Archivo de la etiqueta: bbva

Seguridad y Cloud Computing

Posted on por
Responder

Compliance in Cloud Computing: seguridad juridica en la “nube”

Introducción

http://www.ipc.on.ca
“… unlimited information passing …”
“Modeling Cloud Computing Architecture Without Compromising Privacy: A Privacy by Design Approach.

Según la NIST el cloud computing se entiende con base a las siguientes características:

#1: Autoservicio
#2: Amplio acceso a la red
#3: Reserva recursos comunes
#4: Rapidez y flexibilidad
#5: Medible y supervisado

Fuente: “Guía para la seguridad en áreas críticas de
atención en Cloud Computing” de la CLOUD SECURITY ALLIANCE.
Nicholas G. Carr ya hizo una compartiva del cloud computing con el auge de la comercialización de la electricidad en Estado Unidos, cuando miles de empresas dejaron su actividad para dedicarse exclusivamente a producir y vender electricidad.

The End of Corporate Computing”: virtualización + “grid” + “web services”

Cifras:

Se estima que el Cloud computing moverá alrededor de:

130 Exabytes a 1,6 Zettabytes (sobre 5 del total) hasta el 2015
Fuente: CISCO

44,2 billones de dólares en 2013
Fuente: IDC

• “Cloud security is a tractable problem–There are both advantages and challenges”

Effectively and Securely Using the Cloud Computing Paradigm

Peter Mell, Tim Grance

NIST, Information Technology Laboratory

“A cloud without robust data protection is not the sort of cloud we need”
Sra. Neelie Kros, European Commission Vice-President for the Digital Agenda

Autodeterminación informativa

¿Qué datos tienen de mi ?
¿Quien los tiene?
¿Con qué finalidad?
Derecho activo de control sobre los datos personales
http://www.forrester.com/cloudprivacyheatmap

Do You Know Where Your Data Is In The Cloud?

http://www.privacyinternational.org/survey/dpmap.jpg

El programa de trabajo 2010-2011 del grupo del Artículo 29 incluía explícitamente analizar el “cloud computing” en relación a la protección de datos de carácter personal.

http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/

Riesgos y amenazas

Top Threats to Cloud Computing V1.0 March 2010

1: Abuso y mal uso del “cloud computing”
2: Interfaces y APIS poco seguros
3: Amenaza interna
4: Tecnologías compartidas
5: Pérdida o fuga de información
6: Secuestro de sesión o servicio
7: Riesgos por desconocimiento

https://cloudsecurityalliance.org/research/top-threats/

1: Accesos de usuarios con privilegios
2: Cumplimiento normativo
3: Localización de datos
4: Aislamiento de datos
5: Recuperación
6: Soporte investigativo
7: Viabilidad a largo plazo

http://www.gartner.com

Guidelines on Security and Privacy in Public Cloud Computing
Wayne Jansen
Timothy Grance

Draft Special Publication 800-144

1: Governance
2: Compliance
3: Trust
4: Architecture
5: Identity and Access Management
6: Software Isolation
7: Data Protection
8: Availability
9: Incident Response

Computer Security Division
Information Technology Laboratory
National Institute of Standards and Technology
Gaithersburg, MD 20899-8930
January 2011

Haz clic para acceder a Draft-SP-800-144_cloud-computing.pdf

Key Security and Privacy Issues

“Cloud computing. Benefits, risks and recommendations for information security” (2009)

Technical risks

Legal risks

http://www.enisa.europa.eu/publications/act/rm/files/deliverables/cloud-computing-risk-assessment

Policy and organizational risks

1 Lock-in
2 Loss of governance
3 Compliance challenges
4 Loss of business reputation due to co-tenant activities
5 Cloud service termination or failure
6 Cloud provider acquisition
7 Supply chain failure

Technical risks

8 Resource exhaustion (under or over provisioning)
9 Isolation failure10 Cloud provider malicious insider – abuse of high privilege roles
11 Management interface compromise (manipulation, availability of
infrastructure)
12 Intercepting data in transit
13 Data leakage on up/download, intra-cloud
14 Insecure or ineffective deletion of data
15 Distributed denial of service (DDoS)
16 Economic denial of service (EDOS)
17 Loss of encryption keys
18 Undertaking malicious probes or scans
19 Compromise service engine
20 Conflicts between customer hardening procedures and cloud environment
Legal risks
21 Subpoena and e-discovery
22 Risk from changes of jurisdiction
23 Data protection risks
24 Licensing risks

Final Draft IWGDPT (16 January 2012)

