Compartir archivos en la nube: Checklist de Seguridad

Frequently Asked Questions Compartir Archivos en la nube

Photo courtesy of photosteve101(CC Attribution)

¿Cómo saber si los datos sensibles están seguros en la nube?

Introducción

Cada vez más, los usuarios se están volcando a servicios para compartir datos de nivel particular como Dropbox, y almacenar allí datos corporativos sensibles. Si bien los usuarios confían en estos servicios para llevar a cabo su trabajo, las compañías no pueden arriesgarse con estas soluciones.

Con el coste de las intrusiones de datos llegando a los millones, es esencial saber: ¿son estos servicios en la nube seguros para gestionar datos sensibles de las organizaciones?

Las regulaciones de seguridad de datos son cada vez más importantes de comprender y navegar. ¿Cumple su proveedor de servicios en la nube con las leyes de privacidad de datos requeridas en su área?

La UE tiene una larga historia de leyes relacionadas con la privacidad de datos, tanto a nivel de países individuales como a un nivel global de la unión.

Con los recientes cambios legislativos en la unión europea dando de baja el EU-US Safe Harbor Act por orden del Tribunal de Justicia de la UE, la importancia de la privacidad de datos y el control sobre ellos, asimismo como también las regulaciones locales a las que sus datos están sujetos, debe ser una preocupación central en la mente de todo administrador de sistemas. **¿Está su proveedor de servicios en la nube actualizado con respecto a los requerimientos legales específicos? ¿Cumplen con todo lo necesario y obligatorio?**

Éstas son las preguntas que este documento le ayudará a resolver. Las listas de comprobación en las páginas siguientes le guiarán a través de los problemas a los que se enfrenta, determinar su propio nivel de exposición y riesgo, y le ayudarán a asegurarse de que mantienes los requeridos niveles de seguridad, cumplimiento y gobernanza.

Primero, ¿por qué es esto tan importante?

Como responsable de sistemas de información, usted está a cargo de proteger todos los datos sensibles, demostrar que están protegidos, y cumplir con todos los requerimientos legales en este proceso: al compartir archivos en la nube usted debe preocuparse por…

Soberanía de datos: 

este es el concepto por medio del cual se describe que la información que ha sido convertida y almacenada en formato digital está sujeta a las leyes del país en el cual está localizada. Es su responsabilidad, por lo tanto, almacenar los ficheros de forma local o en la nube. Comprender las obligaciones legales es crítica en las decisiones tecnológicas.

Seguridad:

La seguridad de datos es un mandato y se debe tener consideración por los protocolos y procesos de seguridad para cada uno de los casos de uso, incluyendo el control de acceso, la residencia de los metadatos, y la gestión de las claves. Muchos protocolos de redes de distribución de contenidos (CDNs en inglés) como por ejemplo WebDAV, y otros de acceso web no funcionan con datos cifrados. Conocer las capacidades de seguridad y cifrado disponibles para proteger sus datos es una obligación.

Control:

Los protocolos de seguridad y procesos de su empresa pueden llegar a desaparecer cuando los pone en manos de un proveedor externo. Adicionalmente al control de acceso, la habilidad para gestionar, monitorizar y registrar la actividad de forma completa, y el backup y restore de los datos y metadatos son obligatorios.

Un fallo en alguna de estas áreas puede provocar daños inconmensurables incluyendo pérdida de propiedad intelectual, valor de marca y otros. De hecho, aún  si no ocurriese ningún tipo de fuga de información, una auditoría fallida podría infligir daños muy serios y hacernos incurrir en costes millonarios en multas.

Para proteger sus datos y su negocio debe hacerse preguntas difíciles…

¿Está el hardware bajo su control?

Lista de comprobación de hardware

  • ¿Dónde está ubicado el hardware, y quien tiene acceso a él? Cómo se otorga acceso físico y cómo se deja de otorgar?
  • ¿Quién posee acceso administrativo, y cómo está gestionado?¿Cómo es controlado el acceso, auditado, y registrado?
  • ¿Cómo están alineadas sus políticas de gobernanza?
  • ¿Cuáles son las leyes de soberanía de datos que se aplican en su caso?
  • ¿Cómo se hacen copias de seguridad del hardware, cómo se aplican parches y actualizaciones?

