seguridad, confidencialidad y cloud

68
CLOUD COMPUTING: SEGURIDAD EN LA NUBE, ¿DÓNDE QUEDA NUESTRA CONFIDENCIALIDAD? Carlos L. Guardiola Director de Desarrollo de Negocio, MediaNet Software

Upload: carlos-guardiola

Post on 26-May-2015

1.806 views

Category:

Technology


4 download

DESCRIPTION

La sociedad de la información supone la compartición y cesión de datos personales de todo tipo. ¿Cómo podemos estar seguros de que estos datos no serán comprometidos? ¿Y cómo afecta en todo esto el modelo de computación en la nube?

TRANSCRIPT

Page 1: Seguridad, Confidencialidad y Cloud

CLOUD COMPUTING: SEGURIDAD EN LA NUBE, ¿DÓNDE QUEDA NUESTRA CONFIDENCIALIDAD?

Carlos L. GuardiolaDirector de Desarrollo de Negocio, MediaNet Software

Page 2: Seguridad, Confidencialidad y Cloud

• 3 Conceptos– Cloud Computing– Seguridad– Confidencialidad

• ¿Cómo se relacionan entre sí?

Page 3: Seguridad, Confidencialidad y Cloud

http://www.flickr.com/photos/missfortune/

I. CONFIDENCIALIDAD

Page 4: Seguridad, Confidencialidad y Cloud

¿Existe la Confidencialidad en el mundo 2.0?

http://www.flickr.com/photos/horiavarlan/

Page 5: Seguridad, Confidencialidad y Cloud

¿Qué es la confidencialidad?

• confidencialidad.– 1. f. Cualidad de confidencial.

• confidencial.– (De confidencia).– 1. adj. Que se hace o se dice en confianza o con

seguridad recíproca entre dos o más personas.

• confidencia.– (Del lat. confidentĭa).– 1. f. Revelación secreta, noticia reservada.

Page 6: Seguridad, Confidencialidad y Cloud

about.me/carlosguardiola

Page 7: Seguridad, Confidencialidad y Cloud

Lo que revelamos acerca de nosotros porque queremos

Page 8: Seguridad, Confidencialidad y Cloud

El impacto de un tweet

Page 9: Seguridad, Confidencialidad y Cloud

¿Qué por qué lo llaman Red Social?

http://www.neuroproductions.be/twitter_friends_network_browser/

Page 10: Seguridad, Confidencialidad y Cloud

Llega a más de 9.000 TL

Page 11: Seguridad, Confidencialidad y Cloud

http://tweetreach.com/

Page 12: Seguridad, Confidencialidad y Cloud

Localización

Page 13: Seguridad, Confidencialidad y Cloud

Foursquare

Page 15: Seguridad, Confidencialidad y Cloud

Facebook

Page 17: Seguridad, Confidencialidad y Cloud

http://online.wsj.com/article/SB10001424052748704513104575256701215465596.htm

l

Page 18: Seguridad, Confidencialidad y Cloud

Facebook Connect es el OpenID?

• En 2010– +400M usuarios activos– +1,5M páginas de empresa– +500,000 aplicaciones– +80,000 sitios web autentican desde FB– +60 millones de usuarios se autentican vía FB– +100 millones de personas acceden vía móvil

• http://www.digitalbuzzblog.com/facebook-statistics-facts-figures-for-2010/

• http://trends.builtwith.com/docinfo/OpenID– 6,298 sites usan OpenID (Mayo 2011)

Page 19: Seguridad, Confidencialidad y Cloud

Algo para pensar

• De la política de privacidad de FB– Actividad en FB– Cesión de información general (nombre y los nombres de tus amigos,

fotografías de perfil, sexo, identificador de usuario, conexiones y cualquier compartido público) en conexiones a través de FB Connect

– Seguimiento de campañas y anuncios– Indexación de información “pública”– Cesión de datos agregados que no te identifiquen a anunciantes para

anuncios personalizados y anuncios sociales– Cesión de datos que te sí te identifiquen a proveedores de servicios de

FB y en su Marketplace

• Pese a eliminar, cierta información permanece.• ¿Información cedida?

