Versions Date Changes Type of change Delivered by. Version /04/2015 Initial Document - UCBL and INSA of Lyon

Transcripción

1 Project acronym: Project name: Project code: NEBULA A novel vocational training programme on cloud computing skills LLP GR-LEONARDO-LMP Document Information Document ID name: Nebula_WP4_D4.3.1_Learning_Material_and_Content_2015_30_04 Document title: Nebula VET program learning material and content Type: Slides Date of Delivery: 30/04/2015 Work package: WP4 Activity D Dissemination level: Public Document History Versions Date Changes Type of change Delivered by Version /04/2015 Initial Document - UCBL and INSA of Lyon Version /06/2015 Edition Modifications according to feedback provided by partners UCBL and INSA of Lyon Acknowledgement The persons of UCBL in charge of producing the course are Parisa Ghodous, Catarina Ferreira Da Silva, Jean Patrick Gelas and Mahmoud Barhamgi. The persons from UCBL involved in preparing, translation and review are Hind Benfenatki, Gavin Kemp and Olivier Georgeon. The persons of INSA of Lyon in charge of producing the course are Frédérique Biennier, Nabila Benharkat. The persons from INSA of Lyon involved in preparing, translation and review are Francis Ouedraogo and Youakim Badr. Disclaimer The information in this document is subject to change without notice. All rights reserved. The course is proprietary of UCBL and INSA of Lyon. No copying or distributing, in any form or by any means, is allowed without the prior written agreement of the owner of the property rights. This publication reflects the views only of the author, and the Commission cannot be held responsible for any use, which

2 Módulo 3 objetivos El objetivo de este módulo es capacitar al alumno para analizar los riesgos y las implicaciones legales asociados al proceso de migración y para valorar su influencia sobre datos, procesos y aplicaciones Nota: por razones de propiedad intelectual, el logotipo de UCBL debe figurar en todos los usos de los contenidos del curso, así como la nota "derechos de autor DUNOD" que aparece en algunas diapositivas con figuras.

3 Riesgo, seguridad y análisis jurídicopara la migración ala nube APARTADO 3: Gestión de privacidad y seguridad

4 Cómo cree que debe ser protegida la privacidad? Puede definir datos personales / vida privada? Cómo define la privacidad? Conoce alguna técnica para garantizar la privacidad? Sabe cómo están protegidos sus datos personales en la nube? Conoce el marco legal de aplicación en materia de privacidad?

5 Cómo cree que pueden ser evaluados los riesgos asociados a la migración a la nube? En este apartado Aprenderemoslos principios básicos para definir la vida privada y los requisitos de privacidad Obtendremosinformación sobre cómo pueden pueden ser protegidos los datos personales Aprenderemoslos elementos básicos de los marcos jurídicos Identificaremoslos retos que plantea a la privacidad la migración a la nube

6 APARTADO 3 PRESENTACIÓN 1. Privacidad 2.Actores involucrados en el modelo de informática en la nube 3. Soluciones 4. Restricciones legales

7 Informática en la nube La informática en nube ha demostrado ser un paradigma que simplifica en gran medida el éxito del desplieguedel almacenamiento de datos y las capacidades informáticas de las empresas. Proporciona características interesantes: Modelo de precios flexible de pago por uso. Los usuarios pagan sólo por lo que consumen Sin coste inicial por los recursos consumidos (hardware / software) Recursos de almacenamiento y computación escalables (e ilimitados) Sin necesidad de administrar los recursos asignados...

8 Informática en la nube, el lado malo... Sin embargo, estos beneficios tienen un alto precio: Los usuarios y las empresas pierden el control sobre los sistemas que gestionan sus datos y aplicaciones Los usuarios no saben dónde se almacenan sus datos ni quién puede acceder a ellos Los proveedores de la nube (y su personal, por ejemplo administradores de bases de datos y redes, desarrolladores de software, etc.) pueden: Ver la información sensible del usuario Procesar los datos de los usuarios por varias razones: por ejemplo, enviar anuncios personalizados, espiar a la gente, vender los datos a terceros

