seguridad, confidencialidad y cloud

CLOUD COMPUTING: SEGURIDAD EN LA NUBE, ¿DÓNDE QUEDA NUESTRA CONFIDENCIALIDAD?

Carlos L. GuardiolaDirector de Desarrollo de Negocio, MediaNet Software

• 3 Conceptos– Cloud Computing– Seguridad– Confidencialidad

• ¿Cómo se relacionan entre sí?

http://www.flickr.com/photos/missfortune/

I. CONFIDENCIALIDAD

¿Existe la Confidencialidad en el mundo 2.0?

http://www.flickr.com/photos/horiavarlan/

¿Qué es la confidencialidad?

• confidencialidad.– 1. f. Cualidad de confidencial.

• confidencial.– (De confidencia).– 1. adj. Que se hace o se dice en confianza o con

seguridad recíproca entre dos o más personas.

• confidencia.– (Del lat. confidentĭa).– 1. f. Revelación secreta, noticia reservada.

about.me/carlosguardiola

Lo que revelamos acerca de nosotros porque queremos

El impacto de un tweet

¿Qué por qué lo llaman Red Social?

http://www.neuroproductions.be/twitter_friends_network_browser/

Llega a más de 9.000 TL

http://tweetreach.com/

Localización

Foursquare

Algo para pensar

• Historial de localización en iOS y Android– http

://online.wsj.com/article/SB10001424052748703983704576277101723453610.html#ixzz1KGFVHDgp

• Unión Europea crea grupo de trabajo para aclarar la privacidad en la geolocalización– http

://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2011/wp185_en.pdf

Facebook

Algo para pensar

• +$2 billion in EBIDTA (2011) • +600 million users (Jan 2011)

– http://online.wsj.com/article/SB10001424052748704436004576297310274876624.html#ixzz1NU9sHgjB

• Facebook, MySpace y otras RRSS han compartido personales con anunciantes que permitirían obtener el nombre y detalles personales de usuarios (May 2010)– http

://online.wsj.com/article/SB10001424052748704513104575256701215465596.html

http://online.wsj.com/article/SB10001424052748704513104575256701215465596.htm

l

Facebook Connect es el OpenID?

• En 2010– +400M usuarios activos– +1,5M páginas de empresa– +500,000 aplicaciones– +80,000 sitios web autentican desde FB– +60 millones de usuarios se autentican vía FB– +100 millones de personas acceden vía móvil

• http://www.digitalbuzzblog.com/facebook-statistics-facts-figures-for-2010/

• http://trends.builtwith.com/docinfo/OpenID– 6,298 sites usan OpenID (Mayo 2011)

Algo para pensar

• De la política de privacidad de FB– Actividad en FB– Cesión de información general (nombre y los nombres de tus amigos,

fotografías de perfil, sexo, identificador de usuario, conexiones y cualquier compartido público) en conexiones a través de FB Connect

– Seguimiento de campañas y anuncios– Indexación de información “pública”– Cesión de datos agregados que no te identifiquen a anunciantes para

anuncios personalizados y anuncios sociales– Cesión de datos que te sí te identifiquen a proveedores de servicios de

FB y en su Marketplace

• Pese a eliminar, cierta información permanece.• ¿Información cedida?

“Riesgos inherentes a compartir información”

• Aunque te permitimos definir opciones de privacidad que limiten el acceso a tu información, ten en cuenta que ninguna medida de seguridad es perfecta ni impenetrable

• No podemos controlar las acciones de otros usuarios con los que compartas información

• No podemos garantizar que sólo vean tu información personas autorizadas

• No podemos garantizar que la información que compartas en Facebook no pase a estar disponible públicamente

• No somos responsables de que ningún tercero burle cualquier configuración de la privacidad o medidas de seguridad en Facebook

• Puedes reducir estos riesgos utilizando hábitos de seguridad de sentido común. http://www.flickr.com/photos/fr1zz/

¿Entendemos el mundo 2.0?

Lo que saben de nosotros porque no nos queda más remedio

La relación con las AAPP

• Los datos personales recogidos serán incorporados y tratados en el fichero "Sugerencias y Reclamaciones" cuya finalidad es tramitar las sugerencias, reclamaciones y peticiones de información presentadas por los ciudadanos así como realizar estadísticas. Estos datos podrán ser cedidos de conformidad con la legislación vigente en materia de protección de datos de carácter personal

• Menos mal que sabemos que esta información es confidencial

Denuncia por Exceso de Velocidad

• Matrícula, Marca y Modelo del vehículo

• Datos personales, DNI y domicilio.