Page 20: Seguridad, Confidencialidad y Cloud

“Riesgos inherentes a compartir información”

• Aunque te permitimos definir opciones de privacidad que limiten el acceso a tu información, ten en cuenta que ninguna medida de seguridad es perfecta ni impenetrable

• No podemos controlar las acciones de otros usuarios con los que compartas información

• No podemos garantizar que sólo vean tu información personas autorizadas

• No podemos garantizar que la información que compartas en Facebook no pase a estar disponible públicamente

• No somos responsables de que ningún tercero burle cualquier configuración de la privacidad o medidas de seguridad en Facebook

• Puedes reducir estos riesgos utilizando hábitos de seguridad de sentido común. http://www.flickr.com/photos/fr1zz/

Page 21: Seguridad, Confidencialidad y Cloud

¿Entendemos el mundo 2.0?

Page 22: Seguridad, Confidencialidad y Cloud

Lo que saben de nosotros porque no nos queda más remedio

Page 23: Seguridad, Confidencialidad y Cloud

La relación con las AAPP

• Los datos personales recogidos serán incorporados y tratados en el fichero "Sugerencias y Reclamaciones" cuya finalidad es tramitar las sugerencias, reclamaciones y peticiones de información presentadas por los ciudadanos así como realizar estadísticas. Estos datos podrán ser cedidos de conformidad con la legislación vigente en materia de protección de datos de carácter personal

• Menos mal que sabemos que esta información es confidencial

Page 24: Seguridad, Confidencialidad y Cloud

Denuncia por Exceso de Velocidad

• Matrícula, Marca y Modelo del vehículo

• Datos personales, DNI y domicilio.

• Menos mal que sabemos que esto es confidencial

Page 25: Seguridad, Confidencialidad y Cloud

Formulario Seguro de Vida

• Menos mal que sabemos que esta información es confidencial

Page 27: Seguridad, Confidencialidad y Cloud

Historia Clínica

• Informe de alta– Datos relativos al centro:

• Nombre, dirección, teléfono• Servicio o Unidad donde se

produce el alta• Facultativo responsable del alta

– Datos de identificación del paciente:

• Nombre y apellidos• Nº de historia clínica• Fecha de nacimiento y sexo

– Datos referidos al proceso asistencial:

• Fecha de admisión y alta• Motivo del ingreso• Estado en el momento del alta • Destino • Diagnóstico principal • Otros diagnósticos (si procede) • Procedimientos quirúrgicos y/o

obstétricos• Otros procedimientos significativos

(si procede) • Resumen clínico (antecedentes,

exploración física, exploraciones complementarias, curso clínico y recomendaciones terapéuticas)

• Menos mal que sabemos que esta información es confidencial

Page 28: Seguridad, Confidencialidad y Cloud

Factura de Servicios

Page 29: Seguridad, Confidencialidad y Cloud

Menos mal que sabemos que…

… según el Decreto 711/2002 de 26 de marzo del Ministerio Español de Ciencia y Tecnología, queda prohibida la búsqueda por números de teléfono

Page 30: Seguridad, Confidencialidad y Cloud

Conclusiones

@carlosguardiola¿Quién tiene información sobre mí? ¿Qué hace con ella?

@carlosguardiola¿Dónde la guarda? ¿Qué medidas toma para protegerla?

@carlosguardiola¿A quién se la cede? ¿Cómo la elimina?

Page 31: Seguridad, Confidencialidad y Cloud

Respuestas directas a preguntas directas

N

P

I

NO

PUEDO

INTUIRLO

Page 32: Seguridad, Confidencialidad y Cloud

II. SEGURIDAD

http://www.flickr.com/photos/darwinbell/

Page 33: Seguridad, Confidencialidad y Cloud

¿Cómo puedo saber si mis datos están a salvo?

http://www.flickr.com/photos/horiavarlan/

Page 34: Seguridad, Confidencialidad y Cloud

¿Cómo se acredita la seguridad de mis datos?

