Seguridad jurídica en la nube
Tudela, 15 de abril de 2013
Modelo que permite, de forma práctica y
desde cualquier ubicación, el acceso bajo
demanda a una serie de recursos informáticos
configurables compartidos (redes, servidores,
sistemas de almacenamiento, aplicaciones y
servicios), que pueden ser rápidamente
dotados y puestos en funcionamiento con un
mínimo esfuerzo de gestión e interacción con
el proveedor de servicios.
Definición de Cloud
Imagen extraída de AGPD
• Autoservicio bajo demanda
• Acceso a través de la red utilizando clientes
heterogéneos
• Agrupación de recursos: asignación dinámica a
usuarios múltiples
• Flexibilidad
• Servicio sujeto a medida
• Reducción de costes informáticos
Características esenciales
Nube privada
Nube privada:
• De uso exclusivo para una organización con múltiples
usuarios.
• Gestionada por la propia organización o por una tercera
parte.
• En los locales de la organización o fuera de ellos.
• Infraestructura dedicada a una organización específica
• Generalmente no es compartida con otros usuarios.
Modelos de despliegue
Nube pública
Nube pública:
• Uso del público en general bajo el control del proveedor de
servicios.
• Se aloja, opera y gestiona desde uno o más centros de
datos utilizando una infraestructura común para todos los
usuarios.
• Cliente con grado muy limitado de control y supervisión
sobre el proveedor,
• Acuerdo de nivel de servicios no sujeto o con limitadas
posibilidades de negociación.
Modelos de despliegue
Nube pública Nube privada
Modelos de despliegue
Nube híbrida:
• La infraestructura es el resultado de la combinación de las
anteriores.
• Solución para la gestión de datos en organizaciones
complejas,
• Los datos críticos o sujetos a requisitos legales específicos
son gestionados por la parte privada de la nube
• El resto de la información de negocio es procesada en una
infraestructura pública o comunitaria.
• Modelo que podría imponerse en un futuro próximo desde
el sistema de nube privada ahora dominante en el entorno
empresarial.
Características del tipo de nube
Generalmente se considera que el modelo de nube
privada permite un mayor control sobre el
tratamiento.
En las nubes públicas el tipo de modelo usado por el
proveedor – centralizado o distribuido – determinará
las posibilidades de control.
El modelo híbrido permite a priori más flexibilidad
sin estar exento de riesgo.
Modelo de servicio
¿Quién no tiene…….?
“El 63% de las empresas españolas ya
se han subido a la nube”
Y tú?
Por qué nos subimos a la nube?
Informe ONTSI 2012
Beneficios valorados por la empresa tras cloud
Si pero ………..…………………….
Principales retos de la nube
Donde están mis datos?
¿En qué lugar se guardan las fotos que posteamos en
Instagram?
¿Los e-mails con adjuntos que enviamos a través de Gmail o
de Yahoo?
¿Dónde están los documentos, las películas o la música que
depositamos en Dropbox?
¿A dónde va a parar nuestro calendario, la agenda, los
contactos de móvil que sincronizamos con el correo?
Donde están mis datos?
http://www.wayfaring.com/maps/show/48030
Ubicaciones de los servidores Google
La legislación de privacidad en el mundo
1,- Las comunicaciones en la red Internet no tienen privacidad alguna y todas las
empresas deben compartir los datos y conversaciones de sus clientes con el
gobierno y espiar en su nombre.
2,- Los estados unidos quedan habilitados para bloquear indefinidamente
cualquier web site que se les ocurra.
3,- El gobierno de USA queda habilitado para cancelar en cualquier momento el
acceso a la red Internet y dejar a todos incomunicados.
“Presentan la ley como una herramienta que hará que el gobierno y las
compañías se mantengan al día en lo concerniente a “riesgos de seguridad y
se protejan más eficientemente”. Compañías como Twitter, Facebook (que
respalda esta ley) y proveedores de servicios de internet podrían
entonces pasar información privada de sus usuarios, así como sobre la
actividad de estos/as en línea, a autoridades oficiales”
EEUU.- LEY CISPA
Podré acceder a mi información
cuando lo necesite?
¿Qué estamos firmando?
10, CANCELACIÓN
Puede interrumpir el uso de los servicios de Google en cualquier momento que lo desee. Con el
presente documento, muestra su conformidad respecto a que Google, en cualquier momento y por
cualquier motivo, incluyendo un período de inactividad de la cuenta, podrá suspender su acceso a
los servicios de Google, cancelar las Condiciones, interrumpir o bien cancelar su cuenta. En el caso
de cancelación, su cuenta quedará anulada y no se le garantizará el acceso a los servicios de Google,
a su cuenta ni a cualquier archivo u otro contenido de la misma.
