Seguridad y Cloud Computing

Posted on 27 enero, 2012 por Andrés

Compliance in Cloud Computing: seguridad juridica en la “nube”

Introducción

http://www.ipc.on.ca
“… unlimited information passing …”
“Modeling Cloud Computing Architecture Without Compromising Privacy: A Privacy by Design Approach.

Según la NIST el cloud computing se entiende con base a las siguientes características:

#1: Autoservicio
#2: Amplio acceso a la red
#3: Reserva recursos comunes
#4: Rapidez y flexibilidad
#5: Medible y supervisado

Fuente: “Guía para la seguridad en áreas críticas de
atención en Cloud Computing” de la CLOUD SECURITY ALLIANCE.
Nicholas G. Carr ya hizo una compartiva del cloud computing con el auge de la comercialización de la electricidad en Estado Unidos, cuando miles de empresas dejaron su actividad para dedicarse exclusivamente a producir y vender electricidad.

“The End of Corporate Computing”: virtualización + “grid” + “web services”

Cifras:

Se estima que el Cloud computing moverá alrededor de:

130 Exabytes a 1,6 Zettabytes (sobre 5 del total) hasta el 2015
Fuente: CISCO

44,2 billones de dólares en 2013
Fuente: IDC

• “Cloud security is a tractable problem–There are both advantages and challenges”

Effectively and Securely Using the Cloud Computing Paradigm

Peter Mell, Tim Grance

NIST, Information Technology Laboratory

“A cloud without robust data protection is not the sort of cloud we need”
Sra. Neelie Kros, European Commission Vice-President for the Digital Agenda

Autodeterminación informativa

¿Qué datos tienen de mi ?
¿Quien los tiene?
¿Con qué finalidad?
Derecho activo de control sobre los datos personales
http://www.forrester.com/cloudprivacyheatmap

Do You Know Where Your Data Is In The Cloud?

http://www.privacyinternational.org/survey/dpmap.jpg

El programa de trabajo 2010-2011 del grupo del Artículo 29 incluía explícitamente analizar el “cloud computing” en relación a la protección de datos de carácter personal.

http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/wpdocs/

Riesgos y amenazas

Top Threats to Cloud Computing V1.0 March 2010

1: Abuso y mal uso del “cloud computing”
2: Interfaces y APIS poco seguros
3: Amenaza interna
4: Tecnologías compartidas
5: Pérdida o fuga de información
6: Secuestro de sesión o servicio
7: Riesgos por desconocimiento

https://cloudsecurityalliance.org/research/top-threats/

1: Accesos de usuarios con privilegios
2: Cumplimiento normativo
3: Localización de datos
4: Aislamiento de datos
5: Recuperación
6: Soporte investigativo
7: Viabilidad a largo plazo

http://www.gartner.com

Guidelines on Security and Privacy in Public Cloud Computing
Wayne Jansen
Timothy Grance

Draft Special Publication 800-144

1: Governance
2: Compliance
3: Trust
4: Architecture
5: Identity and Access Management
6: Software Isolation
7: Data Protection
8: Availability
9: Incident Response

Computer Security Division
Information Technology Laboratory
National Institute of Standards and Technology
Gaithersburg, MD 20899-8930
January 2011

Haz clic para acceder a Draft-SP-800-144_cloud-computing.pdf

Key Security and Privacy Issues

“Cloud computing. Benefits, risks and recommendations for information security” (2009)

Technical risks

Legal risks

http://www.enisa.europa.eu/publications/act/rm/files/deliverables/cloud-computing-risk-assessment

Policy and organizational risks

1 Lock-in
2 Loss of governance
3 Compliance challenges
4 Loss of business reputation due to co-tenant activities
5 Cloud service termination or failure
6 Cloud provider acquisition
7 Supply chain failure

