Seguridad jurídica en la nube

Tudela, 15 de abril de 2013

¿Qué es la nube?

Privacidad y la nube

Modelo que permite, de forma práctica y

desde cualquier ubicación, el acceso bajo

demanda a una serie de recursos informáticos

configurables compartidos (redes, servidores,

sistemas de almacenamiento, aplicaciones y

servicios), que pueden ser rápidamente

dotados y puestos en funcionamiento con un

mínimo esfuerzo de gestión e interacción con

el proveedor de servicios.

Definición de Cloud

Imagen extraída de AGPD

• Autoservicio bajo demanda

• Acceso a través de la red utilizando clientes

heterogéneos

• Agrupación de recursos: asignación dinámica a

usuarios múltiples

• Flexibilidad

• Servicio sujeto a medida

• Reducción de costes informáticos

Características esenciales

Nube privada

Nube privada:

• De uso exclusivo para una organización con múltiples

usuarios.

• Gestionada por la propia organización o por una tercera

parte.

• En los locales de la organización o fuera de ellos.

• Infraestructura dedicada a una organización específica

• Generalmente no es compartida con otros usuarios.

Modelos de despliegue

Nube pública

Nube pública:

• Uso del público en general bajo el control del proveedor de

servicios.

• Se aloja, opera y gestiona desde uno o más centros de

datos utilizando una infraestructura común para todos los

usuarios.

• Cliente con grado muy limitado de control y supervisión

sobre el proveedor,

• Acuerdo de nivel de servicios no sujeto o con limitadas

posibilidades de negociación.

Modelos de despliegue

Nube pública Nube privada

Modelos de despliegue

Nube híbrida:

• La infraestructura es el resultado de la combinación de las

anteriores.

• Solución para la gestión de datos en organizaciones

complejas,

• Los datos críticos o sujetos a requisitos legales específicos

son gestionados por la parte privada de la nube

• El resto de la información de negocio es procesada en una

infraestructura pública o comunitaria.

• Modelo que podría imponerse en un futuro próximo desde

el sistema de nube privada ahora dominante en el entorno

empresarial.

Características del tipo de nube

Generalmente se considera que el modelo de nube

privada permite un mayor control sobre el

tratamiento.

En las nubes públicas el tipo de modelo usado por el

proveedor – centralizado o distribuido – determinará

las posibilidades de control.

El modelo híbrido permite a priori más flexibilidad

sin estar exento de riesgo.

Modelo de servicio

¿Quién no tiene…….?

“El 63% de las empresas españolas ya

se han subido a la nube”

Y tú?

Por qué nos subimos a la nube?

Informe ONTSI 2012

Beneficios valorados por la empresa tras cloud

Si pero ………..…………………….

Principales retos de la nube

Donde están mis datos?

¿En qué lugar se guardan las fotos que posteamos en

Instagram?

¿Los e-mails con adjuntos que enviamos a través de Gmail o

de Yahoo?

¿Dónde están los documentos, las películas o la música que

depositamos en Dropbox?

¿A dónde va a parar nuestro calendario, la agenda, los

contactos de móvil que sincronizamos con el correo?

Donde están mis datos?

http://www.wayfaring.com/maps/show/48030

Ubicaciones de los servidores Google

La legislación de privacidad en el mundo

1,- Las comunicaciones en la red Internet no tienen privacidad alguna y todas las

empresas deben compartir los datos y conversaciones de sus clientes con el

gobierno y espiar en su nombre.

2,- Los estados unidos quedan habilitados para bloquear indefinidamente

cualquier web site que se les ocurra.

3,- El gobierno de USA queda habilitado para cancelar en cualquier momento el

acceso a la red Internet y dejar a todos incomunicados.

“Presentan la ley como una herramienta que hará que el gobierno y las

compañías se mantengan al día en lo concerniente a “riesgos de seguridad y

se protejan más eficientemente”. Compañías como Twitter, Facebook (que

respalda esta ley) y proveedores de servicios de internet podrían

entonces pasar información privada de sus usuarios, así como sobre la

actividad de estos/as en línea, a autoridades oficiales”

EEUU.- LEY CISPA

Podré acceder a mi información

cuando lo necesite?

¿Qué estamos firmando?

10, CANCELACIÓN

Puede interrumpir el uso de los servicios de Google en cualquier momento que lo desee. Con el

presente documento, muestra su conformidad respecto a que Google, en cualquier momento y por

cualquier motivo, incluyendo un período de inactividad de la cuenta, podrá suspender su acceso a

los servicios de Google, cancelar las Condiciones, interrumpir o bien cancelar su cuenta. En el caso

de cancelación, su cuenta quedará anulada y no se le garantizará el acceso a los servicios de Google,

a su cuenta ni a cualquier archivo u otro contenido de la misma.

