Seguridad, Confidencialidad y Cloud

2,188 views
2,089 views

Published on

La sociedad de la información supone la compartición y cesión de datos personales de todo tipo. ¿Cómo podemos estar seguros de que estos datos no serán comprometidos? ¿Y cómo afecta en todo esto el modelo de computación en la nube?

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,188
On SlideShare
0
From Embeds
0
Number of Embeds
388
Actions
Shares
0
Downloads
33
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Seguridad, Confidencialidad y Cloud

  1. 1. CLOUD COMPUTING: SEGURIDAD EN LA NUBE, ¿DÓNDE QUEDA NUESTRA CONFIDENCIALIDAD?<br />Carlos L. Guardiola<br />Director de Desarrollo de Negocio, MediaNet Software<br />
  2. 2. 3 Conceptos<br />Cloud Computing<br />Seguridad<br />Confidencialidad<br />¿Cómo se relacionan entre sí?<br />
  3. 3. I. CONFIDENCIALIDAD<br />http://www.flickr.com/photos/missfortune/<br />
  4. 4. ¿Existe la Confidencialidad en el mundo 2.0?<br />http://www.flickr.com/photos/horiavarlan/<br />
  5. 5. ¿Qué es la confidencialidad?<br />confidencialidad.<br />1. f. Cualidad de confidencial.<br />confidencial.<br />(De confidencia).<br />1. adj. Que se hace o se dice en confianza o con seguridad recíproca entre dos o más personas.<br />confidencia.<br />(Del lat. confidentĭa).<br />1. f. Revelación secreta, noticia reservada.<br />
  6. 6. about.me/carlosguardiola<br />
  7. 7. Lo que revelamos acerca de nosotros porque queremos<br />
  8. 8. El impacto de un tweet<br />
  9. 9. ¿Qué por qué lo llaman Red Social?<br />http://www.neuroproductions.be/twitter_friends_network_browser/<br />
  10. 10. Llega a más de 9.000 TL <br />
  11. 11. http://tweetreach.com/<br />
  12. 12. Localización<br />
  13. 13. Foursquare<br />
  14. 14. Algo para pensar<br />Historial de localización en iOS y Android<br />http://online.wsj.com/article/SB10001424052748703983704576277101723453610.html#ixzz1KGFVHDgp<br />Unión Europea crea grupo de trabajo para aclarar la privacidad en la geolocalización<br />http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp185_en.pdf <br />
  15. 15. Facebook<br />
  16. 16. Algo para pensar<br />+$2 billion in EBIDTA (2011) <br />+600 millionusers (Jan 2011)<br />http://online.wsj.com/article/SB10001424052748704436004576297310274876624.html#ixzz1NU9sHgjB<br />Facebook, MySpace y otras RRSS han compartido personales con anunciantes que permitirían obtener el nombre y detalles personales de usuarios (May 2010)<br />http://online.wsj.com/article/SB10001424052748704513104575256701215465596.html<br />
  17. 17. http://online.wsj.com/article/SB10001424052748704513104575256701215465596.html<br />
  18. 18. Facebook Connect es el OpenID?<br />En 2010<br />+400M usuarios activos<br />+1,5M páginas de empresa<br />+500,000 aplicaciones<br />+80,000 sitios web autentican desde FB<br />+60 millones de usuarios se autentican vía FB<br />+100 millones de personas acceden vía móvil<br />http://www.digitalbuzzblog.com/facebook-statistics-facts-figures-for-2010/ <br />http://trends.builtwith.com/docinfo/OpenID<br />6,298 sites usan OpenID (Mayo 2011)<br />
  19. 19. Algo para pensar<br />De la política de privacidad de FB<br />Actividad en FB<br />Cesión de información general (nombre y los nombres de tus amigos, fotografías de perfil, sexo, identificador de usuario, conexiones y cualquier compartido público) en conexiones a través de FB Connect<br />Seguimiento de campañas y anuncios<br />Indexación de información “pública”<br />Cesión de datos agregados que no te identifiquen a anunciantes para anuncios personalizados y anuncios sociales<br />Cesión de datos que te sí te identifiquen a proveedores de servicios de FB y en su Marketplace<br />Pese a eliminar, cierta información permanece.<br />¿Información cedida?<br />