Technical risks

8 Resource exhaustion (under or over provisioning)
9 Isolation failure10 Cloud provider malicious insider – abuse of high privilege roles
11 Management interface compromise (manipulation, availability of
infrastructure)
12 Intercepting data in transit
13 Data leakage on up/download, intra-cloud
14 Insecure or ineffective deletion of data
15 Distributed denial of service (DDoS)
16 Economic denial of service (EDOS)
17 Loss of encryption keys
18 Undertaking malicious probes or scans
19 Compromise service engine
20 Conflicts between customer hardening procedures and cloud environment
Legal risks
21 Subpoena and e-discovery
22 Risk from changes of jurisdiction
23 Data protection risks
24 Licensing risks

Final Draft IWGDPT (16 January 2012)

Working Paper on Cloud Computing Privacy and data protection issues

A. Acuerdos de nivel de servicio

B. Violaciones de la seguridad de la información

B. Transferencia de datos a terceros países que no proporcionan suficienteprotección

C. Vulneración de la legislación y principios de privacidad y protección de datos

D. El responsable del tratamiento acepta términos y condiciones generales que el proveedor de servicios “cloud” le impone, incluyendo la posibilidad de que el proveedor de servicios en la nube puede tratar los datos de una manera que contradice las instrucciones del responsable

E. Proveedores de servicios “cloud”, o subcontratistas utilizan los datos para
finalidades no consentidas por las personas afectadas

F. La rendición de cuentas y responsabilidad se desvanecen la cadena de
subcontrataciones

G. El responsable del tratamiento pierde el control real sobre los datos y su
procesamiento

H. El responsable del tratamiento y sus terceros de confianza (auditores) no pueden
verificar adecuadamente las actividades del proveedor de “cloud”

I. Las autoridades de protección de datos tienen dificultades para supervisar este
tipo de actividades

J. El responsable del tratamiento debe confiar ciegamente en el proveedor
http://www.datenschutz-berlin.de/content/europa-international/international-working-group-on-data-protectio in-telecommunications-iwgdpt

Cumplimiento normativo – Cumplimiento en el “cloud”

Fuente: Cloud Compliance Report. Capítulo Español de la Cloud Security Aliance

• Anteproyecto de Ley de modificación de la Ley
32/2003, de 3 de noviembre, General de Telecomunicaciones
• Ley 11/2007, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos
• Ley 34/2002, de 11 de julio, de Servicios de la Sociedad de la Información y Comercio Electrónico
• Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal
• Aspectos Jurídicos Laborales
• Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal Privacidad y protección de datos

1. Legislación aplicable

2. Encargado de tratamiento

3. Medidas de seguridad

4. Transferencias Internacionales

5. Ejercicio de derechos

6. Autoridades de control

7. Comunicación de datos a autoridades públicas

Contratación de servicios TIC

Fuente: Cloud Compliance Report. Capítulo Español de la Cloud Security Aliance

Evidencias digitales

Fuente: Cloud Compliance Report. Capítulo Español de la Cloud Security Aliance

Las “amenazas principales” y la prueba electrónica

1. Uso indebido o ilícito
2. Abuso o uso indebido de interfaces inseguras
3. Abuso por parte del proveedor del servicio
4. Riesgos asociados a al compartición de recursos
5. Pérdida de datos
6. Fugas de información
7. Secuestro de la cuenta o servicio
8. Otros riesgos desconocidos Auditoria

Necesidad de metodologías y tecnologías de auditoría mdiferenciadas por el modelo de computación en la nube.

Fuente: Cloud Compliance Report. Capítulo Español de la Cloud Security Aliance

Principales áreas a auditar

1. Gobernanza de las TIC
2. Cumplimiento (Normativo y Contractual)
3. Privacidad
4. Seguridad de TIC
5. Gestión de operaciones (Red)
6. Plan de contingencia

Administraciones públicas y cloud Privacy
Recommendations for the Use of Cloud
Computing by Federal Departments and Agencies
Privacy Committee
Web 2.0/Cloud Computing
Subcommittee

Seguridad y fiabilidad en las nubes de la Administración Pública

Informe para la toma de decisiones

Referencias

Privacy in the clouds:

Risks to Privacy and Confidentiality from cloud computing”, del World Privacy Forum (febrero de 2009)

“Cloud computing. Information Assurance Framework” (2011) y “Cloud computing.