Rescisión

A pesar de que preferiríamos que no nos abandone, puede dejar de usar nuestros Servicios en

cualquier momento. Nos reservamos el derecho de suspender o finalizar los Servicios en cualquier

momento, con o sin causa y con o sin notificación previa. Por ejemplo, podemos suspender o rescindir

el uso si no cumple con las presentes Condiciones, o bien si usa los Servicios de un modo que nos

ocasione responsabilidades legales o interrumpa el uso de los Servicios para otras personas. Si

suspendemos o rescindimos el uso, intentaremos informarle por adelantado y ayudarlo a recuperar los

datos, aunque pueden existir algunos casos (por ejemplo, si se violan estas Condiciones de forma

repetida o intencional, si hay una orden judicial o si existe un peligro para otros usuarios) en los que

debamos suspenderlo de inmediato.

¿Quién tiene acceso a mi

información?

Acceso a mi información

3.3. ¿Qué hace Microsoft con mi contenido? Cuando usted

carga su contenido en los servicios, acepta que su contenido se

podrá modificar, adaptar, guardar, reproducir, distribuir y mostrar

en la medida necesaria para protegerle a usted y para

proporcionarle, proteger y mejorar los productos y servicios

de Microsoft. Por ejemplo, en ocasiones podríamos usar medios

automatizados para aislar información de mensajes de correo

electrónico, conversaciones o fotografías para ayudarnos a

detectar el correo no deseado y el software malintencionado y

protegernos contra ello, o para mejorar los servicios con nuevas

características que faciliten su uso. Al procesar su

contenido, Microsoft toma medidas destinadas a ayudar a

proteger su privacidad.

5.3. ¿Microsoft divulga mi información personal fuera de Microsoft? Usted

acepta y autoriza expresamente que Microsoft obtenga acceso a la información

relativa a su uso de los servicios, la divulgue o la conserve, lo que incluye (sin

que sirva de limitación) su información personal y su contenido, así como la

información que Microsoft adquiera sobre usted a través de su uso de los

servicios (por ejemplo, la dirección IP u otros datos de terceros)

cuando Microsoft entienda de buena fe que ello es necesario a fin de: (a)

cumplir con la ley aplicable o responder a procesos legales incoados por las

autoridades competentes; (b) hacer cumplir este contrato o proteger los

derechos o la propiedad de Microsoft o de nuestros clientes; o (c) ayudar a

evitar lesiones físicas o el fallecimiento de cualquier persona.

http://windows.microsoft.com/es-ES/windows-live/microsoft-services-agreement

Riesgo de subcontratación

Usted nos otorgará los permisos que necesitemos para llevar

a cabo dichas tareas únicamente a los fines de prestar los

Servicios.

Este permiso también se extiende a terceros de confianza con

los que trabajemos para prestar los Servicios, por ejemplo,

Amazon, que nos brinda el espacio de almacenamiento (al

igual que en el caso anterior, solo para prestar los Servicios).

Pérdida de control

• Pérdida de control de los datos:

1. Integridad de los datos: Uso de recursos compartidos

2. Disponibilidad cautiva de mis datos

• Situación de ruptura de contrato

3. ¿Quién accede a mis datos?

4. Riesgo subcontratación no consentida

5. Pérdida del control de las medidas preventivas

6. Posibilidad de auditar?

Como recupero mi información?

Si sus servicios se cancelan o terminan, podremos eliminar su contenido de

forma permanente de nuestros servidores, sin que exista ninguna obligación de

que se lo devolvamos a usted. Por consiguiente, le recomendamos que realice

copias de seguridad de su contenido con regularidad.

10.2 Aspectos por los que IBM No Es Responsable

BAJO NINGUNA CIRCUNSTANCIA,IBM, SUS PROVEEDORES O DESARROLLADORES DE

ROGRAMAS SERÁN RESPONSABLES, AUNQUE HUBIESEN SIDO INFORMADOS DE SU

POSIBILIDAD,DE:

a. LA PÉRDIDA DE ,O DAÑO A LOS DATOS;

b. DAÑOS ESPECIALES, INCIDENTALES, PUNITIVOS, INDIRECTOS O CUALQUIER DAÑO

ECONÓMICO CONSECUENCIAL;O

c. PÉRDIDA DE BENEFICIOS, NEGOCIOS, INGRESOS, PLUSVALÍAS O ECONOMÍAS

PREVISTAS.

