PROTECCIÓN DE DATOS Y SEGURIDAD EN LA NUBE

Transcripción

1 PROTECCIÓN DE DATOS Y SEGURIDAD EN LA NUBE

2

3

4

5 QUIÉN CUIDA LA INFORMACIÓN, Y LOS DATOS PERSONALES EN LA NUBE? Empresa, Persona, Proveedor Tercero Estado

6 SEGURIDAD Y CONTROL DE LA INFORMACIÓN

7

8 Asociación Colombiana de Derecho Informático de las Tecnologías de la Información y las comunicaciones

9 El 13 de abril (el popular servicio de almacenamiento en la nube cambió sus condiciones en una pequeña frase pero que hace las cosas muy diferentes. All files stored on Dropbox servers are encrypted (AES256) and are inaccessible without your account password (Todos los archivos almacenados en los servidores de Dropbox están codificados (AES256) y son inaccesibles sin la contraseña de tu cuenta) Y esto es lo que dice ahora All files stored on Dropbox servers are encrypted (AES 256). (Todos los archivos almacenados en los servidores de Dropbox están codificados (AES 256)

10 AWS El presente Acuerdo entra en vigor cuando se hace clic en un cuadro de "Acepto" botón o cheque presentado con estos términos o, si antes, cuando se utiliza cualquiera de las ofertas de servicios (la "Fecha Efectiva"). Usted es responsable de todas las actividades que ocurran bajo su cuenta, independientemente de si las actividades son llevadas a cabo por usted, sus empleados o de terceros. Seguridad y Copia de seguridad. Usted es responsable de configurar y utilizar correctamente las ofertas de servicios y de tomar sus propias medidas para mantener la seguridad adecuada protección y seguridad de su contenido, que puede incluir el uso de la tecnología de encriptación para proteger su contenido contra accesos no autorizados y la rutina de archivo de su contenido.

11 AWS Al visitar el Sitio AWS, usted acepta que las leyes del estado de Washington, sin tener en cuenta los principios de conflicto de leyes, gobernarán estas Condiciones de Uso y cualquier disputa de cualquier clase que pudiera presentarse entre usted y AWS. CONTROVERSIAS Cualquier disputa relacionada de cualquier manera con su visita a la web de AWS o de servicios proporcionados por AWS oa través del Sitio AWS en el que la demanda agregada total de reparación que se solicita en nombre de una o más partes es superior a $ se adjudicarán en cualquier estado o federal tribunal de King County, Washington, y usted da su consentimiento a la jurisdicción exclusiva y lugar en tales tribunales.

12

13 INFORMACIÓN ACTIVO Ley 1273 de 2009, Bien Jurídico de la Información

14 LEY DE DELITOS INFORMÁTICOS LEY 1273 DE POR MEDIO DE LA CUAL SE MODIFICA EL CÓDIGO PENAL, SE CREA UN NUEVO BIEN JURÍDICO TUTELADO - DENOMINADO "DE LA PROTECCIÓN DE LA INFORMACIÓN Y DE LOS DATOS" Y SE PRESERVAN INTEGRALMENTE LOS SISTEMAS QUE UTILICEN LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES, ENTRE OTRAS DISPOSICIONES".

15 DAÑO INFORMÁTICO El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a salarios mínimos legales mensuales vigentes.

16 LEY DE DELITOS INFORMÁTICOS VIOLACIÓN DE DATOS PERSONALES El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes

17 NUEVO ESTATUTO DEL CONSUMIDOR Artículo 49: Protección al comercio electrónico, Adoptar mecanismos de seguridad apropiados y confiables que garanticen la protección de la información personal del consumidor y de la transacción misma. El proveedor sera responsable por las fallas en la seguridad de las transacciones realizadas por los medios por e l dispuestos, sean propios o ajenos. Disponer en el mismo medio en que realiza comercio electrónico, de mecanismos para que el consumidor pueda radicar sus peticiones, quejas o reclamos, de tal forma que le quede constancia de la fecha y hora de la radicación, incluyendo un mecanismo para su posterior seguimiento. Suministrar en todo momento información cierta, fidedigna, suficiente, clara y actualizada respecto de los productos que ofrezcan Reversar el pago por medios electrónicos en caso de fraude.

18 PROTECCIÓN DE DATOS HABEAS DATA, Ley 1266 de 2008 DERECHO A LA INFORMACIÓN, Derecho Fundamental DERECHO A LA INTIMIDAD, VIOLACIÓN DE DATOS PERSONALES, Delito Penal, Ley 1273 de 2009 Políticas de Seguridad de la Información en la nube NUEVA NORMA DE PROTECCIÓN DE DATOS

19 NUEVA NORMA DE PROTECCIÓN DE DATOS LA CORTE CONSTITUCIONAL LA DECLARÓ EXEQUIBLE EL 6 DE OCTUBRE DEL 2011 PONE A TONO A COLOMBIA EN UN CONTEXTO INTERNACIONAL EN PROTECCIÓN DE DATOS DA UNAS OBLIGACIONES A TODO TIPO DE EMPRESAS PRIVADAS Y PÚBLICAS QUE MANEJEN INFORMACIÓN, ENTRE ELLAS LAS DE CLOUD COMPUTING QUE ALMACENAN Y MANEJAN DATOS DE EMPRESAS Y USUARIOS OBLIGACIÓN DE REGISTRAR POLÍTICAS DE SEGURIDAD EN LA SIC OBLIGACIÓN DE RESPETAR TODO TIPO DE DATOS PERSONALES Y PÚBLICOS LA OBLIGACIÓN TAMBIÉN PARA EMPRESAS QUE OFRECEN SERVICIOS CLOUD MI EMPRESA TERCERIZA, POR LO TANTO LA EMPRESA EN LA NUBE DEBE CUMPLIR LA LEY

20 NUEVA NORMA DE PROTECCIÓN DE DATOS AUTORIZACIÓN DEL TITULAR Artículo 9. Autorización del titular. Sin perjuicio de las excepciones previstas en la ley, en el Tratamiento se requiere la autorización previa e informada del Titular, la cual deberá ser obtenida por cualquier medio que pueda ser objeto de consulta posterior.