La seguridad comienza con el hardware. Si usted pone el control en manos de un proveedor, debe confirmar que los estándares de seguridad se cumplen (siguiendo sus propios estándares así como también los de la legislación vigente) además, usted debe estar seguro de que se mantienen los niveles de acuerdo de servicio con los usuarios.

A fin de cuentas, usted debe ser capaz de demostrar en cualquier momento quién ha accedido a sus servidores y por qué.

Asegúrese de leer la letra pequeña, solicitar pruebas, y visitar las instalaciones si es posible antes de compartir archivos en la nube. Haga lo que sea necesario para certificar que cualquier nueva instalación cumple con las leyes locales del país donde se encuentra: en última instancia usted es el responsable de la seguridad de datos, aún cuando estos estén alojados en un proveedor externo, en un centro de datos exterior.

¿Por dónde pasan sus datos?

Lista de comprobación de red

  • ¿Dónde están los puntos finales, y quien tiene acceso?
  • ¿A dónde van sus datos cuando están en tránsito y como están protegidos?
  • ¿Qué pasa en una situación de disaster recovery o caída?
  • ¿Está la red cumpliendo con sus estándares de seguridad?
  • ¿Cómo sabe cuándo se ha detectado una intrusión?
  • ¿Qué cosas o quiénes están escuchando/analizando el tráfico de datos?
  • ¿Se utilizan redes de distribución de contenidos para acelerar el tráfico? ¿Cuáles?
  • ¿Puede el tráfico ser cifrado en su red de distribución de contenido (CDN)?

Las preguntas referidas a la red son similares al las referidas a las cuestiones de hardware, pero aún más complejas.

Un elemento bastante poco conocido es la CDN, o red de distribución de contenido. Es enteramente posible que al compartir archivos en la nube, una CDN sea parte de una cadena que conduce a un fichero sin cifrar en el centro de datos de un tercero. Entonces allí usted tiene que hacer las mismas preguntas una y otra vez.

Debe descubrir a través de la cadena completa de redes de distribución de contenido si existe o puede existir algún acceso sin cifrado en alguno de los puntos.

La monitorización de la red debería proveer las respuestas requeridas para cumplir con las obligaciones legales. Recuerde: usted puede estar en riesgo aún sin que se produzcan fugas de información. El mero desconocimiento puede ser suficiente para meterse en problemas en caso de auditorías.

¿Dónde residen sus datos?

Lista de comprobación de almacenamiento

  • ¿Dónde están almacenados los ficheros, y quien tiene acceso a ellos?
  • ¿Son los ficheros escaneados cuando arriban?
  • ¿Qué tipo de retención y seguimiento se utiliza?
  • ¿Qué sucede si usted quiere recuperar sus ficheros?
  • ¿Qué sucede si el gobierno quiere acceder a sus datos?
  • ¿Cómo se gestiona el cifrado? ¿Quién posee las claves?
  • ¿Qué pasa cuando usted borra los datos? ¿Y con la deduplicación?

Las cuestiones relacionadas al almacenamiento son bastante espesas. Comienzan con quién es el propietario de los datos. Algunos acuerdos de licencia hacen que el proveedor de servicios sea el propietario de los mismos. Esto significa que están obligados por la ley a entregarle los datos al gobierno si éste lo solicita. Algunas leyes de soberanía de datos ponen el riesgo en usted, aún si los datos están alojados en una tercera compañía. Conozca sus derechos… y sus riesgos.

Luego están las cuestiones técnicas. Algunos proveedores de nube acceden a los ficheros para hacer escaneos y deduplicar, algo que es realmente ilegal en algunos países y jurisdicciones para algunos tipos de ficheros. Asegúrese de que la gestión de las claves está controlada de manera estricta. Y sea cuidadoso con respecto al borrado de los datos –es posible que algunos datos no sean borrados realmente, o que algunos componentes de los ficheros queden como residuos en el momento de la de-duplicación, lo que puede seguir representando un riesgo para usted.

¿Quién utiliza sus datos?