  20. 20. “Riesgos inherentes a compartir información”<br />Aunque te permitimos definir opciones de privacidad que limiten el acceso a tu información, ten en cuenta que ninguna medida de seguridad es perfecta ni impenetrable<br />No podemos controlar las acciones de otros usuarios con los que compartas información<br />No podemos garantizar que sólo vean tu información personas autorizadas<br />No podemos garantizar que la información que compartas en Facebook no pase a estar disponible públicamente<br />No somos responsables de que ningún tercero burle cualquier configuración de la privacidad o medidas de seguridad en Facebook <br />Puedesreducir estos riesgos utilizando hábitos de seguridad de sentido común.<br />http://www.flickr.com/photos/fr1zz/<br />
  21. 21. ¿Entendemos el mundo 2.0?<br />
  22. 22. Lo que saben de nosotros porque no nos queda más remedio<br />
  23. 23. La relación con las AAPP<br />Los datos personales recogidos serán incorporados y tratados en el fichero "Sugerencias y Reclamaciones" cuya finalidad es tramitar las sugerencias, reclamaciones y peticiones de información presentadas por los ciudadanos así como realizar estadísticas. Estos datos podrán ser cedidos de conformidad con la legislación vigente en materia de protección de datos de carácter personal<br />Menos mal que sabemos que esta información es confidencial<br />
  24. 24. Denuncia por Exceso de Velocidad<br />Matrícula, Marca y Modelo del vehículo<br />Datos personales, DNI y domicilio.<br />Menos mal que sabemos que esto es confidencial<br />
  25. 25. Formulario Seguro de Vida<br /><ul><li>Menos mal que sabemos que esta información es confidencial</li></li></ul><li>Renovación del Permiso de Conducir<br /><ul><li>Menos mal que sabemos que esta información es confidencial</li></li></ul><li>Historia Clínica<br />Informe de alta<br />Datos relativos al centro:<br />Nombre, dirección, teléfono<br />Servicio o Unidad donde se produce el alta<br />Facultativo responsable del alta<br />Datos de identificación del paciente:<br />Nombre y apellidos<br />Nº de historia clínica<br />Fecha de nacimiento y sexo<br />Datos referidos al proceso asistencial:<br />Fecha de admisión y alta<br />Motivo del ingreso<br />Estado en el momento del alta <br />Destino <br />Diagnóstico principal <br />Otros diagnósticos (si procede) <br />Procedimientos quirúrgicos y/o obstétricos<br />Otros procedimientos significativos (si procede) <br />Resumen clínico (antecedentes, exploración física, exploraciones complementarias, curso clínico y recomendaciones terapéuticas)<br /><ul><li>Menos mal que sabemos que esta información es confidencial</li></li></ul><li>Factura de Servicios<br />
  26. 26. Menos mal que sabemos que…<br />… según el Decreto 711/2002 de 26 de marzo del Ministerio Español de Ciencia y Tecnología, queda prohibida la búsqueda por números de teléfono<br />
  27. 27. Conclusiones<br />@carlosguardiola<br />¿Quién tiene información sobre mí? ¿Qué hace con ella?<br />@carlosguardiola<br />¿Dónde la guarda? ¿Qué medidas toma para protegerla?<br />@carlosguardiola<br />¿A quién se la cede? ¿Cómo la elimina?<br />
  28. 28. Respuestas directas a preguntas directas<br />N<br />P<br />I<br />NO<br />PUEDO<br />INTUIRLO<br />
  29. 29. II. SEGURIDAD<br />http://www.flickr.com/photos/darwinbell/<br />
  30. 30. ¿Cómo puedo saber si mis datos están a salvo?<br />http://www.flickr.com/photos/horiavarlan/<br />
