Privacidad de la información en la nube

¿Qué sistema de gestión necesita su empresa?

Hablar de criterios e implicaciones de privacidad de la información en la nube, es tratar un tema un tanto acotado y poco difundido, aunque muy usado, entre los usuarios de esta tecnología.

El vertiginoso intercambio de datos entre individuos y organizaciones en la actualidad es de gran volumen en Internet. En los últimos años, se ha generalizado el uso de proveedores de tecnología que ofrecen sus servicios desde la red.

El acceso a este tipo de servicios está muy arraigado entre los usuarios, basta mencionar servicios como flickr , Amazon S3 o Salesforce. Los procesos basados en la nube son la mayor parte del mercado de los servicios de este tipo, e incluye publicidad, comercio electrónico, recursos humanos y procesos de pago.

Una de las principales formas de generar confianza, entre proveedores y usuarios (clientes), es ponerse de acuerdo sobre quién obtiene qué derechos, y quién asume responsabilidades de lo que pase con la información en la nube.

Hay preocupación ya que muchos de los asuntos de privacidad de la información en la nube son objeto de constantes inquietudes acerca de:

  • La información dispuesta a través de servidores y aplicaciones externos.
  • La manera en cómo las personas y las organizaciones conforman su postura ante las políticas aplicables, regulaciones estándar, contratos y políticas de intercambio.
  • La metodología con la que la información es puesta en la nube y cómo permanece en ella, así como también la certidumbre de que al borrarla, realmente sea así.
  • Las palabras clave generadas para mostrar y acceder a la información para modificarla, copiarla u otros usos.

Estas consideraciones deberían llevar a la difusión de mecanismos reguladores que orienten a los usuarios a un empleo más definido de estos servicios, así como de las ventajas y desventajas que pueden encontrar en las políticas de privacidad de la información en la nube que los proveedores otorgan.

La introducción de criterios de privacidad de la información en la nube es esencial para resolver las preocupaciones de los usuarios. Algunas políticas de privacidad de estos sitios de almacenamiento son a la vez que explícitas, requirentes para los usuarios. Un ejemplo se encuentra en la Declaración de derechos y responsabilidades de Facebook, en la cual la empresa específica que la propiedad intelectual del contenido es del usuario, pero al aceptar las condiciones, se le otorga a la empresa un permiso extensible de uso del contenido, mismo que se cancela sólo con la desactivación o eliminación de la cuenta.

El correcto establecimiento de políticas de privacidad de la información en la nube en este tipo de servicios (sea SaaS, PaaS, IaaS) evita que datos como nombre, tarjeta de crédito, registros biométricos, etc., puedan ser usados para distinguir o rastrear la identidad de un individuo; y éstos se utilicen para cometer fraudes, robos de identidad, envío de correo no deseado, entre otros.

No obstante, falta preocupación de los proveedores respecto a las consecuencias de no tener control adecuado sobre la privacidad de la información en la nube de sus clientes. Un hecho concreto ocurre en la declaración de políticas de Amazon o Facebook, en las que se aclara a los clientes que no se respalda la seguridad del servicio, pues éste se ofrece tal cual y sin ningún tipo de garantía.

Los miedos de los usuarios están justificados, pues no existe una figura legal que establezca discernimientos sobre cuándo una información puede hacerse pública, cuándo debe estar asegurada, o bien, cuando es robada.

Empresas como Microsoft han clamado por la instauración de una legislación específica para la seguridad de la nube, aunque reconoce que “necesita hacer políticas de seguridad más transparentes, pero además el gobierno de Estados Unidos debería introducir políticas específicas de protección de datos para el cómputo en nube y reprimir con más eficacia a usuarios maliciosos que afecten a centros de datos.”

En varias legislaciones el avance en cuanto a privacidad y protección de la información ha crecido lentamente, a través de leyes de Protección de Datos Personales, en la cual se preservan en esencia la privacidad, confinación y autodeterminación de la información de las personas.

En general, en las leyes se hace observación sobre el consentimiento, el cual se entiende como la “manifestación de la voluntad del titular de los datos personales mediante la cual se efectúa el tratamiento de los mismos”.

El criterio de consentimiento aplicado a las políticas de uso de los servicios de cómputo en la nube podría servir para dar contexto y referencia sobre lo que usuarios podrían exigir en caso de presentarse una infiltración o violación a las sesiones privadas en este tipo de servicios, aunque debemos ser conscientes que la amenaza siempre estará presente.