• ISO 27001• SAS 70• Esquema Nacional de Seguridad• Safe Harbor, Directiva Europea 95/46/EC

y LOPD

Page 35: Seguridad, Confidencialidad y Cloud

ISO27001

• Calidad en la Gestión de la Seguridad de los Sistemas de Información (ISMS)

• Promovido por ISO• Modelo de madurez• Continuidad de negocio• Auditoría para certificación• 12.934 ISMS certificados en 117 países

(ISO Survey 2009, pub. 25/10/2010)

Page 36: Seguridad, Confidencialidad y Cloud

¿Qué significa tener un ISMS?

• Definido, implementado y auditado:– Gestión de riesgos, amenazas,

vulnerabilidades e impacto– Medidas de seguridad y controles– Proceso continuo

• Aspectos clave: confidencialidad, integridad, disponibilidad.

Page 37: Seguridad, Confidencialidad y Cloud

Un ISMS tiene en cuenta

• Activos• El valor de los Activos• Sus medidas de seguridad• Las vulnerabilidades de las medidas de

seguridad• Las amenazas• Los riesgos• Los controles

Page 38: Seguridad, Confidencialidad y Cloud

¿Qué hay que hacer para tener la ISO 27001?

• Una organización debe planificar:– Alcance del ISMS– Su política de seguridad– La metodología de gestión de riesgos– Un inventario de activos– Amenazas– Vulnerabilidades– Identificar el impacto si se materializa una amenaza– Análisis de riesgos– Controles y mecanismos de seguridad

• Debe implementarlo• Debe formar a sus trabajadores• Debe auditar el proceso• Debe evaluar el proceso, identificando acciones de mejora

Page 39: Seguridad, Confidencialidad y Cloud

SAS 70

• Statement of Auditing Standards nº 70: Services Organization

• Estándar de auditoría promovido por el American Institute of Certified Public Accountants

• Guía para la realización de auditorías • Complementa ISO 27001

Page 40: Seguridad, Confidencialidad y Cloud

¿En qué consiste SAS 70?

• Dos tipos de controles:– Tipo I. El informe del auditor indica si las

medidas de control existentes en la organización en un momento dado son adecuadas para sus objetivos

– Tipo II. El informe del auditor incluye además la comprobación de su eficacia durante un periodo de tiempo (6+ meses)

Page 41: Seguridad, Confidencialidad y Cloud

Esquema Nacional de Seguridad

• Real Decreto 3/2010, de 8 de enero• Ámbito de la Ley 11/2007 de LAECSP• Política de seguridad en los medios

electrónicos de las AAPP• Principios básicos y requisitos mínimos

• http://administracionelectronica.gob.es/recursos/PAE_12924039691699901.pdf?iniciativa=146

Page 42: Seguridad, Confidencialidad y Cloud

¿Por qué un ENS?

• Confianza en los servicios de las AAPP• Política común de seguridad• Elementos de Actuación• Plazo limitado de implantación

Page 43: Seguridad, Confidencialidad y Cloud

¿Cómo se aplica?

• Categorización de los sistemas de información– Dimensiones de Seguridad: Disponibilidad,

Autenticidad, Integridad, Confidencialidad y Trazabilidad– Perjuicio que puede producirse en caso de fallar alguna.

• Alto (Incumplimiento grave de una ley, prejuicio al individuo)• Medio (Reducción significativa de las capacidades del

sistema, Incumplimiento material de una ley)• Bajo (Incumplimiento formal)

– El sistema a su vez se clasifica en Bajo, Medio o Alto

Page 44: Seguridad, Confidencialidad y Cloud

En función de la categoría del SI

• Marco organizativo– Política de seguridad– Normativa de seguridad– Procedimientos de seguridad– Proceso de autorización

• Marco operacional– Planificación– Control de acceso– Explotación– Servicios externos– Continuidad del negocio– Monitorización del sistema

• Medidas de protección

– Protección de las instalaciones e infraestructuras

– Gestión de personal– Protección de los equipos– Protección de las

comunicaciones– Protección de los soportes de

información– Protección de las aplicaciones

informáticas– Protección de la información– Protección de los servicios

Page 45: Seguridad, Confidencialidad y Cloud

Safe Harbor, Directiva Europea 95/46/EC y LOPD

• Derecho al control de las personas sobre la información que les concierne

• Derechos ARCO• Consentimiento del afectado y deber de

información• Definición de medidas de protección de los

datos de carácter personal• Responsabilidades Administrativas, Civiles

y Penales

Page 46: Seguridad, Confidencialidad y Cloud

Tipos de Datos y Medidas

• Datos de nivel básico, medio (hacienda, servicios financieros, solvencia, perfil del afectado) y alto (salud, ideología, religión…)