Benefits, risks and recommendations for information security”, de ENISA (noviembre de 2009)

“Guía para la seguridad en áreas críticas de atención en cloud computing”, de la CSA (noviembre de 2009)

“Cloud Computing Management – Audit/Assurance Program”, de ISACA (agosto de 2010)

“Privacy Recommendations for the Use of Cloud Computing by Federal Departments and Agencies”, Privacy Committee Web2.0/Cloud Computing Subcommittee (agosto de 2010)

“Cloud computing y protección de datos”, Ramón Miralles(Revista de Internet, Derecho y Pollitica – UOC, octubre de 2010)

“Guidelines on Security and Privacy in Public Cloud Computing”, National Institute of Standards and Technology (enero de 2011)

«Riesgos y Amenazas en Cloud Computing”, INTECO-CERT (marzo de 2011)

“Cloud Compliance Report”, Capítulo Español de la Cloud Security Aliance (mayo de 2011)

“Final Draft Working Paper on Cloud Computing Privacy and data protection issues”, International Working

Data Protection and Telecommunications, (16 de enero de 2012)

El «cloud computing» y la Administración Pública

Posted on 7 noviembre, 2011 por Andrés

Responder

Tras un pequeño análisis , desde mi punto de vista me gustaría comentar ciertos puntos «controvertidos» del uso de las TIC´s por parte de la Administración y formular unas conclusiones claras:

1) Como antecedente al uso de las TIC´s en la Administración, ya encontramos en la primera versión de la Ley 30/1992 de 26 de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, artículo, 45, el impulso al empleo y aplicación de las técnicas y medios electrónicos, informáticos y telemáticos, por parte de la Administración al objeto de desarrollar su actividad y el ejercicio de sus competencias y de permitir a los ciudadanos relacionarse con las Administraciones, además de la Ley 24/2001 de 27 de diciembre al permitir el establecimiento de registros telemáticos para la recepción o salida de solicitudes, escritos y comunicaciones por
medios telemáticos, y la Ley General Tributaria de 2003 que prevé expresamente la actuación administrativa automatizada o la imagen electrónica de los documentos.

2) Que continuando con el marco legal, se refuerza esta intención del uso de las TIC´s por parte de la Administración en la comentada Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

3) Que es claro el avance y la línea que va a seguir la Administración en el uso de las TIC´s por las ventajas que supone: reducción de costes a largo plazo, inmediatez, comodidad, mejor comunicación Administración-ciudadano, etc., PERO por otro lado se deben tener en cuenta las desventajas de este nuevo medio. Creo que la más relevante es la llamada «brecha digital«, o el NO acceso a estas tecnologías de personas de cierta edad o que no están familirizadas con las nuevas tecnologías. Por este motivo, es clave que las Administraciones impartan formaciones a estos grupos sociales, y, sobre todo, por ahora se mantengan los medios «tradicionales»: presencial y papel.

4) Otro punto muy discutido ha sido el de la seguridad de nuestros datos de carácter personal en «la nube«. Creo que este «miedo» es más producto de la novedad del medio que un riesgo real. Como comentaba anteriormente, el acceso a nuestros datos puede ser vulnerado igualmente aunque nuestros datos estuvieran, como aún están, en muchos archivos en papel, por lo que la preocupación o riesgo, en realidad creo que no tiene mucho fundamento. Es más, en muchos aspectos, creo que nuestros datos custodiados por una máquina que encripta la información están más seguros que en papel. Obviamente esto no obsta para que igualmente puedan surgir atentados contra nuestros datos, en cuyo caso para eso tenemos una Ley Orgánica que protege estos derechos fundamentales reconocidos en nuestra Constitución, y una Agencia de Protección de Datos a nivel estatal más las Autoridades de protección de datos a nivel autonómico.