  31. 31. ¿Cómo se acredita la seguridad de mis datos?<br />ISO 27001<br />SAS 70<br />Esquema Nacional de Seguridad<br />SafeHarbor, Directiva Europea 95/46/EC y LOPD<br />
  32. 32. ISO27001<br />Calidad en la Gestión de la Seguridad de los Sistemas de Información (ISMS)<br />Promovido por ISO<br />Modelo de madurez<br />Continuidad de negocio<br />Auditoría para certificación<br />12.934 ISMS certificados en 117 países (ISO Survey 2009, pub. 25/10/2010)<br />
  33. 33. ¿Qué significa tener un ISMS?<br />Definido, implementado y auditado:<br />Gestión de riesgos, amenazas, vulnerabilidades e impacto<br />Medidas de seguridad y controles<br />Proceso continuo<br />Aspectos clave: confidencialidad, integridad, disponibilidad.<br />
  34. 34. Un ISMS tiene en cuenta<br />Activos<br />El valor de los Activos<br />Sus medidas de seguridad<br />Las vulnerabilidades de las medidas de seguridad<br />Las amenazas<br />Los riesgos<br />Los controles<br />
  35. 35. ¿Qué hay que hacer para tener la ISO 27001?<br />Una organización debe planificar:<br />Alcance del ISMS<br />Su política de seguridad<br />La metodología de gestión de riesgos<br />Un inventario de activos<br />Amenazas<br />Vulnerabilidades<br />Identificar el impacto si se materializa una amenaza<br />Análisis de riesgos<br />Controles y mecanismos de seguridad<br />Debe implementarlo<br />Debe formar a sus trabajadores<br />Debe auditar el proceso<br />Debe evaluar el proceso, identificando acciones de mejora<br />
  36. 36. SAS 70<br />Statement of AuditingStandards nº 70: ServicesOrganization<br />Estándar de auditoría promovido por el American Institute of CertifiedPublicAccountants<br />Guía para la realización de auditorías <br />Complementa ISO 27001<br />
  37. 37. ¿En qué consiste SAS 70?<br />Dos tipos de controles:<br />Tipo I. El informe del auditor indica si las medidas de control existentes en la organización en un momento dado son adecuadas para sus objetivos<br />Tipo II. El informe del auditor incluye además la comprobación de su eficacia durante un periodo de tiempo (6+ meses)<br />
  38. 38. Esquema Nacional de Seguridad<br />Real Decreto 3/2010, de 8 de enero<br />Ámbito de la Ley 11/2007 de LAECSP<br />Política de seguridad en los medios electrónicos de las AAPP<br />Principios básicos y requisitos mínimos<br />http://administracionelectronica.gob.es/recursos/PAE_12924039691699901.pdf?iniciativa=146<br />
  39. 39. ¿Por qué un ENS?<br />Confianza en los servicios de las AAPP<br />Política común de seguridad<br />Elementos de Actuación<br />Plazo limitado de implantación<br />
  40. 40. ¿Cómo se aplica?<br />Categorización de los sistemas de información<br />Dimensiones de Seguridad: Disponibilidad, Autenticidad, Integridad, Confidencialidad y Trazabilidad<br />Perjuicio que puede producirse en caso de fallar alguna.<br />Alto (Incumplimiento grave de una ley, prejuicio al individuo)<br />Medio (Reducción significativa de las capacidades del sistema, Incumplimiento material de una ley)<br />Bajo (Incumplimiento formal)<br />El sistema a su vez se clasifica en Bajo, Medio o Alto<br />
  41. 41. En función de la categoría del SI<br />Marco organizativo<br />Política de seguridad<br />Normativa de seguridad<br />Procedimientos de seguridad<br />Proceso de autorización<br />Marco operacional<br />Planificación<br />Control de acceso<br />Explotación<br />Servicios externos<br />Continuidad del negocio<br />Monitorización del sistema<br />Medidas de protección<br />Protección de las instalaciones e infraestructuras<br />Gestión de personal<br />Protección de los equipos<br />Protección de las comunicaciones<br />Protección de los soportes de información<br />Protección de las aplicaciones informáticas<br />Protección de la información<br />Protección de los servicios<br />