Rescisión
A pesar de que preferiríamos que no nos abandone, puede dejar de usar nuestros Servicios en
cualquier momento. Nos reservamos el derecho de suspender o finalizar los Servicios en cualquier
momento, con o sin causa y con o sin notificación previa. Por ejemplo, podemos suspender o rescindir
el uso si no cumple con las presentes Condiciones, o bien si usa los Servicios de un modo que nos
ocasione responsabilidades legales o interrumpa el uso de los Servicios para otras personas. Si
suspendemos o rescindimos el uso, intentaremos informarle por adelantado y ayudarlo a recuperar los
datos, aunque pueden existir algunos casos (por ejemplo, si se violan estas Condiciones de forma
repetida o intencional, si hay una orden judicial o si existe un peligro para otros usuarios) en los que
debamos suspenderlo de inmediato.
¿Quién tiene acceso a mi
información?
Acceso a mi información
3.3. ¿Qué hace Microsoft con mi contenido? Cuando usted
carga su contenido en los servicios, acepta que su contenido se
podrá modificar, adaptar, guardar, reproducir, distribuir y mostrar
en la medida necesaria para protegerle a usted y para
proporcionarle, proteger y mejorar los productos y servicios
de Microsoft. Por ejemplo, en ocasiones podríamos usar medios
automatizados para aislar información de mensajes de correo
electrónico, conversaciones o fotografías para ayudarnos a
detectar el correo no deseado y el software malintencionado y
protegernos contra ello, o para mejorar los servicios con nuevas
características que faciliten su uso. Al procesar su
contenido, Microsoft toma medidas destinadas a ayudar a
proteger su privacidad.
5.3. ¿Microsoft divulga mi información personal fuera de Microsoft? Usted
acepta y autoriza expresamente que Microsoft obtenga acceso a la información
relativa a su uso de los servicios, la divulgue o la conserve, lo que incluye (sin
que sirva de limitación) su información personal y su contenido, así como la
información que Microsoft adquiera sobre usted a través de su uso de los
servicios (por ejemplo, la dirección IP u otros datos de terceros)
cuando Microsoft entienda de buena fe que ello es necesario a fin de: (a)
cumplir con la ley aplicable o responder a procesos legales incoados por las
autoridades competentes; (b) hacer cumplir este contrato o proteger los
derechos o la propiedad de Microsoft o de nuestros clientes; o (c) ayudar a
evitar lesiones físicas o el fallecimiento de cualquier persona.
http://windows.microsoft.com/es-ES/windows-live/microsoft-services-agreement
Riesgo de subcontratación
Usted nos otorgará los permisos que necesitemos para llevar
a cabo dichas tareas únicamente a los fines de prestar los
Servicios.
Este permiso también se extiende a terceros de confianza con
los que trabajemos para prestar los Servicios, por ejemplo,
Amazon, que nos brinda el espacio de almacenamiento (al
igual que en el caso anterior, solo para prestar los Servicios).
Pérdida de control
• Pérdida de control de los datos:
1. Integridad de los datos: Uso de recursos compartidos
2. Disponibilidad cautiva de mis datos
• Situación de ruptura de contrato
3. ¿Quién accede a mis datos?
4. Riesgo subcontratación no consentida
5. Pérdida del control de las medidas preventivas
6. Posibilidad de auditar?
Como recupero mi información?
Si sus servicios se cancelan o terminan, podremos eliminar su contenido de
forma permanente de nuestros servidores, sin que exista ninguna obligación de
que se lo devolvamos a usted. Por consiguiente, le recomendamos que realice
copias de seguridad de su contenido con regularidad.
10.2 Aspectos por los que IBM No Es Responsable
BAJO NINGUNA CIRCUNSTANCIA,IBM, SUS PROVEEDORES O DESARROLLADORES DE
ROGRAMAS SERÁN RESPONSABLES, AUNQUE HUBIESEN SIDO INFORMADOS DE SU
POSIBILIDAD,DE:
a. LA PÉRDIDA DE ,O DAÑO A LOS DATOS;
b. DAÑOS ESPECIALES, INCIDENTALES, PUNITIVOS, INDIRECTOS O CUALQUIER DAÑO
ECONÓMICO CONSECUENCIAL;O
c. PÉRDIDA DE BENEFICIOS, NEGOCIOS, INGRESOS, PLUSVALÍAS O ECONOMÍAS
PREVISTAS.