9 Preocupaciones sobre la privacidad a través de un ejemplo Un Sistema de Gestión de Conferencias (CMS o Conference Management System): Un CMS típico puede realizar las siguientes tareas: Distribuye los documentos a los miembros de la comisión del programa (CP) en función de sus preferencias y conflictos de interés Organiza la recogida y distribución de revisiones y debates Clasifica los documentos según sus puntuaciones Envía recordatorios por correo electrónico, así como notificaciones de aceptación o rechazo Produce informes tales como listas de sub-revisores, estadísticas de aceptación y programas de conferencias

10 Los problemas de privacidad a través de un ejemplo Un CMS basado en la nube tiene las siguientes ventajas (para el presidente de la conferencia): El presidente de la conferencia no tiene que instalar y alojar un servidor Web e instalar un software de CMS en el servidor. Tan sólo necesita crear la cuenta de la conferencia "en la nube" Todo el trabajo de gestión del servidor (incluyendo copias de seguridad y otros aspectos de seguridad) lo hacen en su lugar, con los beneficios que conlleva la economía de escala Ya existen cuentas de los autores y de los miembros del CP, y no necesitan ser gestionadas en base a una única conferencia

11 Los problemas de privacidad a través de un ejemplo Los datos se almacenan de forma indefinida, y los revisores no necesitan guardar copias de sus propias revisiones El sistema puede ayudar a rellenar formularios tales como el de invitación a los miembros del CP o el de solicitud de presentación de comunicaciones, sugiriendo posibles candidatos en base al historial de colaboraciones anteriores Por todas estas razones, los CMS basados en la nube, como EasyChair o EDAS son un gran apoyo para la comunidad académica EasyChair alojó más de conferencias en el año 2014

12 Los problemas de privacidad a través de un ejemplo Preocupaciones sobre privacidad de los datos: Divulgación accidental o deliberada Los administradoresdel CMS basado en la nube se convierten en guardianes de una enorme cantidad de datos sobrepresentacionesy sobre la práctica de revisiónde los investigadores, reunidos a lo largo de múltiplescongresoso conferencias Estos datos podrían ser deliberada o accidentalmente revelados, con consecuencias adversas: El anonimato de los revisores podría verse comprometido, así como la confidencialidad de las deliberaciones del CP Podrían ser identificados los índices de aceptación de los investigadores a lo largo de un período de varios años

13 Los problemas de privacidad a través de un ejemplo Problemas de privacidad de los datos: Divulgación accidental o deliberada El perfil agregado de revisiones (justa/injusta, exhaustiva/escasa, dura/sin discernimiento, rápida/tardía, etc.) de los investigadores podría ser revelado Los datos podrían ser objeto de abuso por parte de: Comités de contratación o promociones Comités de financiación o adjudicación Investigadores en busca de colaboradores y asociados... La mera existencia de los datos hace que los administradores de sistemas sean vulnerables al soborno y la coacción

14 Los problemas de privacidad a través de un ejemplo Problemas de privacidad de los datos: Divulgación accidental o deliberada El problema de la privacidad de los datos existe desde antes de la aparición de la informática en la nube, pero la nube lo "magnifica": Antes de la nube: las vulneracionesde la privacidadde los datos podían afectar a un congreso o conferencia Con la Nube: las vulnearacionesde privacidad de los datos pueden abarcar a miles de congresosa lo largo de varias décadas, lo que implica enormes oportunidades de abuso si los datos caen en manos equivocadas

15 Los problemas de privacidad a través de un ejemplo Problemas de privacidad de los datos: minería de datos beneficiosa Los datos podrían ser explotados también para algunos propósitos beneficiosos: Detección y prevención de frauds y comportamientos no deseados Investigadoresque sistemáticamente y de forma injusta aceptan mutuamente sus comunicaciones, o rivales que rechazan sistemáticamente las suyas respectivamente Revisores que rechazan una comunicación y después presentan en otra conferencia una comunicación con ideas parecidas Patrones y comportamientos indeseables en la presentación de comunicaciones por parte de investigadores: Presentación en paralelo o en serie de una misma comunicación Modificación del contenido de la comunicación después de su aceptación