  42. 42. SafeHarbor, Directiva Europea 95/46/EC y LOPD<br />Derecho al control de las personas sobre la información que les concierne<br />Derechos ARCO<br />Consentimiento del afectado y deber de información<br />Definición de medidas de protección de los datos de carácter personal<br />Responsabilidades Administrativas, Civiles y Penales<br />
  43. 43. Tipos de Datos y Medidas<br />Datos de nivel básico, medio (hacienda, servicios financieros, solvencia, perfil del afectado) y alto (salud, ideología, religión…)<br />Medidas de seguridad en función del nivel<br />Identificación y Autenticación <br />Control de acceso<br />Funciones y obligaciones del personal<br />Estructura de los ficheros<br />Gestión de Soportes informáticos<br />Ficheros Temporales<br />Registro de Incidencias<br />Copias de Respaldo y Recuperación<br />Pruebas con datos reales<br />Auditoría<br />Datos en soporte papel<br />
  44. 44. La cesión de datos<br />Aplicabilidad de LOPD<br />Estados Miembros de la Unión Europea<br />Espacio Económico Europeo<br />Países con nivel equiparable (Safe Harbor de EEUU, Suiza, Canadá, Argentina…)<br />Sin un nivel de protección equiparable.<br />Decisión 2001/497/CE, 2004/915/CE, 2010/87/UE…<br />BindingCorporate Rules: transferencias internacionales en una misma compañía<br />
  45. 45. Bueno. Pues ya me quedo más tranquilo…<br />
  46. 46. PlayStation Network (Abril 2011) <br />PlayStation Network<br />Comprometidos más de 77 millones de usuarios.<br />Sony Online Entertainment<br />Comprometidos más de 22 millones de usuarios.<br />Pérdida de la continuidad del servicio >1 mes.<br />http://www.guardian.co.uk/technology/2011/apr/26/playstation-network-hackers-data?intcmp=239<br />http://www.guardian.co.uk/technology/blog/2011/may/03/sony-data-breach-online-entertainment?intcmp=239 <br />
  47. 47. Banco de Santander (Diciembre 2010) <br />Filial UK de Banco de Santander remitió +35,000 extractos a personas equivocadas<br />Considerado “error de imprenta”<br />Investigado por la FinancialServicesAuthority<br />Multa de 2,2M £ a Zurich Seguros en Agosto 2010<br />http://www.independent.co.uk/news/business/news/santander-sends-statements-out-to-wrong-addresses-2168428.html<br />
  48. 48. Servicios Sociales, UK (Noviembre 2007)<br />Extraviados 2 HD con datos de 25 millones de personas<br />Principalmente, menores y sus familias<br />Incluyendo el número de la seguridad social y datos bancarios y económicos<br />No se siguió el protocolo establecido de acceso y traslación de datos<br />http://news.bbc.co.uk/2/hi/uk_news/politics/7103566.stm <br />
  49. 49. En España, la AEPD…<br />Abre un procedimiento a la Consellería de Presidencia de la Xunta al detectar deficiencias de seguridad en el sistema de los juzgados gallegos<br />http://elprogreso.galiciae.com/nova/89481.html<br />Investigará la filtración de datos de Facebook (Mayo 2011)<br />http://www.europapress.es/portaltic/internet/noticia-proteccion-datos-investigara-filtracion-datos-facebook-20110511141631.html <br />Multa a Bankinter por la emisión de 1,000 correos electrónicos sin BCC (Junio 2010)<br />http://protecciondedatosaldia.blogspot.com/2010/06/2000-de-multa-por-envio-de-email-1000.html <br />Multa al Círculo de Lectores de 300,000 euros por ceder datos de ex-socios (Nov. 2010)<br />http://www.conversia.es/castellano/proteccion-datos/noticias/noticia.php?id=133 <br />