Una vez comentado esto, mis conclusiones serían las soguientes:

1) Las TIC´s y la Administración deben seguir combinándose no sólo porque haya una Ley que lo contemple, sino porque es una realidad social que los ciudadanos cada vez más exigen el uso de esta tecnología que proporciona más ventajas que inconvenientes.

2) Que obviamente se ha de trabajar en la seguridad de nuestros datos de carácter personal en la «nube«.

3) Que se ha de trabajar en cerrar la brecha digital, y que esta función corresponde a la Administración, aunque a medio plazo, por el mero paso del tiempo, ésta desaparecerá. No hay más que ver a qué edad los niños empiezan a usar Internet actualmente.

4) No podemos negarnos a la evolución tecnológica, aunque el «miedo» a los riesgos sea una reacción lógica por su vertiente de desconocimiento técnico que la mayoría tenemos. De ser así, las Administraciones a día de hoy seguirían usando máquinas de escribir…

5) Además, si atendemos a la Ley 11/2007, constatremos que, en sus artículo 3 y 4 ya contempla parte de lo debatido:

Facilitar el acceso por medios electrónicos de los ciudadanos a la información y al procedimiento administrativo, con especial atención a la eliminación de las barreras que limiten dicho acceso (brecha digital). Crear las condiciones de confianza en el uso de los medios electrónicos, estableciendo las medidas necesarias para la preservación de la integridad de los derechos fundamentales, y en especial los relacionados con la intimidad y la protección de datos de carácter personal, por medio de la garantía de la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos (medidas de seguridad). Contribuir a la mejora del funcionamiento interno de las Administraciones Públicas, incrementando la eficacia y la eficiencia de las mismas mediante el uso de las tecnologías de la información, con las debidas garantías legales en la realización de sus funciones (eficacia, inmediatez, transparencia).

Todo esto, sin perjuicio de los principios básicos que la Ley establece:

– El respeto al derecho a la protección de datos de carácter personal, así como a los derechos al honor y a la intimidad personal y familiar.
– Principio de igualdad (evitar la brecha digital).
– Principio de accesibilidad a la información y a los servicios por medios
electrónicos por medios seguros.
– Principio de legalidad en cuanto al mantenimiento de la integridad de las
garantías jurídicas.
– Principio de cooperación en la utilización de medios electrónicos por las
Administraciones Públicas.
– Principio de seguridad en la implantación y utilización de los medios
electrónicos por las Administraciones Públicas.
– Principio de proporcionalidad.
– Principio de responsabilidad y calidad en la veracidad y autenticidad de las
informaciones y servicios ofrecidos por las Administraciones Públicas a través
de medios electrónicos.
– Principio de neutralidad tecnológica y de adaptabilidad al progreso de las
técnicas y sistemas de comunicaciones electrónicas.
– Principio de simplificación administrativa.
– Principio de transparencia y publicidad del procedimiento administrativo.

6) Por tanto, en mi opinión, son muchas las ventajas y muy pocos los inconvenientes que, además, tratan de ser paliados de una forma contundente con las Leyes y principios antes comentados.

7) Por último, y en relación con el punto 6 anterior, resumiría las ventajas e inconvenientes de la siguiente manera:

VENTAJAS:
a) Rapidez y comodidad.
b) Eficiencia en la burocracia.
c) Mayor participación ciudadana y mejor comunicación Administración – ciudadano.

INCONVENIENTES:
a) Brecha digital (es un inconveniente que se irá reduciendo paulatinamente).
b) Más que seguridad, yo hablaría de falta de confianza en la tecnología, una reacción lógica y propia del ser humano ante lo «desconocido».

Ver artículo sobre «nubes particulares».