• Menos mal que sabemos que esto es confidencial

Formulario Seguro de Vida

• Menos mal que sabemos que esta información es confidencial

Renovación del Permiso de Conducir

• Menos mal que sabemos que esta información es confidencial

Historia Clínica

• Informe de alta– Datos relativos al centro:

• Nombre, dirección, teléfono• Servicio o Unidad donde se

produce el alta• Facultativo responsable del alta

– Datos de identificación del paciente:

• Nombre y apellidos• Nº de historia clínica• Fecha de nacimiento y sexo

– Datos referidos al proceso asistencial:

• Fecha de admisión y alta• Motivo del ingreso• Estado en el momento del alta • Destino • Diagnóstico principal • Otros diagnósticos (si procede) • Procedimientos quirúrgicos y/o

obstétricos• Otros procedimientos significativos

(si procede) • Resumen clínico (antecedentes,

exploración física, exploraciones complementarias, curso clínico y recomendaciones terapéuticas)

• Menos mal que sabemos que esta información es confidencial

Factura de Servicios

Menos mal que sabemos que…

… según el Decreto 711/2002 de 26 de marzo del Ministerio Español de Ciencia y Tecnología, queda prohibida la búsqueda por números de teléfono

Conclusiones

@carlosguardiola¿Quién tiene información sobre mí? ¿Qué hace con ella?

@carlosguardiola¿Dónde la guarda? ¿Qué medidas toma para protegerla?

@carlosguardiola¿A quién se la cede? ¿Cómo la elimina?

Respuestas directas a preguntas directas

N

P

I

NO

PUEDO

INTUIRLO

II. SEGURIDAD

http://www.flickr.com/photos/darwinbell/

¿Cómo puedo saber si mis datos están a salvo?

http://www.flickr.com/photos/horiavarlan/

¿Cómo se acredita la seguridad de mis datos?

• ISO 27001• SAS 70• Esquema Nacional de Seguridad• Safe Harbor, Directiva Europea 95/46/EC

y LOPD

ISO27001

• Calidad en la Gestión de la Seguridad de los Sistemas de Información (ISMS)

• Promovido por ISO• Modelo de madurez• Continuidad de negocio• Auditoría para certificación• 12.934 ISMS certificados en 117 países

(ISO Survey 2009, pub. 25/10/2010)

¿Qué significa tener un ISMS?

• Definido, implementado y auditado:– Gestión de riesgos, amenazas,

vulnerabilidades e impacto– Medidas de seguridad y controles– Proceso continuo

• Aspectos clave: confidencialidad, integridad, disponibilidad.

Un ISMS tiene en cuenta

• Activos• El valor de los Activos• Sus medidas de seguridad• Las vulnerabilidades de las medidas de

seguridad• Las amenazas• Los riesgos• Los controles

¿Qué hay que hacer para tener la ISO 27001?

• Una organización debe planificar:– Alcance del ISMS– Su política de seguridad– La metodología de gestión de riesgos– Un inventario de activos– Amenazas– Vulnerabilidades– Identificar el impacto si se materializa una amenaza– Análisis de riesgos– Controles y mecanismos de seguridad

• Debe implementarlo• Debe formar a sus trabajadores• Debe auditar el proceso• Debe evaluar el proceso, identificando acciones de mejora

SAS 70

• Statement of Auditing Standards nº 70: Services Organization

• Estándar de auditoría promovido por el American Institute of Certified Public Accountants

• Guía para la realización de auditorías • Complementa ISO 27001

¿En qué consiste SAS 70?

• Dos tipos de controles:– Tipo I. El informe del auditor indica si las

medidas de control existentes en la organización en un momento dado son adecuadas para sus objetivos

– Tipo II. El informe del auditor incluye además la comprobación de su eficacia durante un periodo de tiempo (6+ meses)

Esquema Nacional de Seguridad

• Real Decreto 3/2010, de 8 de enero• Ámbito de la Ley 11/2007 de LAECSP• Política de seguridad en los medios

electrónicos de las AAPP• Principios básicos y requisitos mínimos

• http://administracionelectronica.gob.es/recursos/PAE_12924039691699901.pdf?iniciativa=146

¿Por qué un ENS?