Riesgos

Entre los riesgos que más persisten bajo este panorama se pueden mencionar:

  • El uso permitido de información por parte del proveedor podría no estar claramente definida en los términos del servicio o contrato, permitiendo al proveedor, por ejemplo, usarla para sus propósitos o venderla a terceros. Por ejemplo la red social Hi5 específica que parte de la información personal del miembro es revelada durante todo el año a terceros para propósitos publicitarios, y que si el usuario desea saber a quién se proporcionó estos datos requiere solicitarla al administrador de la red.
  • El proveedor podría ser requerido para permitir a autoridades judiciales locales o extranjeras buscar en la información resguarda por éste.
  • La información almacenada por el proveedor podría verse comprometida, sin informar a las autoridades competentes o a los usuarios afectados por el incidente.
  • El proveedor podría no tomar las medidas necesarias para evitar perder accidentalmente la información.
  • Que los proveedores no garanticen al usuario que su información no sea expuesta durante el intercambio de datos con otros usuarios a través de estos servicios.
  • La viabilidad del proveedor. ¿Qué sucede con la información si el proveedor queda en bancarrota? Empresas como Facebook, indican en su declaración de políticas que si esto ocurriera la información sería respaldada, se transferiría con el proveedor que adquiriera la marca y se respetarán las políticas de privacidad de la información convenidas cuando se creó la cuenta.
  • La eliminación completa de la información del usuario en la infraestructura de nube existe dentro del decálogo de políticas, por ejemplo en la de Google Inc. se establece que “debido a la forma en que Google mantiene ciertos servicios, una vez que se haya eliminado la información, es posible que las copias residuales tarden algún tiempo en eliminarse de los servidores activos y que permanezcan en los sistemas de copia de seguridad”.

Privacidad de la información en la nube: responsabilidad del proveedor y del usuario

El proveedor y el usuario deberían cumplir con los siguientes lineamientos para procurar la privacidad de la información.

Proveedor

  • Garantizar al usuario proporcionar toda divulgación en relación con las prácticas y procedimientos de seguridad que se incluyen en los Niveles de Servicio.
  • Divulgar al usuario la localización geográfica de la información.
  • Informar al usuario cuando el proveedor esté obligado a entregar su información a una autoridad legal.
  • Contar en los términos del servicio con una cláusula que garantice que se niega el acceso a los datos como política general.
  • Aplicar los requisitos de acceso a la información impuestas por el usuario.
  • No podrá reclamar la propiedad de cualquier información agregada, creada, generada, modificada, almacenada, o en cualquier otra forma asociada con la propiedad intelectual del usuario, esfuerzo de ingeniería o creatividad de medios de comunicación.
  • Especificar qué puede y no hacer el proveedor con la información del usuario.
  • Proporcionar al menos un mecanismo de acceso, por ejemplo una API 14, para la manipulación de la información del usuario.
  • Garantizar que se realicen copias de seguridad de la información del usuario y no mezclarla con la de otros usuarios.
  • Avalar que se utiliza un cifrado robusto de almacenamiento de la información, el cual imposibilite el acceso a la misma cuando ésta sea reciclada, enajenada o accedida por cualquier medio distinto a las solicitudes, procesos o entidades autorizadas.
  • Destruir la información, cuando el usuario lo solicite, en todas las localizaciones físicas y lógicas.
  • Entregar reportes de auditorías, las cuales especifiquen que sus planes de continuidad del negocio funcionan.
  • Explicar cómo monitorea y controla el acceso a la información realizado por sus empleados.

Usuario

  • Comprender cómo se mantiene la privacidad de la información y hacer evidente el compromiso de ésta en pro del cliente.
  • Considerar leyes y directivas del país donde la información se ubica físicamente.
  • Realizar una evaluación de la información y sistemas propuestos a trasladar hacia la nube.
  • Conducir, si se cuenta con los conocimientos necesarios, una evaluación del impacto de la privacidad para identificar y mitigar los riesgos derivados de la privacidad de la información.
  • Determinar quién debería tener acceso a la información, cuáles son sus derechos y privilegios y bajo qué condiciones se otorga el acceso.
  • Generar una política de denegación por defecto.
  • Definir e identificar la clasificación de la información.
  • Revelar información cuando sea requerida por una autoridad legal.
  • Cifrar la información almacenada en la infraestructura en nube y la que está en tránsito.
  • Comprender los mecanismos de compartición para aislar a los distintos usuarios y su correspondiente información.
  • Comprender los procesos de retiro de almacenamiento por del proveedor.
  • Desarrollar planes de retención y destrucción de la información.
  • La computación en nube puede representar una mejora en la privacidad de información de aplicaciones no críticas. Sin embargo la transparencia es crucial, los usuarios deben poder evaluar y comparar las prácticas de seguridad de cada proveedor. Actualmente, la migración de información crítica continúa siendo muy riesgosa (incluso en nubes privadas).
  • Desde esta perspectiva, las preocupaciones por la privacidad continuarán a la alza, ya que la información, en distintos formatos, procesada y almacenada en la nube, usualmente contiene datos personales o información sensible de las organizaciones, los cuales siempre resultan atractivos para los delincuentes cibernéticos.
Fuente: Universidad Nacional Autónoma de México, Privacidad de la información en la nube – Julio César García Vizcaíno, Galvy Ilvey Cruz Valencia

Adaptado por la División Consultoría de EvaluandoCloud.com

¿Qué sistema de gestión necesita su empresa?