• Medidas de seguridad en función del nivel– Identificación y Autenticación – Control de acceso– Funciones y obligaciones del

personal– Estructura de los ficheros– Gestión de Soportes

informáticos– Ficheros Temporales

– Registro de Incidencias– Copias de Respaldo y

Recuperación– Pruebas con datos reales– Auditoría– Datos en soporte papel

Page 47: Seguridad, Confidencialidad y Cloud

La cesión de datos

• Aplicabilidad de LOPD• Estados Miembros de la Unión Europea• Espacio Económico Europeo• Países con nivel equiparable (Safe Harbor de

EEUU, Suiza, Canadá, Argentina…)• Sin un nivel de protección equiparable.

– Decisión 2001/497/CE, 2004/915/CE, 2010/87/UE…

• Binding Corporate Rules: transferencias internacionales en una misma compañía

Page 48: Seguridad, Confidencialidad y Cloud

Bueno. Pues ya me quedo más tranquilo…

Page 49: Seguridad, Confidencialidad y Cloud

PlayStation Network (Abril 2011)

• PlayStation Network– Comprometidos más de 77 millones de usuarios.

• Sony Online Entertainment– Comprometidos más de 22 millones de usuarios.

• Pérdida de la continuidad del servicio >1 mes.

• http://www.guardian.co.uk/technology/2011/apr/26/playstation-network-hackers-data?intcmp=239

• http://www.guardian.co.uk/technology/blog/2011/may/03/sony-data-breach-online-entertainment?intcmp=239

Page 50: Seguridad, Confidencialidad y Cloud

Banco de Santander (Diciembre 2010)

• Filial UK de Banco de Santander remitió +35,000 extractos a personas equivocadas– Considerado “error de imprenta”– Investigado por la Financial Services Authority– Multa de 2,2M £ a Zurich Seguros en Agosto 2010

• http://www.independent.co.uk/news/business/news/santander-sends-statements-out-to-wrong-addresses-2168428.html

Page 51: Seguridad, Confidencialidad y Cloud

Servicios Sociales, UK (Noviembre 2007)

• Extraviados 2 HD con datos de 25 millones de personas

• Principalmente, menores y sus familias• Incluyendo el número de la seguridad social y datos

bancarios y económicos• No se siguió el protocolo establecido de acceso y

traslación de datos

• http://news.bbc.co.uk/2/hi/uk_news/politics/7103566.stm

Page 52: Seguridad, Confidencialidad y Cloud

En España, la AEPD…

• Abre un procedimiento a la Consellería de Presidencia de la Xunta al detectar deficiencias de seguridad en el sistema de los juzgados gallegos

– http://elprogreso.galiciae.com/nova/89481.html

• Investigará la filtración de datos de Facebook (Mayo 2011)– http://www.europapress.es/portaltic/internet/noticia-proteccion-datos-investigara-filtr

acion-datos-facebook-20110511141631.html

• Multa a Bankinter por la emisión de 1,000 correos electrónicos sin BCC (Junio 2010)

– http://protecciondedatosaldia.blogspot.com/2010/06/2000-de-multa-por-envio-de-email-1000.html

• Multa al Círculo de Lectores de 300,000 euros por ceder datos de ex-socios (Nov. 2010)

– http://www.conversia.es/castellano/proteccion-datos/noticias/noticia.php?id=133

Page 53: Seguridad, Confidencialidad y Cloud

Conclusiones

@carlosguardiola¿Hay proveedores de confianza? ¿Qué puedo hacer como usuario?

@carlosguardiola¿Hay sistemas seguros? ¿Cuánto tardan en detectarse los compromisos de seguridad?

@carlosguardiola¿De que me sirve una sanción cuando ya se han comprometido mis datos?

