Cloud Computing (V)

by Fernando on 12/09/2016

Privacidad En Los Servicios De Cloud Computing

Protección De Datos Y Control De Acceso

Hay que tener presente que el principal fundamento del cloud computing es la gestión remota de información, información —en algunos casos sensible— que las organizaciones transfieren en grandes cantidades en servidores de terceros, lo que sin duda conlleva numerosas implicaciones jurídicas; más aún si cabe cuando los datos sean alojados en servidores de otros países, circunstancia esta que puede suponer una convergencia de distintas jurisdicciones, por lo que habrá que determinar la Ley aplicable, los tribunales competentes, las condiciones exigibles de cara a realizar la transferencia de los datos…

En el caso europeo, el marco general en el ámbito de la protección de datos y libre circulación de los mismos viene determinado por la Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

La transposición nacional operada por cada Estado miembro obliga a tener en cuenta la Ley nacional como criterio rector; en el caso de España, la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo (RDLOPD).

Esto aparte, a la hora de utilizar los servicios de cloud computing resulta fundamental asegurar la privacidad de la información, en la medida en que esta constituye el activo más importante de cualquier organización.

En primer lugar, los datos han de ser tratados para poder ser ubicados en «la nube», adaptando su formato o creando un fichero con toda la información, para, a continuación, ser remitidos a «la nube» a través de una conexión de Internet, de un correo electrónico, de una aplicación específica de importación de datos, donde se producirá el procesado y almacenamiento de dichos datos mediante el cálculo de complejas operaciones matemáticas.

Una vez finalizado el procesamiento de los datos, estos vuelven al usuario con el valor añadido de la información generada en «la nube». Cabe indicar que, a efectos de facilitar futuros accesos, los datos pueden almacenarse en «la nube» en copias de seguridad.

Por lo tanto, teniendo en cuenta este proceso que siguen los datos, que «abandonan» la organización que es propietaria de los mismos, es evidente que existe un riesgo relacionado con la privacidad, en la medida en que durante dicho proceso podría darse una interceptación de los datos por parte de un usuario malintencionado. Y aun cuando no fuera así, al fin y al cabo los datos están siendo almacenados y procesados en una infraestructura ajena al control del usuario.

Asimismo, hay que tener presente que los datos que se almacenan en entornos de cloud computing suelen residir en equipos que son compartidos por múltiples clientes, por lo que las organizaciones que gestionan estos datos confidenciales en «la nube» han de mostrar especial atención a la forma en que se accede a dichos datos y a garantizar que dichos datos son almacenados de forma segura. Por otra parte, independientemente de los mecanismos ya indicados que pueden emplearse para minimizar los riesgos de privacidad existentes, el propio usuario ha de ser especialmente meticuloso e identificar qué datos son precisos remitir. No es necesario, por ejemplo, remitir el DNI de los empleados si el servicio de «la nube» que se va a utilizar está relacionado con cálculos sobre las nóminas de los trabajadores. Bastaría con asignar un número a cada empleado, de manera que en caso de que los datos sean interceptados,

Del mismo modo, en el uso de los servicios de cloud computing por parte de una empresa o cualquier otro tipo de organización es necesario que el administrador del sistema establezca un correcto control de acceso que garantice que los usuarios solo trabajan con los datos o procesos para cuyo acceso han sido autorizados.

Lo que se conoce como «saneamiento de datos» viene a constituir igualmente una cuestión de suma importancia. No es sino la eliminación de datos sensibles almacenados cuando dejan de ser utilizados o cuando finaliza el servicio de almacenamiento en cuestión.

Integridad De Los Datos

Evidentemente, los datos han de mantenerse idénticos durante las operaciones de transferencia, almacenamiento o recuperación, algo que resulta especialmente crítico cuando se habla de servicios de cloud computing, pues se está produciendo una constante transferencia de datos entre los servicios de «la nube» y cada uno de los usuarios que acceden a ellos, pues las características de esta permiten que varios usuarios puedan acceder simultáneamente a la información; y modificarla.

Es, por tanto, imprescindible, implementar mecanismos que garanticen la integridad de los datos, siendo que la mayor amenaza en este sentido reside en que como consecuencia de errores en su manipulación, puedan corromperse y verse alterados.

Para evitar tales circunstancias se recurre a los siguientes mecanismos:

  • Control de integridad. Mediante funciones matemáticas se verifica que los datos no se han visto sometidos a modificaciones durante su traslado. Se asigna un valor antes de mover el dato y otro después de hacerlo, de manera que si ambos valores no coinciden, se ha producido un problema en la transacción y debe repetirse.
  • Gestión de cambios. Se crea un histórico que recoge todas las modificaciones que se produzcan en los datos o ficheros almacenados en «la nube», con la fecha en que se producen y el usuario que las realiza.
  • Copias de seguridad. Los servicios de cloud computing permiten la programación de copias de seguridad cada cierto tiempo, de manera que si se produce un fallo de integridad de los datos a nivel general es posible recurrir a una copia de seguridad que recoja una versión anterior.

Prevención Frente A Pérdida

La pérdida de datos, ya sea por fallos en el hardware, por el ataque de un usuario malintencionado, de forma accidental por parte de un usuario…, representa uno de los mayores riesgos de cualquier sistema informático.
Para ello, se antoja fundamental una adecuada política de seguridad que limite la libertad de los usuarios del servicio para borrar elementos del sistema.

También, que proteja a los equipos de ataques de malware e impida que usuarios ajenos accedan a la información.
Cualquier incidencia que se produzca a nivel de componentes electrónicos será solucionada por el proveedor del servicio, que, por ejemplo, en el caso de detectar un fallo en alguno de sus equipos, lo aisla, pasando a otro equipo todos los procesos que se ejecuten en el equipo en el que se hubiera producido el fallo, sin que se interrumpan los servicios de «la nube».
Asimismo, como ya se ha indicado anteriormente, es igualmente importante una buena política de copias de seguridad que permita la recuperación de datos. En este sentido, todos los proveedores de servicios de cloud computing disponen de sistemas de copias de seguridad, en los que basta con seleccionar los archivos que se desean proteger y la periodicidad con la que se desea que se realicen estas copias.

Medidas Preventivas Frente A La Pérdida De Información

Organizativas Legales

  • Adecuada política de seguridad.
  • Sistemas de gestión de seguridad de la información.
  • Buenas prácticas en el manejo de la información.
  • Clasificación de la información, establecimiento
de roles y niveles de acceso.
  • Formación e información interna.

Técnicas

  • Soluciones anti malware y anti fraude.
  • Actualizaciones de seguridad y parches.
  • Control de contenidos y control de tráfico.
  • Seguridad perimetral y protección de las
 comunicaciones.
  • Control de acceso a los recursos.
  • Copias de seguridad.
  • Medidas de seguridad derivadas del
cumplimiento de la legislación.

Legales

  • Aplicación de medidas de adecuación y cumplimiento de la legislación aplicable (LSSI, LOPD…).
  • Solicitud de aceptación de política de seguridad.
  • Solicitud de aceptación de política de confidencialidad.
  • Aplicación de otras medidas de carácter disuasorio en base a la legislación aplicable.

Fuente: http://www.cedro.org

Por tu éxito,
Fernando Amaro

Banner Horiz.590px Únete Al Club De Los Hacedores

Artículos Relacionados
=> Cloud Computing (I)
=> Modelos De Cloud Computing
=> Riesgos En El Cloud Computing
=> Seguridad En Los Servicios De Cloud Computing

{ 0 comments… add one now }

Leave a Comment

Previous post:

Next post:

Página 1 de 11