16 Los problemas de privacidad a través de un ejemplo Problemas de privacidad de los datos: minería de datos beneficiosa Los datos podrían ser explotados también para algunos propósitos beneficiosos: Los datos podrían ser utilizados para comprender la gestión de los congresos ACM e IEEE podrían utilizar los datos para construir indicadores de calidad para las conferencias Cuánta "sangre nueva" está entrando en la comunidad Cómo cambia un congreso a lo largo de sus diferentes ediciones Tipos de autores que presentan comunicaciones en la conferencia Esto plantea preguntas importantes sobre quién puede extraer los datos y para qué fines

17 Actores involucrados en el modelo de informática en la nube Propietarios de datos: La persona física o jurídica propietaria de los datos Los revisores y los autores en un CMS Los pacientes en una Historia Médica Electrónica Problemas de privacidad: La principal preocupación de los propietarios de los datos es la protección de sus datos e identidades contra todos los accesos o usos no autorizados También pueden tener preferencias de privacidad que tengan que ser respetadas, por ejemplo, un paciente puede autorizar sólo a su médico de cabecera para que tenga acceso a suhistoriamédicamientras está en tratamiento, y puede rechazar el uso de sus datos con fines de investigación, etc.

18 Actores involucrados en el modelo de informática en la nube Usuarios de datos: Las personas que consultan los datos por diversos motivos Médicos que consultan los expedientes clínicos de sus pacientes para sus tratamientos Investigadores médicos que acceden a los datos de los pacientes para estudiar los efectos secundarios de un medicamento determinado, etc. Cuestiones de privacidad La principal preocupación de los usuarios de datos es proteger sus consultas e identidades Ejemplo: un investigador que está tratando de descubrir los efectos secundarios de un medicamento determinado puede pedir que su identidad y sus consultas (sobre sus investigaciones actuales) sean protegidas (para mantener secreta su investigación respecto de sus colegas), etc.

19 Actores involucrados en el modelo de informática en la nube Proveedores de servicios en la nube: incluyen todo el personal informático necesario para operar y gestionar la nube Administradores de red Administradores de bases de datos Desarrolladores de software, Personal de administración y técnico..

20 Soluciones actuales para la privacidad de los datos Soluciones actuales para propietarios de datos Soluciones actuales para usuarios de datos

21 Soluciones actuales de privacidad para propietarios de datos Existen dos categorías de soluciones Soluciones basadas en cifrado Protegen la privacidad respecto de los proveedores de la nube Soluciones de control de acceso respetuosas de la privacidad Protegen la privacidad respecto de los usuarios de la nube

22 Soluciones basadas en cifrado El cifrado es una solución sencilla y prometedora para proteger la confidencialidad de los datos respecto del proveedor de la nube Idea: Los datos se cifran antes de ser almacenados en la nube Los usuarios mal intencionados no pueden ver los datos privados sensibles Limitaciones: El cifrado limita la capacidad de la nube para procesar las consultas de los usuarios Una parte de los sobrecostes del procesamiento de consultas son repercutidos a los propietarios de los datos

23 Soluciones basadas en cifrado Se hanpropuestodiferentes técnicas para que la nube pueda procesar consultas sobre datos cifrados sin descifrarlos: Técnicas de partición de datos Técnicas de cifrado con preservación del orden Técnicas de cifrado con posibilidad de búsqueda Técnicas de cifrado homomórfico

24 Técnicas de partición de datos Los elementos de datos se organizan en grupos, llamados Buckets (cubos) Cada bucket tiene sus límites y su etiqueta Todos los elementos de datos dentro de un bucket están asociados con la misma etiqueta Ejemplo: el Bucket B1incluye datos de empleados con edades de entre [18, 30] El cliente (es decir, el propietario de los datos) debe almacenar los límites de todos los buckets Modelo de consulta: El cliente debe: Determinar los buckets que se cruzan con su consulta (en base a los límites) Recuperar los buckets del servidor de la nube