• Confianza en los servicios de las AAPP• Política común de seguridad• Elementos de Actuación• Plazo limitado de implantación

¿Cómo se aplica?

• Categorización de los sistemas de información– Dimensiones de Seguridad: Disponibilidad,

Autenticidad, Integridad, Confidencialidad y Trazabilidad– Perjuicio que puede producirse en caso de fallar alguna.

• Alto (Incumplimiento grave de una ley, prejuicio al individuo)• Medio (Reducción significativa de las capacidades del

sistema, Incumplimiento material de una ley)• Bajo (Incumplimiento formal)

– El sistema a su vez se clasifica en Bajo, Medio o Alto

En función de la categoría del SI

• Marco organizativo– Política de seguridad– Normativa de seguridad– Procedimientos de seguridad– Proceso de autorización

• Marco operacional– Planificación– Control de acceso– Explotación– Servicios externos– Continuidad del negocio– Monitorización del sistema

• Medidas de protección

– Protección de las instalaciones e infraestructuras

– Gestión de personal– Protección de los equipos– Protección de las

comunicaciones– Protección de los soportes de

información– Protección de las aplicaciones

informáticas– Protección de la información– Protección de los servicios

Safe Harbor, Directiva Europea 95/46/EC y LOPD

• Derecho al control de las personas sobre la información que les concierne

• Derechos ARCO• Consentimiento del afectado y deber de

información• Definición de medidas de protección de los

datos de carácter personal• Responsabilidades Administrativas, Civiles

y Penales

Tipos de Datos y Medidas

• Datos de nivel básico, medio (hacienda, servicios financieros, solvencia, perfil del afectado) y alto (salud, ideología, religión…)

• Medidas de seguridad en función del nivel– Identificación y Autenticación – Control de acceso– Funciones y obligaciones del

personal– Estructura de los ficheros– Gestión de Soportes

informáticos– Ficheros Temporales

– Registro de Incidencias– Copias de Respaldo y

Recuperación– Pruebas con datos reales– Auditoría– Datos en soporte papel

La cesión de datos

• Aplicabilidad de LOPD• Estados Miembros de la Unión Europea• Espacio Económico Europeo• Países con nivel equiparable (Safe Harbor de

EEUU, Suiza, Canadá, Argentina…)• Sin un nivel de protección equiparable.

– Decisión 2001/497/CE, 2004/915/CE, 2010/87/UE…

• Binding Corporate Rules: transferencias internacionales en una misma compañía

Bueno. Pues ya me quedo más tranquilo…

PlayStation Network (Abril 2011)

• PlayStation Network– Comprometidos más de 77 millones de usuarios.

• Sony Online Entertainment– Comprometidos más de 22 millones de usuarios.

• Pérdida de la continuidad del servicio >1 mes.

• http://www.guardian.co.uk/technology/2011/apr/26/playstation-network-hackers-data?intcmp=239

• http://www.guardian.co.uk/technology/blog/2011/may/03/sony-data-breach-online-entertainment?intcmp=239

Banco de Santander (Diciembre 2010)

• Filial UK de Banco de Santander remitió +35,000 extractos a personas equivocadas– Considerado “error de imprenta”– Investigado por la Financial Services Authority– Multa de 2,2M £ a Zurich Seguros en Agosto 2010

• http://www.independent.co.uk/news/business/news/santander-sends-statements-out-to-wrong-addresses-2168428.html

Servicios Sociales, UK (Noviembre 2007)

• Extraviados 2 HD con datos de 25 millones de personas

• Principalmente, menores y sus familias• Incluyendo el número de la seguridad social y datos

bancarios y económicos• No se siguió el protocolo establecido de acceso y

traslación de datos

• http://news.bbc.co.uk/2/hi/uk_news/politics/7103566.stm

En España, la AEPD…

• Abre un procedimiento a la Consellería de Presidencia de la Xunta al detectar deficiencias de seguridad en el sistema de los juzgados gallegos