Jurisdicción para pleitear
6.5 Derecho aplicable y jurisdicción. Este Contrato se interpretará y
aplicará de conformidad con la legislación del Gran Ducado de
Luxemburgo (independientemente de los principios del conflicto de leyes)
y Amazon y usted se someterán a la jurisdicción no exclusiva de los
tribunales de primera instancia de la Ciudad de Luxemburgo para
cualquier disputa o reclamación resultante de o relativa a este Contrato.
Jurisdicción y tribunales competentes. Las Condiciones y la relación
entre usted y Google se regirán por las leyes del estado de California, sin
contemplarse sus normas respecto a conflicto de leyes. Usted y Google
aceptan someterse a la jurisdicción personal y exclusiva de los tribunales
del condado de Santa Clara en California (EE.UU.).
15.2 Si llegara a surgir algún conflicto o diferencia entre las partes en la
interpretación y ejecución de las Condiciones contractuales aplicables al
cliente, y no se resolviera de mutuo acuerdo, el mismo será resuelto a
instancia de cualquiera de las partes y tras la comunicación por escrito a la
otra, mediante arbitraje ante la Corte de Arbitraje de la Cámara de Comercio e
Industria de La Rioja.
ASPECTOS CLAVES DEL CONTRATO
1. CUMPLIMIENTO NORMATIVO
• Objeto y marco temporal del servicio a prestar
• Finalidad del tratamiento, tipos de datos y titulares
afectados
• Instrucciones del responsable al encargado
• Especificación de la forma de devolver y/o destruir la
información
• Procedimiento de copias de seguridad
• Especificación de las medidas de seguridad a adoptar
• Cláusula de confidencialidad para el proveedor y sus
empleados
• Procedimiento a seguir en el caso de ejercicio de derechos
por parte de los titulares de los datos
• Prohibición de comunicación de datos a menos que
se autorice la figura del subencargado. Lista de
encargados y subencargados
• Obligación de informar en caso de brechas de
seguridad y el régimen de responsabilidad asociado
• Lista de países en los que el servicio puede ser
prestado
• Obligación de informar sobre cambios relativos a la
prestación del servicio, incluyendo cambios o adición
de encargados y/o subencargados
• Obligación de proporcionar pistas de auditoría (logs)
detalladas
• Obligación de informar acerca de requerimientos
legales al proveedor que afecten a los datos del
cliente.
• Cifrado de datos en tránsito y almacenamiento
2. PROPIEDAD INTELECTUAL
Protección de mi propiedad intelectual que subo a la nube.
Garantías por parte del proveedor
Establecer el régimen de titularidad de derecho sobre las
creaciones intelectuales que se incluyen en la nube.
Determinar responsabilidades cuando el usuario sube a la
nube a disposición de terceros software ajeno.
• Es aconsejable poner en el contrato la asunción expresa de
los usuarios de toda responsabilidad por actos ilícitos,
evitar responsabilidad del proveedor.
• El proveedor se reserva la facultad de monitorizar y
eliminar contenido, software ajeno que los usuarios suban
a la nube.
3. CONFIDENCIALIDAD
4. RESOLUCION DE CONFLICTOS
Modalidad de resolución
En que país
5. CASO FORTUITO, FUERZA MAYOR Y RESPONSABILIDAD
CONTRACTUAL
6. SEGURIDAD
Definición de un Acuerdo de Nivel de Servicios (ANS) robusto.
Posibilidad de monitorización.
Establecimiento de las métricas que serán la base para determinar
el cumplimiento
Pruebas del plan de continuidad de negocio.
Notificación de las posibles brechas de seguridad.
7. EVIDENCIAS ELECTRÓNICAS:
Cumplimiento normativo.- Registro de accesos,
Deber de vigilancia del empresario.-
Control de mis trabajadores.
Valor de prueba en un juicio laboral, penal, etc.
Informes derivados de auditoria y control: empresa con ISO 27001
implantada que necesita informes de gestión de incidencias, política
de contraseñas, copias de seguridad, etc.
8. INDEMNIZACIÓN:
Económica por incumplimiento de contrato
Disponibilidad de la información
Confidencialidad
Integridad
Responsabilidad por brechas de seguridad
Nuestra realidad
Si tenemos un contrato con clausulas de confidencialidad,
estándares de calidad….
..no se comprueba el cumplimiento
Si podemos hacer auditorias al proveedor para
cumplimiento de medidas de seguridad ..
…no se aplica por alto coste
Si previsto indemnización al cliente …
…no cubre daño de reputación.