25 Técnicas de partición de datos Limitaciones: Existe un compromiso entre la protección de la privacidad garantizada y la eficiencia del servicio: Los buckets de gran volumen ofrecen una mejorprotecciónpero implican un aumento de los costes de computación para el cliente Los buckets pequeños ofrecen una protecciónpobrepero menos costes de computación para el cliente Los sobrecostes para el cliente no son desdeñables El modelo de control de acceso no puede ser implementado en el servidor

26 Técnicas de cifrado basadas en la preservación del orden El esquema de cifrado preserva la relación de orden entre los valores originales y sus valores cifrados Ejemplo: si a> b, entonces e(a) > e(b) La nube puede calcular consultas sencillas que implican operaciones sencillas de datos cifrados, por ejemplo, MAX, MIN, Count, >, <, = El modelo de control de acceso no puede ser implementado en el servidor Limitaciones Proveedores de servicios en nube malintencionados podrían descubrir progresivamente los vínculos entre valores reales y cifrados Las consultas posibles están limitadas

27 Técnicas de cifrado homomórfico El esquema de cifrado homomórfico permite contestartodotipo de consultas sobre datos cifrados Se basa en la idea de que todas las operaciones de consulta pueden ser implementadas a través de dos operaciones: la sumay la multiplicación(es decir, todos los operadores de consulta pueden ser traducidos utilizando estas dos operaciones) Limitaciones Poco práctico, por ejemplo el cálculo de una simple consulta puede tardar años Pero se está investigando para aumentar su eficiencia

28 Soluciones de control de acceso respetuosas de la privacidad El objetivo de estas soluciones es proteger la privacidad de los datoscontra los usuarios de los datos La mayoría de estas soluciones se basan en modelos RBAC (Role Base Access Control) Reglas: <Receptor, Elemento de datos, Propósito, Condiciones> Receptor: la entidad que solicita los datos Elemento de datos: los datos solicitados Propósito: el objetivo por el que se son solicitados los datos Condiciones: el conjunto de condiciones que deben cumplirse Ejemplos: Un médico puede acceder a las pruebas de laboratoriode un paciente en caso de urgencia Un médico puede acceder a la información personal de un paciente si éste lo autoriza

29 Soluciones de control de acceso respetuosas de la privacidad Pros y Contras: Estas soluciones proporcionan un control de acceso minucioso (a nivel de atributo) Ofrecen diferentes niveles de precisión para el elemento de datos Extensibles, sencillas y fáciles de implementar y usar No siempre factibles cuando los datos almacenados en la nube han sido cifrados La mayoría de estas soluciones suponen que la nube es una entidad de confianza (que puede verificar las reglas de acceso respetuosas de la privacidad) No ofrecen protección una vez que los datos han sido volcados en los receptores

30 Soluciones de privacidad actuales para usuarios de datos Existen diferentes tipos de datos que pueden ser considerados como sensibles por los usuarios de la nube: Información relacionada con consultas Ejemplo: Un investigador científico puede no querer divulgar sus consultas para proteger susinventosen marcha Identidad Ejemplo:Un paciente con VIH puede desear mantener su identidad oculta cuando formula preguntas acerca de los síntomas del VIH Información contextual Ejemplo:un usuario puede querer no desvelar su

31 Solucionesrelacionadascon búsquedas Soluciones basadas en PIR La mayoría de las soluciones actuales se basan en protocolos PIR (Private Information Retrieval) El principio de los protocolos PIR es realizar consultas en un servidor no fiable sin que el servidor sepa nada sobre las consultas realizadas o sus resultados Los protocolos PIR son criptográficos (es decir que tanto las consultas como sus respuestas son textos cifrados) Existen diferentes protocolos para uno o varios servidores Limitaciones: Las soluciones basadas en PIR son muy lentas, y por lo tanto pocoprácticas (una consulta puede tardar años en ser respondida)

32 Soluciones basadas en consultas Soluciones basadas en planes Estos trabajos se basan en la observación de que diferentes planes para la misma consulta revelan diferente información sobre de la intención del usuario (implícita en la consulta) Estas técnicas se basan en la modificación de las técnicas de optimización de consultas maduras para producir planes de consultarespetuosade la privacidad que respeten las restricciones y preferencias de los usuarios Ejemplo de restricciones y preferencias de los usuarios: Restricciones que implican el uso de valores específicos (por ejemplo, nombre = John Doe) en un servidor fiable específico Utilización de una copia específica de una relación desde un servidor específico Limitaciones: Este tipo de soluciones requiere que los usuarios tengan conocimientos sobre los servidores implicados en la resolución de sus consultas No existen planes de "respeto de la privacidad" para todos los tipos de consultas