Lista de comprobación de usuarios y administradores

  • ¿Cómo se aprovisionan los usuarios, y cómo se los autentifica? ¿SSO?
  • ¿Cómo son entrenados los administradores, filtrados y monitorizados?
  • ¿Los administradores siguen sus políticas, o las suyas propias?
  • ¿Cómo son registrados y auditados los usuarios?
  • ¿Qué tipo de logs de usuarios están disponibles para fijar alertas?
  • ¿Pueden los usuarios o administradores saltearse o no respetar sus políticas de IT?
  • ¿Cómo se mantienen las claves? ¿Y cómo se restablecen? ¿Quién tiene acceso a ellas?

A causa de la necesidad, los proveedores de servicio entrenan a su personal de una manera genérica. La gente está probablemente bien entrenada en los procedimientos de la empresa que los contrata, pero no en las políticas y procedimientos de sus clientes finales. Si usted tiene una necesidad única en alguna de estas áreas –hardware, red, almacenamiento, backup, usuarios y administradores – el proveedor probablemente sea incapaz de cubrir todos los flancos. Usted necesita acceso a los logs de usuarios y tener la habilidad de incorporarlos en sus propias herramientas: si depende del proveedor de servicios para esto, recuerde que el fracaso de éste será su propio fracaso en una auditoría.

Usted también querrá estar seguro de que está en control absoluto de las claves porque esto determinará finalmente quién es el que controla sus datos.

¿Funciona todo como un conjunto?

Lista de comprobación de integración

  • ¿Se respetan sus políticas de gobernanza?
  • ¿Debe usted exponer los archivos a la nube para acceder a ellos? 
  • ¿Cómo hace para aprovechar las inversiones existentes en tecnología?
  • ¿Cómo hace para aprovechar sus herramientas y procedimientos existentes?
  • ¿Qué bases de datos pueden ser utilizadas para sus ficheros?
  • ¿Qué almacenamiento puede continuar siendo útil para sus ficheros?
  • ¿Es este otro silo aislado de datos adicional para gestionar?
  • ¿Cómo puede usted dar soporte a requerimientos futuros?

Su organización de IT puede haber invertido años creando una arquitectura y estructura que cumpla con regulaciones legales, políticas de retención, procesos de borrado, y con sus propios estándares estrictos.

Si no puede integrar y potenciar esas soluciones en su sistema para compartir archivos en la nube, entonces una gran parte de la inversión ha sido malgastada. Y además, usted está incorporando un nuevo silo de datos.

Es posible integrar servicios externos abriendo un nuevo agujero en su cortafuegos, pero esto no es lo ideal. Incluso habrán datos que no puede dejar salir al exterior, entonces siempre existirá una separación entre el servicio en la nube y lo que usted está intentando hacer de forma interna. El comprender cómo puede satisfacer nuevos requerimientos a futuro le ayudará a tomar las mejores decisiones para su organización en la actualidad.

¿Cumple Ud. con la ley?

Lista de comprobación regulatoria

  • ¿Sabe quién es el responsable de mantener la seguridad en sus datos sensibles?
  • ¿Está usted en una organización multinacional, regida por diferentes reglas?
  • ¿Cumple su proveedor con todas estas regulaciones?
  • ¿Es su proveedor una subsidiaria de una compañía privada totalmente norteamericana?
  • ¿Es su proveedor obediente de las directivas de la EU Data Protection Directive /BDSG/PRISM/FISA/etc.?
  • ¿Es Ud. el propietario de los datos almacenados en su proveedor?
  • ¿Es Ud. capaz de cumplir con las leyes de protección de datos?
  • ¿Puede demostrar que está Ud. en control de sus datos?

Esta última es la principal pregunta que toda empresa debe hacerse: 

¿puede demostrar que es usted quien está en el  control total? 

Si es así, usted está en buena forma. Si no, es probablemente tiempo para reevaluar.

Las regulaciones giran alrededor del conocimiento y el control. La pérdida de control en cualquier momento sobre algún fichero puede ser un problema en una auditoría, y un inconveniente real en caso de un ataque.