Page 54: Seguridad, Confidencialidad y Cloud

Respuestas Directas

• No des por sentada la seguridad• Conciénciate en tus propias normas de

seguridad• Infórmate de dónde tienes la información

que es importante para ti• Reza por que no pase nada

• O, vive feliz y que pase lo que tenga que pasar

Page 55: Seguridad, Confidencialidad y Cloud

III. CLOUD COMPUTING

http://www.flickr.com/photos/wvs/

Page 56: Seguridad, Confidencialidad y Cloud

¿Qué tiene que ver la Nube en todo esto?

http://www.flickr.com/photos/horiavarlan/

Page 57: Seguridad, Confidencialidad y Cloud

¿Qué es esto de Cloud Computing?

• Compartición de recursos (procesamiento, almacenamiento, comunicaciones, aplicaciones, ...)

• 5 Características:– Consumo bajo demanda – Acceso universal– Compartición de recursos– Elasticidad IT– SLAs

Page 58: Seguridad, Confidencialidad y Cloud

Software como Servicio (SaaS)

• Servicio ofrecido por un proveedor directamente en su plataforma

• Orientado a productos comerciales• Limitada capacidad de parametrización• No acceso a plataforma

• Ej: Salesforce.com, CRM on demand (1999), Safe Harbor, ISO 27001, SAS 70 Type II

Page 59: Seguridad, Confidencialidad y Cloud

Plataforma como Servicio (PaaS)

• Uso de un sistema «estándar» desde la red del proveedor del servicio

• Despliegue de desarrollos a medida y/o personalización de productos comerciales

• Acceso limitado a la configuración de la infraestructura

• Capacidad de personalización y construcción

• Ej: Gmail (2004), Google Docs (2007), Google App Engine (2008). Google Apps SAS 70 Type II

Page 60: Seguridad, Confidencialidad y Cloud

Infraestructura como Servicio (IaaS)

• Recursos virtuales en la red del proveedor de servicios

• Base para la creación de nuevos servicios o aplicaciones

• Control completo• Abstracción del hardware subyacente

• Ej: Amazon Web Services (2006), ISO 27001, SAS 70 Type II

Page 61: Seguridad, Confidencialidad y Cloud

¿Por qué la moda del Cloud?

• Revolución de los modelos PaaS e IaaS• Ahorro de costes• Cambio en el modelo “inversión” vs

“operación”• Elasticidad IT• Sencillez en la gestión• Seguridad y fiabilidad

Page 62: Seguridad, Confidencialidad y Cloud

Conclusiones

@carlosguardiola¿Por qué hay que hablar de confidencialidad y seguridad en el cloud? ¿Seguro que son problemas específicos?

@carlosguardiola¿Alguna vez he sabido dónde estaban físicamente mis datos? ¿Alguna vez me ha importado?

@carlosguardiola¿Por qué es necesario un marco legislativo específico? ¿El que tenemos no es suficiente?

Page 63: Seguridad, Confidencialidad y Cloud

Mi sensación

• Desconocimiento

• Intereses comerciales (a favor y en contra)

• Temor a nuevas burbujas tecnológicas

• Miedo al cambio

Page 64: Seguridad, Confidencialidad y Cloud

IV. CONCLUSIONES

http://www.flickr.com/photos/cayusa/

Page 65: Seguridad, Confidencialidad y Cloud

CLOUD COMPUTING: SEGURIDAD EN LA NUBE, ¿DÓNDE QUEDA NUESTRA

CONFIDENCIALIDAD?

Algunas conclusiones

Page 66: Seguridad, Confidencialidad y Cloud

• La sociedad de la información tiene uno de sus pilares en la compartición

• Las medidas de seguridad nunca son suficientes

• La existencia de un marco legislativo no garantiza su cumplimiento

• Como usuario, no hay diferencia en el modelo Cloud / Físico

Page 67: Seguridad, Confidencialidad y Cloud

• En cierta medida, somos dueños de:– Qué decimos– A quién se lo decimos – Cómo se lo decimos

• La confidencialidad es nuestro derecho

• Como con cualquiera de nuestros derechos, quizá tenemos que preocuparnos por que se cumpla

Page 68: Seguridad, Confidencialidad y Cloud

Gracias

[email protected]

@carlosguardiola