Archive for the ‘Union Europea’ Tag

El espionaje de la NSA y la seguridad de la nube

La seguridad de la nube es objeto de debate constante. Cada uno de los múltiples foros que se organizan para analizar la viabilidad de un proyecto de cloud computing aborda con insistencia esta cuestión. En muchas ocasiones, se aprovecha la seguridad o su falta de ella para no analizar de un modo racional los beneficios y perjuicios de esta tecnología. En este blog siempre hemos huido de aquellos posicionamientos tremendista dirigidos a provocar la huida de quienes desconfían de esta tecnología.

Sin embargo, la realidad parece querer quitarnos la razón. Las labores de espionaje de la NSA en Europa y otros lugares del mundo, conocidas recientemente, vuelven a traer a primera línea del debate esta cuestión. Este proceder por parte del gobierno americano ha provocado la indignación, no sólo de los representantes de los estados afectados, sino la de muchos ciudadanos que asisten, sin poder hacer nada para evitarlo, a una progresiva invasión de su privacidad y esquilme de sus libertades fundamentales. La industria no ha reaccionado, en muchos casos, de modo distinto.

Jimmy Wales, fundador de la Wikipedia ha afirmado que estas prácticas van “a tener un gran impacto en la industria del cloud computing, en tanto que la gente tiene miedo de poner sus datos en los Estados Unidos, pero, a su vez es devastador para el trabajo que realizo”. Ha añadido que estas actividades, en su opinión, van a dificultar que, por parte de organizaciones como Wikipedia, se pueda convencer a regímenes opresores de que respeten las libertades básicas y la privacidad, ante los reiterados intentos de limitar la censura de su contenido.

Una de las consecuencias directas lo constituye el aumento de la desconfianza hacia este tipo de servicios. Así se recoge en un informe de Price WaterhouseCoopers en Alemania que concluye que el cincuenta y cuatro por ciento de las empresas alemanas consideran peligroso utilizar la nube después de conocer la actividad de espionaje de la agencia americana. Esta cifra contrasta con un estudio anterior que establecía que el ochenta y cuatro por ciento de los consejero delegados alemanes opinaban que la nube era segura.

La actividad de la NSA puede tener un impacto negativo directo en la cuenta de resultados de las empresas que prestan servicios cloud. Sin perjuicio de que se trata de un sector en alza Así lo ha afirmado la firma de capital riesgo Venture Partners que ha estimado que las compañías que gestionan nubes públicas en Estados Unidos, tienen un valor de cien mil millones de dólares.  Sin emabargo tal y como se ha pronunciado Nick Boom de la consultora IDC quién estima que pueden producirse pérdidas de hasta treinta y cinco mil millones de dólares si las empresas extranjeras perciben que alojar sus datos en los Estados Unidos es peligroso.

Ante este panorama, la operadora Swisscom quiere aprovechar la estricta normativa suiza sobre secreto y privacidad para crear una nube que atraiga a empresas temerosas de que su información sea objeto de espionaje por terceros. La consultora Gartner ha revisado sus previsiones, tras los últimos acontecimientos, al alza para las empresas que se dedican a proveer seguridad en la nube. Una de las razones de dicho incremento será la necesidad de reforzar la encriptación de las nubes, teniendo un papel fundamental los cloud brokers por la facilidad que presenta para estos intermediarios la implantación de estos recursos.

En todo caso, la actuación de la NSA debe servirnos para que diseñemos políticas de seguridad razonables a la hora de implantar servicios desde la nube, sin menoscabo de revisar los instrumentos a nuestra disposición para protegernos frente actuaciones indiscriminadas que dificulten el normal desarrollo de nuestras empresas y nuestra sociedad.

¿Ha cambiado tu percepción de la seguridad de la nube tras conocer las actuaciones de espionaje de la NSA?

Anuncios

Aclaraciones del ITA sobre prestación de servicios cloud y los Acuerdos de Puerto Seguro.