El cumplimiento de las regulaciones toma diversas formas, y usted necesita estar atento a cómo las leyes exteriores a su propio país pueden impactar en la privacidad de los datos de su compañía. Un ejemplo de esto tiene que ver con las subsidiarias de empresas americanas. Sin importar donde está ubicada la oficina exterior fuera de los Estados Unidos, si la compañía propietaria de la subsidiaria es una compañía norteamericana, se puede invocar el US Patriot Act y los datos personales pueden estar en riesgo.

Existen acuerdos marco a nivel de la UE y también leyes y regulaciones específicas de cada país a considerar. La regulaciones que abarcan la Unión Europea incluyen el Data Protection Directive que regula la recogida y transferencia de datos personales fuera de la Unión Europea, y el Safe Harbor Agreement (que fue dado de baja por la corte europea de justicia en octubre del 2015 y reemplazado con el Privacy Shield). Con la baja de este acuerdo, las autoridades de protección de datos en los 28 miembros de la Unión Europea puede llegar a no permitir la transferencia de datos a compañías americanas que están sujetas a la vigilancia masiva por medio de leyes como el PRISMA, el FISA y el Patriot Act.

Adicionalmente, cada uno de los 28 estados miembros tiene leyes específicas en su país con las que hay que cumplir.

Comprender cómo su proveedor de servicios cumple con las leyes de protección de datos es crítico para la seguridad y el control de sus datos.

Los propios proveedores de servicios pueden tomar medidas seguras para proteger sus datos. Pero al fin y al cabo son sus datos, y siempre habrá un riesgo si los pone fuera de su empresa.

Un enfoque alternativo con ownCloud

Para empresas que desean y requieren un control definitivo y completo de sus datos existe una aproximación alternativa que igualmente permite disfrutar de los beneficios de la nube.

En esta aproximación, el plano de control para la sincronización y compartición de los datos reside On-Premise dentro de su propio centro de datos corporativo (o de su proveedor de servicios local de confianza). Sin importar donde  están almacenados los datos, las claves de cifrado, los metadatos y el control de acceso es onsite.

Esto significa que aún si usted tiene la obligación de entregar los datos por orden judicial, no puede ser forzado a entregar las claves de cifrado requeridas para descifrarlos. ownCloud es el único fabricante de soluciones “Enterprise File Sync and Share” que provee al Departamento de Sistemas de su empresa de múltiples opciones de almacenamiento que hacen que esto sea posible.

Esta solución corre en una plataforma escalable que permite el compartir datos a nivel empresarial de manera completa, y con integración y extensibilidad a todos los sistemas preexistentes de IT, sus políticas y sus estándares.

Mientras tanto, para los usuarios finales del sistema que simplemente quieren compartir información con sus compañeros y comunicarse de forma más productiva, el sistema se ve y funciona como cualquier servicio en la nube para el consumidor. Esto facilita la adopción por parte de los mismos de una opción para compartir datos de manera segura, y que cumple con las leyes mandatorias a través de la UE y las leyes específicas de cada país.

Traducido del documento original de ownCloud descargable en https://owncloud.com/whitepapers/

Author: Juan Pablo

Trabajé con proveedores de servicios Apple antes de fundar mi propia empresa distribuidora de productos Apple, que conduje por 8 años. Luego he trabajado en consultoría y ventas en varios proveedores de servicios para gobiernos de Europa antes de fundar Leantricity España en Barcelona en 2011. Desde entonces, he trabajado con importantes empresas de servicios TIC para desarrollar proyectos exitosos de ahorro energético en informática destinados a gobiernos autonómicos y locales, así como también en el ámbito sanitario y comercial privado. El Ayuntamiento de Barcelona, la Agencia Española de Administración Tributaria, Heineken España, el Hospital Universitario Germans Trias i Pujol y otros, son algunos de los clientes donde ayudamos a diario y que van desde 1000 a 30.000 ordenadores logrando ahorros de más del 30%. El 100% de nuestros proyectos tienen un ROI de menos de 18 meses. Aparte, trabajo a la distancia como asesor tecnológico del que quizás sea el mejor entrenador de fútbol profesional activo en la actualidad, @Arielholan_DT (si te interesa por qué, puedes leer este artículo: http://www.martiperarnau.com/tactica/cuando-ariel-holan-llego-al-futbol-el-futbol-le-pidio-un-autografo/)

Leave a Reply

Your email address will not be published. Required fields are marked *