21 NUEVA NORMA DE PROTECCIÓN DE DATOS TASNFERENCIA DE DATOS A OTROS PAÍSES Artículo 26. Prohibición. Se prohíbe la transferencia de datos personales de cualquier tipo a países que no proporcionen niveles adecuados de protección de datos. Se entiende que un país ofrece un nivel adecuado de protección de datos cuando cumpla con los estándares fijados por la Superintendencia de Industria y Comercio sobre la materia, los cuales en ningún caso podrán ser inferiores a los que la presente ley exige a sus destinatarios. Excepciones, Sector Bancario, exista autorización, datos médicos, tratados internacionales o legales.

22 LA INFORMACIÓN Y EL CLOUD COMPUTING CONTRATOS INFORMÁTICOS (Contrato Adhesión) Podemos discutir el contrato con el proveedor PROTECCIÓN DE LA INFORMACIÓN, Mecanismos controles, políticas de seguridad, ISO EL MANEJO DE LOS DATOS PERSONALES RESPONSABILIDAD (Proveedor Internacional, Google, Facebook) INCIDENTE CON LA INFORMACIÓN, CÓMO OBTENGO UNA PRUEBA, TENGO LA COLABORACIÓN DEL PROOVEDOR? DE QUIÉN ES LA INFORMACIÓN?, Y SI NO PAGO, QUIERO CAMBIAR DE COMPAÑÍA, CÓMO OBTENGO MI BASE DE DATOS? TIEMPO DE CUSTODIA DE LA INFORMACIÓN RESPONSABILIDAD DE LOS ADMINISTRADORES

23 ESTÁNDARES Y RECOMENDACIONES Una parte de los ahorros obtenidos por los servicios de cloud computing deben invertirse en un examen más profundo de las capacidades de seguridad del proveedor. Tanto los clientes de servicios de cloud computing como los proveedores deberían desarrollar un sólido gobierno de seguridad de la información, con independencia del modelo de servicio o de despliegue. Los departamentos de seguridad deberían implicarse durante el establecimiento de los Contratos de Nivel de Servicios y las obligaciones contractuales No desconocer normas Colombianas Derecho Informático Fundamentales Contratos de Niveles de Servicio Estrategia de gestión de riesgos y continuidad del negocio

24 ESTÁNDARES Y RECOMENDACIONES Inventario de activos de información, Clasificación de la información- Las estrategias de evaluación de riesgos entre el proveedor y el usuario deberían ser sistemáticas, con unos criterios de análisis de impactos y unos criterios que definan la probabilidad de ocurrencia. El usuario y el proveedor deberían desarrollar conjuntamente escenarios de riesgo para el servicio en la nube Gobierno Seguridad de la Información: Solicitar documentos al proveedor, Saber dónde el proveedor de servicios en la nube hospedará los datos, Protección de datos Personales en Colombia entre en vigencia la figura del Chief data officer (CDO) PROTECCIÓN DE LA INFORMACIÓN COMO ACTIVO

25

26 QUE VIENE CULTURA DE PROTECCIÓN DE LA INFORMACIÓN NUEVA NORMA DE PROTECCIÓN DE DATOS QUE CREA LA FIGURA DEL Chief Data Officer RESPONSABILIDADES CON LA LEY DE DATOS MASIFICACIÓN DE TECNOLOGÍAS COMO EL CLOUD COMPUTING INCIDENTES CON LA INFORMACIÓN, CÓMO OBTENGO UNA PRUEBA, TENGO LA COLABORACIÓN DEL PROOVEDOR? PROTECCION DE LA INFORMACIÓN UNA POLÍTICA ESTATAL Y PERSONAL

27 FIGURA BROKER CLOUD Gartner diferenciaba los siguientes tipos: Intermediación: un cloud broker de este tipo sería el que proporciona servicios de valor añadido sobre las plataformas cloud existentes, como por ejemplo, capacidades de gestión de identidad y control de acceso. Agregación: en este caso el broker se focalizaría en proporcionar el pegamento que permitiría ofrecer de forma orquestada múltiples servicios, garantizando la interoperabilidad y la seguridad de los datos entre los distintos sistemas y proveedores cloud. Arbitraje: un modelo de arbitraje sería aquel que ofrecería múltiples opciones de servicios similares, ofrecidos por distintos proveedores con distintas opciones de calidad y precio, y que el cliente podría seleccionar en función de sus necesidades y presupuesto.

28 LA COMPUTACIÓN EN LA NUBE ES UNA REALIDAD, QUE DEBE TENER TODOS LOS COMPONENTES TECNOLÓGICOS, JURÍDICOS Y PROTEGER LA INFORMACIÓN DE LAS PERSONAS Y LAS EMPRESAS COMO UN ACTIVO FUNDAMENTAL

29

30

31 FUNDAMENTAL LA PROTECCIÓN DE LA ww.tiendacloud.co

32