio-de-email-1000.html Multa al Círculo de Lectores de 300,000 euros por ceder datos de ex-socios (Nov. 2010) http://www.conversia.es/castellano/proteccion-datos/noticias/noticia.php?id=133
50. Conclusiones @carlosguardiola ¿Hay proveedores de confianza? ¿Qué puedo hacer como usuario? @carlosguardiola ¿Hay sistemas seguros? ¿Cuánto tardan en detectarse los compromisos de seguridad? @carlosguardiola ¿De que me sirve una sanción cuando ya se han comprometido mis datos?
51. Respuestas Directas No des por sentada la seguridad Conciénciate en tus propias normas de seguridad Infórmate de dónde tienes la información que es importante para ti Reza por que no pase nada O, vive feliz y que pase lo que tenga que pasar
53. ¿Qué tiene que ver la Nube en todo esto? http://www.flickr.com/photos/horiavarlan/
54. ¿Qué es esto de Cloud Computing? Compartición de recursos (procesamiento, almacenamiento, comunicaciones, aplicaciones, ...) 5 Características: Consumo bajo demanda Acceso universal Compartición de recursos Elasticidad IT SLAs
55. Software como Servicio (SaaS) Servicio ofrecido por un proveedor directamente en su plataforma Orientado a productos comerciales Limitada capacidad de parametrización No acceso a plataforma Ej: Salesforce.com, CRM ondemand (1999), Safe Harbor, ISO 27001, SAS 70 Type II
56. Plataforma como Servicio (PaaS) Uso de un sistema «estándar» desde la red del proveedor del servicio Despliegue de desarrollos a medida y/o personalización de productos comerciales Acceso limitado a la configuración de la infraestructura Capacidad de personalización y construcción Ej: Gmail (2004), Google Docs (2007), Google App Engine (2008). Google Apps SAS 70 Type II
57. Infraestructura como Servicio (IaaS) Recursos virtuales en la red del proveedor de servicios Base para la creación de nuevos servicios o aplicaciones Control completo Abstracción del hardware subyacente Ej: Amazon Web Services (2006), ISO 27001, SAS 70 Type II
58. ¿Por qué la moda del Cloud? Revolución de los modelos PaaS e IaaS Ahorro de costes Cambio en el modelo “inversión” vs “operación” Elasticidad IT Sencillez en la gestión Seguridad y fiabilidad
59. Conclusiones @carlosguardiola ¿Por qué hay que hablar de confidencialidad y seguridad en el cloud? ¿Seguro que son problemas específicos? @carlosguardiola ¿Alguna vez he sabido dónde estaban físicamente mis datos? ¿Alguna vez me ha importado? @carlosguardiola ¿Por qué es necesario un marco legislativo específico? ¿El que tenemos no es suficiente?
60. Mi sensación Desconocimiento Intereses comerciales (a favor y en contra) Temor a nuevas burbujas tecnológicas Miedo al cambio
63. La sociedad de la información tiene uno de sus pilares en la compartición Las medidas de seguridad nunca son suficientes La existencia de un marco legislativo no garantiza su cumplimiento Como usuario, no hay diferencia en el modelo Cloud / Físico
64. En cierta medida, somos dueños de: Qué decimos A quién se lo decimos Cómo se lo decimos La confidencialidad es nuestro derecho Como con cualquiera de nuestros derechos, quizá tenemos que preocuparnos por que se cumpla