33 Soluciones basadas en la identidad La mayoría de las soluciones se basan en sistemas DIM (Digital Identity Management o Sistemas de Gestión de la Identidad Digital) Los DIM permiten a los proveedores de servicios en la nube autenticar usuarios sin revelar sus identidades Un DIM típico implica las entidades siguientes: El proveedores de servicios en la nube (CSPs) El proveedores de identidad (IdPs): asigna atributos de identidad a los usuarios Los registradores: verifican los atributos de identidad proporcionados por un IdP a los usuarios, a continuación emiten un certificado para el usuario Los usuarios: un usuario puede autenticarse ante el CSP mediante el certificado para acceder a los servicios autorizados

34 Soluciones basadas en la identidad Con un Sistema DIM, el usuario puede elegir y gestionar los atributos de identidad que desea utilizar Ejemplos de sistema DIM: Metasystem y CardSpace de Microsoft Limitaciones: Los diferentes servicios en la nube pueden requerir diferentes DIMs que plantean problemas de interoperabilidad entre DIMs Dificultad de encontrar Proveedores de Identidad y Registradores de confianza

35 Conclusiones generales La protección de la privacidad sigue representando un verdadero reto para la adopcióndelainformáticaenlanubeenámbitosenlosquelaprivacidadesun factor crítico y sensible, como la salud, las finanzas, el ejército, etc. Las soluciones actuales para la protección de la privacidad son todavía insuficientes tanto para los propietarios como para los usuarios de los datos, pero la investigación está en progreso constante Las soluciones más eficaces hoy en día se basan en la confianza, la auditoría y la trazabilidad: Confianza: Los proveedores de servicios en la nube tienen que ser seleccionados en base a su confiabilidad La confianza informática se crea sobre la base de interacciones anteriores con el proveedor y de las interacciones agregadas de un número significativo de usuarios

36 Conclusiones generales Auditoría: se necesitan mecanismos para supervisar las diferentes operaciones de una nube para detectar y prevenir consultas y accesos a datos sospechosos Trazabilidad:se necesitan mecanismos para rastrear los orígenes de las diferentes operaciones realizadas en una nube (por ejemplo, quién ha accedido a un elemento de datos determinado, con qué fines, etc.)

37 Restriccioneslegales Gestión de riesgos Debido a sus consecuencias... Tecnologías Confidencialidad Seguimiento / monitorización Cifrado Claves y algoritmos permitidos Comunicación Almacenamiento de datos cifrados Diferentes restricciones legales en función de los países Datos cifrados vs codificados Privacidad de datos Datos personales Quebrantamiento de la intimidad

38 Privacidad de los datos Datos personales Información relacionada con usuarios Nombre, direcciones, competencias, número de teléfono, correo electrónico... Dirección IP, nombre del equipo, URL visitadas, geo-localización... Información relacionada con actividades Archivos de registro, registros del sistema de control de acceso... Control "físico" (tarjetas de acceso, vídeo...) Vulneración de la intimidad Recopilación de datos personales El usuario debe ser informado Datos personales (y privados) / archivos dejados en los ordenadores Análisis de datos recopilados

39 Gran hermano te vigila... Protección de la intimidad (1/2) Diferentes contextos legales Regulación basada en el mercado: EE.UU. Comisión Federal de Comercio Los sitios inadecuados(desleales) no podrán ser visitados Hiperprotección para los menores Especificaciones legales: UE Protección de ámbito mundial para los europeos Abarca tanto la vida profesional como la privada

40 Gran hermano te vigila... Protección de la intimidad (2/2) Principales apuestas Intercambios mundiales en Internet Marco legal? Principios comunes Prácticas correctas e incorrectas Etiqueta Safe harbour: cumple con las restricciones de la UE