– http://elprogreso.galiciae.com/nova/89481.html

• Investigará la filtración de datos de Facebook (Mayo 2011)– http://www.europapress.es/portaltic/internet/noticia-proteccion-datos-investigara-filtr

acion-datos-facebook-20110511141631.html

• Multa a Bankinter por la emisión de 1,000 correos electrónicos sin BCC (Junio 2010)

– http://protecciondedatosaldia.blogspot.com/2010/06/2000-de-multa-por-envio-de-email-1000.html

• Multa al Círculo de Lectores de 300,000 euros por ceder datos de ex-socios (Nov. 2010)

– http://www.conversia.es/castellano/proteccion-datos/noticias/noticia.php?id=133

Conclusiones

@carlosguardiola¿Hay proveedores de confianza? ¿Qué puedo hacer como usuario?

@carlosguardiola¿Hay sistemas seguros? ¿Cuánto tardan en detectarse los compromisos de seguridad?

@carlosguardiola¿De que me sirve una sanción cuando ya se han comprometido mis datos?

Respuestas Directas

• No des por sentada la seguridad• Conciénciate en tus propias normas de

seguridad• Infórmate de dónde tienes la información

que es importante para ti• Reza por que no pase nada

• O, vive feliz y que pase lo que tenga que pasar

III. CLOUD COMPUTING

http://www.flickr.com/photos/wvs/

¿Qué tiene que ver la Nube en todo esto?

http://www.flickr.com/photos/horiavarlan/

¿Qué es esto de Cloud Computing?

• Compartición de recursos (procesamiento, almacenamiento, comunicaciones, aplicaciones, ...)

• 5 Características:– Consumo bajo demanda – Acceso universal– Compartición de recursos– Elasticidad IT– SLAs

Software como Servicio (SaaS)

• Servicio ofrecido por un proveedor directamente en su plataforma

• Orientado a productos comerciales• Limitada capacidad de parametrización• No acceso a plataforma

• Ej: Salesforce.com, CRM on demand (1999), Safe Harbor, ISO 27001, SAS 70 Type II

Plataforma como Servicio (PaaS)

• Uso de un sistema «estándar» desde la red del proveedor del servicio

• Despliegue de desarrollos a medida y/o personalización de productos comerciales

• Acceso limitado a la configuración de la infraestructura

• Capacidad de personalización y construcción

• Ej: Gmail (2004), Google Docs (2007), Google App Engine (2008). Google Apps SAS 70 Type II

Infraestructura como Servicio (IaaS)

• Recursos virtuales en la red del proveedor de servicios

• Base para la creación de nuevos servicios o aplicaciones

• Control completo• Abstracción del hardware subyacente

• Ej: Amazon Web Services (2006), ISO 27001, SAS 70 Type II

¿Por qué la moda del Cloud?

• Revolución de los modelos PaaS e IaaS• Ahorro de costes• Cambio en el modelo “inversión” vs

“operación”• Elasticidad IT• Sencillez en la gestión• Seguridad y fiabilidad

Conclusiones

@carlosguardiola¿Por qué hay que hablar de confidencialidad y seguridad en el cloud? ¿Seguro que son problemas específicos?

@carlosguardiola¿Alguna vez he sabido dónde estaban físicamente mis datos? ¿Alguna vez me ha importado?

@carlosguardiola¿Por qué es necesario un marco legislativo específico? ¿El que tenemos no es suficiente?

Mi sensación

• Desconocimiento

• Intereses comerciales (a favor y en contra)

• Temor a nuevas burbujas tecnológicas

• Miedo al cambio

IV. CONCLUSIONES

http://www.flickr.com/photos/cayusa/

CLOUD COMPUTING: SEGURIDAD EN LA NUBE, ¿DÓNDE QUEDA NUESTRA

CONFIDENCIALIDAD?

Algunas conclusiones

• La sociedad de la información tiene uno de sus pilares en la compartición

• Las medidas de seguridad nunca son suficientes

• La existencia de un marco legislativo no garantiza su cumplimiento

• Como usuario, no hay diferencia en el modelo Cloud / Físico

• En cierta medida, somos dueños de:– Qué decimos– A quién se lo decimos – Cómo se lo decimos

• La confidencialidad es nuestro derecho

• Como con cualquiera de nuestros derechos, quizá tenemos que preocuparnos por que se cumpla

Gracias

carlos.guardiola@medianet.es

@carlosguardiola