Cloud Computing: privacidad en la empresa

En los siguientes puntos se presentan los diferentes aspectos que se han de tener en cuenta en el área de la privacidad del usuario de Cloud Computing:

a) Desde la perspectiva de los individuos que se conectan a la nube: maximizar el control de usuario individual, crear servicios anónimos para usuarios individuales, crear mecanismos para el uso de identidades múltiples y limitar la información de identidad y autenticación para transacciones de alto nivel.

b) Desde la perspectiva de los proveedores de cloud computing: anonimato de la información personal, cifrar datos si contienen información personal, compartimentar-aislar el procesamiento y almacenamiento de datos, controlar los identificadores únicos, gestionar explícitamente los requisitos de seguridad y privacidad entre los proveedores de servicios cloud computing.

c) Desde una perspectiva global: proporcionar un aviso adecuado sobre la privacidad, soportar el desarrollo de PET (Privacy Enhacing Technologies), utilizar la valoración del impacto de la privacidad y coordinar la aplicación de la privacidad y el cumplimiento a través de diferentes áreas jurisdiccionales (por ejemplo, cuando se pasa de un país europeo a un paraíso fiscal). Si los clientes emprenden procesos del tipo test de penetración no suele ser una buena opción en entornos outsourcing como cloud computing ya que el proveedor de la nube no puede distinguir nuestros test con un ataque real y además nuestros test de penetración pueden potencialmente impactar negativamente en otros usuarios de forma inaceptable.

Principales componentes de la seguridad en el Cloud Computing de empresa

Los principales componentes del Cloud Computing desde la perspectiva de la seguridad para las empresas son:

a) Servicios de aprovisionamiento cloud.

Las ventajas principales que puede aportar son la rápida reconstitución de servicios, permite la disponibilidad (provisión en múltiples centros de datos de múltiples instancias) y las capacidades de honey-net avanzadas. El principal desafío identificado, el impacto de comprometer el servicio de aprovisionamiento.

b) Servicios de almacenamiento de datos cloud.

Las ventajas principales que puede aportar son la fragmentación y dispersión de datos, la replicación automatizada, la provisión de zonas de datos (por ejemplo por país), el cifrado en reposo y en tránsito y la retención automatizada de datos. Los principales desafíos identificados son la gestión del aislamiento y el multi-arrendamiento de datos, el controlador de almacenamiento (presenta un único punto de fallo en caso de verse comprometido) y la exposición de datos a posibles gobiernos extranjeros.

c) Infraestructura de procesamiento cloud.

Las ventajas principales que puede aportar son la capacidad para proteger masters y sacar imágenes seguras. En este caso, los principales desafíos identificados son el multi-arrendamiento de aplicaciones, la dependencia en los hipervisores y el aislamiento de procesos y los mecanismos de sandbox para aplicaciones.

d) Servicios de soporte cloud.

Las ventajas principales que puede aportar son los controles de seguridad bajo demanda, por ejemplo la autenticación, el logging, los firewalls, etc. Una vez más, los principales desafíos identificados son el riesgo adicional cuando se integra con aplicaciones del cliente, las necesidades de certificación y acreditación como aplicación separada y las actualizaciones de código.

e) Seguridad perimétrica y de red cloud.

Las ventajas principales que puede aportar son la protección contra la denegación de servicios distribuida o DDoS, las capacidades VLAN, la seguridad perimétrica como IAM/IDS/IPS, firewall, autenticación, etc. Por último, el principal desafío identificado es el de las zonas virtuales con movilidad de aplicaciones.

Facebook podría ser multado por almacenar datos eliminados por los usuarios

Más allá de la cantidad económica que Facebook se podría ver obligado a pagar por una multa, lo más grave o sensible del caso es el hecho de que la mayor red social del mundo sea descubierta almacenando incluso la información que nosotros ya no queremos compartir en ella.

Max Schrems, un austríaco estudiante de derecho, le pidió a Facebook una copia de toda la información que tenían sobre él y le entregaron un disco compacto con 1.200 páginas de cosas sobre su persona, incluyendo algunas que él había borrado del sitio.

Con ella, creó una lista de 22 incidentes específicos en los que la página de Mark Zuckerberg retuvo información que había eliminado y la presentó en la comisión de protección de información de Irlanda.

La información que el disco contenía era tan detallada que contemplaba incluso las solicitudes de amistad rechazadas, un listado de los amigos que había eliminado de sus contactos, todas las conversaciones de chat que ha sostenido, etc. Todo lo imaginable, sin importar si lo había quitado de sus actividades, estaba ahí.

Si Facebook es declarado culpable por violación a la protección de la información en el reclamo presentado por Schrems, deberá pagar una multa que podría alcanzar los US$137.600. Un pelo de la cola para las arcas de la compañía, pero un acto que podría (y debiera) sentar un precedente.

Fuente | FayerWayer