  50. 50. Conclusiones<br />@carlosguardiola<br />¿Hay proveedores de confianza? ¿Qué puedo hacer como usuario?<br />@carlosguardiola<br />¿Hay sistemas seguros? ¿Cuánto tardan en detectarse los compromisos de seguridad?<br />@carlosguardiola<br />¿De que me sirve una sanción cuando ya se han comprometido mis datos?<br />
  51. 51. Respuestas Directas<br />No des por sentada la seguridad<br />Conciénciate en tus propias normas de seguridad<br />Infórmate de dónde tienes la información que es importante para ti<br />Reza por que no pase nada<br />O, vive feliz y que pase lo que tenga que pasar<br />
  52. 52. III. CLOUD COMPUTING<br />http://www.flickr.com/photos/wvs/<br />
  53. 53. ¿Qué tiene que ver la Nube en todo esto?<br />http://www.flickr.com/photos/horiavarlan/<br />
  54. 54. ¿Qué es esto de Cloud Computing?<br />Compartición de recursos (procesamiento, almacenamiento, comunicaciones, aplicaciones, ...)<br />5 Características:<br />Consumo bajo demanda <br />Acceso universal<br />Compartición de recursos<br />Elasticidad IT<br />SLAs<br />
  55. 55. Software como Servicio (SaaS)<br />Servicio ofrecido por un proveedor directamente en su plataforma<br />Orientado a productos comerciales<br />Limitada capacidad de parametrización<br />No acceso a plataforma<br />Ej: Salesforce.com, CRM ondemand (1999), Safe Harbor, ISO 27001, SAS 70 Type II<br />
  56. 56. Plataforma como Servicio (PaaS)<br />Uso de un sistema «estándar» desde la red del proveedor del servicio<br />Despliegue de desarrollos a medida y/o personalización de productos comerciales<br />Acceso limitado a la configuración de la infraestructura<br />Capacidad de personalización y construcción<br />Ej: Gmail (2004), Google Docs (2007), Google App Engine (2008). Google Apps SAS 70 Type II<br />
  57. 57. Infraestructura como Servicio (IaaS)<br />Recursos virtuales en la red del proveedor de servicios<br />Base para la creación de nuevos servicios o aplicaciones<br />Control completo<br />Abstracción del hardware subyacente<br />Ej: Amazon Web Services (2006), ISO 27001, SAS 70 Type II<br />
  58. 58. ¿Por qué la moda del Cloud?<br />Revolución de los modelos PaaS e IaaS<br />Ahorro de costes<br />Cambio en el modelo “inversión” vs “operación”<br />Elasticidad IT<br />Sencillez en la gestión<br />Seguridad y fiabilidad<br />
  59. 59. Conclusiones<br />@carlosguardiola<br />¿Por qué hay que hablar de confidencialidad y seguridad en el cloud? ¿Seguro que son problemas específicos?<br />@carlosguardiola<br />¿Alguna vez he sabido dónde estaban físicamente mis datos? ¿Alguna vez me ha importado?<br />@carlosguardiola<br />¿Por qué es necesario un marco legislativo específico? ¿El que tenemos no es suficiente?<br />
  60. 60. Mi sensación<br />Desconocimiento<br />Intereses comerciales (a favor y en contra)<br />Temor a nuevas burbujas tecnológicas<br />Miedo al cambio<br />
  61. 61. IV. CONCLUSIONES<br />http://www.flickr.com/photos/cayusa/<br />
  62. 62. CLOUD COMPUTING: SEGURIDAD EN LA NUBE, ¿DÓNDE QUEDA NUESTRA CONFIDENCIALIDAD?<br />Algunas conclusiones<br />
  63. 63. La sociedad de la información tiene uno de sus pilares en la compartición<br />Las medidas de seguridad nunca son suficientes<br />La existencia de un marco legislativo no garantiza su cumplimiento<br />Como usuario, no hay diferencia en el modelo Cloud / Físico<br />
  64. 64. En cierta medida, somos dueños de:<br />Qué decimos<br />A quién se lo decimos <br />Cómo se lo decimos<br />La confidencialidad es nuestro derecho<br />Como con cualquiera de nuestros derechos, quizá tenemos que preocuparnos por que se cumpla<br />
  65. 65. Gracias<br />carlos.guardiola@medianet.es<br />@carlosguardiola<br />

×