41 Impacto de la nube sobre la privacidad (1) Emergencia de actores Los datos personales son totalmente distribuidos Gestión de responsabilidades Dificultad de una visión coherente Múltiples políticas Según los actores Infraestructura / servicios compartidos Nuevas necesidades de protección Análisis de reglas Amenazas relacionadas con el proveedor Dificultades debidas a la extraterritorialidad de la nube Impacto sobre las relaciones contractuales

42 Impacto de la nube sobre la privacidad (2) Nuestrosdatos personales significan dinero para los proveedores de servicios... Para utilizar un servicio "Pague proporcionando algunos datos" Calidad de los datos Nivel de confianza asociado al proveedor Los datos personales son necesarios para la realizaciónde la operación que permite el servicio Carta de proveedores Riesgos relacionados con procesos vinculados / datos vinculados Para que un servicio sea rentable Economía de los datos personales Despersonalizados o no Precio de direcciones, correo, correo electrónico, números de teléfono...

43 Restriccioneslegales... Ley de integraciónde las restriccionesrelacionadascon la protecciónde datos Seguimiento del riesgo Privacidad en el trabajo Control de acceso Configuración/ desconfiguraciónde proxy Los correos electrónicos pueden ser confidenciales Precedente legal Hiperprotección de las personas en la UE Hiperprotección de los menores en los EE.UU. Riesgopara las empresassólosiexistevulneraciónde la privacidad/ se utiliza para justificar una sanción Reglas de uso Requiere una solución adaptada

44 Intimidad, privacidad y sitios web (1) Huellas / datos dejados en Internet Nombre y dirección del ordenador Parámetros del ordenador Cookies Páginas visitadas Recogida de información Identidad Dirección (correo y correo electrónico) Números de teléfono (Pub) cuestionario Consideración de Bienes Servicios

45 Intimidad, privacidad y sitios web (2) Prácticas que pueden ser«poco claras»... Vender "archivos de clientes/ compradores potenciales" Puedeestarprohibidoen la UE dependiendode la forma en que ha sidocreado/ lo que contieneel archivo Problemas debidos a la exportación de datos Safe Harbour Publicidad sobre recopilación de datos Por ejemplo, Microsoft Procesos vinculados a los datos recogidos Reconocimiento de huellas y flujo de trabajo Identificación del perfil del cliente Cómo protege el sitio web los datos recogidos?

46 Prácticas correctas e incorrectas (1) Prácticas correctas Transparencia Recopilación de datos personales Procesos que implican datos personales Necesidad absoluta Cibercontrol utilizado en combinación con otras herramientas de seguridad Equidad Objetivos asociados al tratamiento de datos personales Proporcionalidad Ciber-control vs. riesgos

47 Prácticas correctas e incorrectas (2) Prácticas incorrectas Recopilación de datos Vida útil de los datos recopilados Procesos vinculados Venta de datos personales Consecuencias Los usuarios tienen que ser informados Aviso legal Almacenamiento seguro y procesamiento seguro de los datos personales Análisis adaptados / procesos de minería de datos personales Despersonalización Evita datos vinculados / procesos vinculados

48 Protección de datos en el trabajo Intimidad en el trabajo Archivos privados La protección del correo también se aplica al correo electrónico etiquetado como "privado" Autenticación de usuarios Inicio de sesión/contraseña Protección física de la clave durante la implementación de un ICP Autenticación basada en biométrica Control basado en la actividad Archivos de informes Sistemas con capacidad de supervivencia Utilización de recursos, medidas de productividad... Informes de actividad Reconstrucción de procesos de flujo de trabajo Riesgo de rastrear el trabajo realizado

49 Estudio de caso Partiendo de la descripción del caso de migración, definirlos requisitos que el proveedor tendrá que cumplir y redactar unas reglas de uso para los usuarios Identificar los datos personales afectados Identificarla forma en que serán procesados / almacenados... Definir lo que podría ser una práctica correcta Definir lo que podría ser una práctica incorrecta Identificarlos riesgos relacionados con la plataforma en la nube (sobre la base de ejercicios anteriores) Identificarlos requisitos para el proveedor y escriba la carta del usuario