Working Paper on Cloud Computing Privacy and data protection issues

A. Acuerdos de nivel de servicio

B. Violaciones de la seguridad de la información

B. Transferencia de datos a terceros países que no proporcionan suficienteprotección

C. Vulneración de la legislación y principios de privacidad y protección de datos

D. El responsable del tratamiento acepta términos y condiciones generales que el proveedor de servicios “cloud” le impone, incluyendo la posibilidad de que el proveedor de servicios en la nube puede tratar los datos de una manera que contradice las instrucciones del responsable

E. Proveedores de servicios “cloud”, o subcontratistas utilizan los datos para
finalidades no consentidas por las personas afectadas

F. La rendición de cuentas y responsabilidad se desvanecen la cadena de
subcontrataciones

G. El responsable del tratamiento pierde el control real sobre los datos y su
procesamiento

H. El responsable del tratamiento y sus terceros de confianza (auditores) no pueden
verificar adecuadamente las actividades del proveedor de “cloud”

I. Las autoridades de protección de datos tienen dificultades para supervisar este
tipo de actividades

J. El responsable del tratamiento debe confiar ciegamente en el proveedor
http://www.datenschutz-berlin.de/content/europa-international/international-working-group-on-data-protectio in-telecommunications-iwgdpt

Cumplimiento normativo – Cumplimiento en el “cloud”

Fuente: Cloud Compliance Report. Capítulo Español de la Cloud Security Aliance

• Anteproyecto de Ley de modificación de la Ley
32/2003, de 3 de noviembre, General de Telecomunicaciones
• Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos
• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico
• Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal
• Aspectos Jurídicos Laborales
• Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal Privacidad y protección de datos

1. Legislación aplicable

2. Encargado de tratamiento

3. Medidas de seguridad

4. Transferencias Internacionales

5. Ejercicio de derechos

6. Autoridades de control

7. Comunicación de datos a autoridades públicas

Contratación de servicios TIC

Fuente: Cloud Compliance Report. Capítulo Español de la Cloud Security Aliance

Evidencias digitales

Fuente: Cloud Compliance Report. Capítulo Español de la Cloud Security Aliance

Las “amenazas principales” y la prueba electrónica

1. Uso indebido o ilícito
2. Abuso o uso indebido de interfaces inseguras
3. Abuso por parte del proveedor del servicio
4. Riesgos asociados a al compartición de recursos
5. Pérdida de datos
6. Fugas de información
7. Secuestro de la cuenta o servicio
8. Otros riesgos desconocidos Auditoria

Necesidad de metodologías y tecnologías de auditoría mdiferenciadas por el modelo de computación en la nube.

Fuente: Cloud Compliance Report. Capítulo Español de la Cloud Security Aliance

Principales áreas a auditar

1. Gobernanza de las TIC
2. Cumplimiento (Normativo y Contractual)
3. Privacidad
4. Seguridad de TIC
5. Gestión de operaciones (Red)
6. Plan de contingencia

Administraciones públicas y cloud Privacy
Recommendations for the Use of Cloud
Computing by Federal Departments and Agencies
Privacy Committee
Web 2.0/Cloud Computing
Subcommittee

Seguridad y fiabilidad en las nubes de la Administración Pública

Informe para la toma de decisiones

Referencias

Privacy in the clouds:

Risks to Privacy and Confidentiality from cloud computing”, del World Privacy Forum (febrero de 2009)

“Cloud computing. Information Assurance Framework” (2011) y “Cloud computing.

Benefits, risks and recommendations for information security”, de ENISA (noviembre de 2009)

Guía para la seguridad en áreas críticas de atención en cloud computing”, de la CSA (noviembre de 2009)

Cloud Computing Management – Audit/Assurance Program”, de ISACA (agosto de 2010)

Privacy Recommendations for the Use of Cloud Computing by Federal Departments and Agencies”, Privacy Committee Web2.0/Cloud Computing Subcommittee (agosto de 2010)

“Cloud computing y protección de datos”, Ramón Miralles(Revista de Internet, Derecho y Pollitica – UOC, octubre de 2010)

Guidelines on Security and Privacy in Public Cloud Computing”, National Institute of Standards and Technology (enero de 2011)

«Riesgos y Amenazas en Cloud Computing”, INTECO-CERT (marzo de 2011)

Cloud Compliance Report”, Capítulo Español de la Cloud Security Aliance (mayo de 2011)

“Final Draft Working Paper on Cloud Computing Privacy and data protection issues”, International Working

Data Protection and Telecommunications, (16 de enero de 2012)