El Departamento de Comercio Exterior de Estados Unidos (ITA) ha publicado una guía en el que aclara algunos aspectos en relación con los Acuerdos de Puerto Seguro y el cloud computing. Dicho documento surge como respuesta al documento del Grupo del Artículo 29 sobre Cloud Computing de 12 de julio de 2012 y algunas decisiones adoptadas por algunos Estados Miembros.

Aplicación de los Acuerdo del Puerto Seguro al Cloud Computing. 

El documento no considera que el cloud computing constituya, en sí mismo, una nueva tecnología, sino un concepto para definir el modelo de utility de computación descentralizada. Entiende que supone el uso de recursos informáticos a través de redes descentralizadas, especialmente Internet. Entre otros aspectos el documento aclara que dichos acuerdos son de aplicación a aquellas organizaciones, establecidas en la UE, que presten servicios de cloud computing que transfieran datos desde este territorio a los Estados Unidos.

Posibles nuevos estándares de cumplimiento para aquellas entidades que se adhieran a los Acuerdos de Puerto Seguro.

El documento establece que no se han producido nuevos niveles de cumplimiento, a raíz del informe publicado por el Grupo del Artículo 29, dado su carácter consultivo, no vinculante. Sin perjuicio de ello, el documento presta atención a algunos aspectos que han suscitado cierta controversia.

Por un lado, respecto de la comunicación de datos a terceros países que no presentan un nivel de protección adecuado, establece la necesidad de suscribir un contrato con el proveedor de destino por el que garantice que cumple los niveles adecuados de protección recogidos en los Acuerdos de Puerto Seguro.  Por otra parte, en cuanto a la necesidad de realizar indagaciones dirigidas a determinar, si efectivamente, un prestador cumple con lo dispuesto en los Acuerdos de Puerto Seguro, el documento dispone que no es necesario, constituyendo una garantía la aparición en la lista publicada por el Departamento de Comercio.

Los Acuerdos de Puerto Seguro y el Nuevo Reglamento de Protección de Datos.

El documento establece que tras la aprobación del nuevo Reglamento de Protección de datos, estos permanecerán vigentes, no sólo por las declaraciones conjuntas realizadas al respecto por representantes de instituciones americanas y europeas, sino al haberse procedido a incluir una enmienda en la que se establece un periodo de dos años desde la aprobación de cara a preservar los existentes niveles de protección y determinar unos nuevos.

El Sector Público Europeo no rentabiliza el Cloud Computing

Parece que cuando hablamos de la implantación de nube son todo facilidades, simplificación de procesos, mejoras de la conectividad, escalabilidad asegurada, etc… Sin embargo, según un Informe elaborado por RICOCH EUROPE, las Administraciones Públicas Europeas no saben cómo sacarle partido al cloud computing.

Carsten Bruhn, Vicepresidente Ejecutivo de RICOCH EUROPE afirma que “parece que el sector publico no está optimizando los beneficios del cloud computing, incluyendo un acceso más sencillo a la información, un mayor intercambio de conocimientos y una mayor agilidad operativa. Ello puede ser debido a procesos documentales no conectados, donde los procesos, la tecnología y la metodología de trabajo se analizan de un modo aislado en vez partes que necesitan trabajar juntas sin problema alguno”.

El mencionado informe nos aporta unos datos interesantes sobre el uso de esta tecnología en el sector publico a nivel europeo:

  •  El 47 % de las organizaciones del sector público utilizan la nube para compartir documentos.
  • El 71 % lo utilizan para el acceso a documentos vía móvil.
  • El 83 por  tienen acceso a algunos de los últimos dispositivos móviles  tales como teléfonos inteligentes y tabletas, pero su uso se ve obstaculizada por los sistemas heredados de back-end.
  • Existe una brecha entre las tecnologías proporcionadas a la oficina de front y back office, dando lugar a posibles cuellos de botella, la duplicación de esfuerzos, retrasos en el acceso a información en tiempo real y los riesgos de seguridad.
  • Mientras que el 52 por ciento dicen que su seguridad de la información es mejor ahora que en 2009, sólo el 44 por ciento pudo confirmar que sus procesos documentales son seguros, estando expuesto a los riesgos de fuga de datos.

¿Cual es vuestra experiencia en vuestras organizaciones?