Jurisdicción para pleitear

6.5 Derecho aplicable y jurisdicción. Este Contrato se interpretará y

aplicará de conformidad con la legislación del Gran Ducado de

Luxemburgo (independientemente de los principios del conflicto de leyes)

y Amazon y usted se someterán a la jurisdicción no exclusiva de los

tribunales de primera instancia de la Ciudad de Luxemburgo para

cualquier disputa o reclamación resultante de o relativa a este Contrato.

Jurisdicción y tribunales competentes. Las Condiciones y la relación

entre usted y Google se regirán por las leyes del estado de California, sin

contemplarse sus normas respecto a conflicto de leyes. Usted y Google

aceptan someterse a la jurisdicción personal y exclusiva de los tribunales

del condado de Santa Clara en California (EE.UU.).

15.2 Si llegara a surgir algún conflicto o diferencia entre las partes en la

interpretación y ejecución de las Condiciones contractuales aplicables al

cliente, y no se resolviera de mutuo acuerdo, el mismo será resuelto a

instancia de cualquiera de las partes y tras la comunicación por escrito a la

otra, mediante arbitraje ante la Corte de Arbitraje de la Cámara de Comercio e

Industria de La Rioja.

ASPECTOS CLAVES DEL CONTRATO

1. CUMPLIMIENTO NORMATIVO

• Objeto y marco temporal del servicio a prestar

• Finalidad del tratamiento, tipos de datos y titulares

afectados

• Instrucciones del responsable al encargado

• Especificación de la forma de devolver y/o destruir la

información

• Procedimiento de copias de seguridad

• Especificación de las medidas de seguridad a adoptar

• Cláusula de confidencialidad para el proveedor y sus

empleados

• Procedimiento a seguir en el caso de ejercicio de derechos

por parte de los titulares de los datos

• Prohibición de comunicación de datos a menos que

se autorice la figura del subencargado. Lista de

encargados y subencargados

• Obligación de informar en caso de brechas de

seguridad y el régimen de responsabilidad asociado

• Lista de países en los que el servicio puede ser

prestado

• Obligación de informar sobre cambios relativos a la

prestación del servicio, incluyendo cambios o adición

de encargados y/o subencargados

• Obligación de proporcionar pistas de auditoría (logs)

detalladas

• Obligación de informar acerca de requerimientos

legales al proveedor que afecten a los datos del

cliente.

• Cifrado de datos en tránsito y almacenamiento

2. PROPIEDAD INTELECTUAL

Protección de mi propiedad intelectual que subo a la nube.

Garantías por parte del proveedor

Establecer el régimen de titularidad de derecho sobre las

creaciones intelectuales que se incluyen en la nube.

Determinar responsabilidades cuando el usuario sube a la

nube a disposición de terceros software ajeno.

• Es aconsejable poner en el contrato la asunción expresa de

los usuarios de toda responsabilidad por actos ilícitos,

evitar responsabilidad del proveedor.

• El proveedor se reserva la facultad de monitorizar y

eliminar contenido, software ajeno que los usuarios suban

a la nube.

3. CONFIDENCIALIDAD

4. RESOLUCION DE CONFLICTOS

Modalidad de resolución

En que país

5. CASO FORTUITO, FUERZA MAYOR Y RESPONSABILIDAD

CONTRACTUAL

6. SEGURIDAD

Definición de un Acuerdo de Nivel de Servicios (ANS) robusto.

Posibilidad de monitorización.

Establecimiento de las métricas que serán la base para determinar

el cumplimiento

Pruebas del plan de continuidad de negocio.

Notificación de las posibles brechas de seguridad.

7. EVIDENCIAS ELECTRÓNICAS:

Cumplimiento normativo.- Registro de accesos,

Deber de vigilancia del empresario.-

Control de mis trabajadores.

Valor de prueba en un juicio laboral, penal, etc.

Informes derivados de auditoria y control: empresa con ISO 27001

implantada que necesita informes de gestión de incidencias, política

de contraseñas, copias de seguridad, etc.

8. INDEMNIZACIÓN:

Económica por incumplimiento de contrato

Disponibilidad de la información

Confidencialidad

Integridad

Responsabilidad por brechas de seguridad

Nuestra realidad

Si tenemos un contrato con clausulas de confidencialidad,

estándares de calidad….

..no se comprueba el cumplimiento

Si podemos hacer auditorias al proveedor para

cumplimiento de medidas de seguridad ..

…no se aplica por alto coste

Si previsto indemnización al cliente …

…no cubre daño de reputación.