(Enterprise Cloud Security)
“La ciberseguridad en la nube es una solución esencial para proteger las operaciones y los datos empresariales, y un pilar ineludible para la supervivencia y el éxito en el mundo digital”.
Rodhe Security
“Las empresas necesitan medir cómo de eficaces están siendo sus inversiones en seguridad. El hacking ético es una herramienta que permite obtener dicha información y dota a la empresa de datos para la toma de decisiones”.
Resumen: El uso de la nube conlleva grandes beneficios tanto aplicativos como económicos a mediano y largo plazo. Sin embargo, de no ser administrada correctamente, también puede ser blanco de ciberataques. La Nube demuestra tener grandes ventajas para la escalabilidad y economía de las empresas por lo que no sorprende que sea una solución cada vez más popular.
La transformación digital permea sin distinción a todos los sectores industriales. La competitividad de las organizaciones está sujeta al salto que puedan dar hacia la digitalización, tanto en materia de operatividad, optimización de recursos y automatización como en seguridad de la información, entre otros tópicos. No obstante, ese salto no puede darse al vacío y requiere del soporte adecuado de la seguridad digital.
Este escenario plantea una serie de acciones encaminadas al fortalecimiento de las políticas y controles de ciberseguridad al interior de las organizaciones de todos los sectores económicos, sin distinción.
Los servicios Cloud Computing son cada más utilizados por las empresas y organizaciones de Argentina, con un crecimiento continuo, basado en las ventajas técnicas y económicas que ofrecen los mismos. Sin embargo, si en alguno de los servicios utilizados en la nube interviene algún tipo de dato personal, deberá prestarse especial atención al cumplimiento de las exigencias del régimen normativo.
INDICE
1.-Introducción
2.-¿Qué es la seguridad de Nube Empresarial o Enterprise Cloud Security?
3.-¿Por qué es importante la seguridad en la Nube?
4.- Características de la nube.
5.- Componentes de la nube.
6.-Tipos de servicios en la nube.
7.- Modelos de servicios.
8.- ¿Cuáles son las amenazas de seguridad de la nube?
9.-Vulnerabilidades de la red.
10.-Beneficios de la nube
11.-Medidas de seguridad en la nube
12.- Responsabilidad compartida en la Nube.
13.-¿Cuáles son las claves de la seguridad de nube empresarial?
14.- Historias de éxito empresarial de Ciberseguridad en la Nube: Casos reales revelados.
15.-Marco Normativo, Prestación de servicios y Regulación de la transferencia de datos.
16.-Conclusiones.
17.-Bibliografía.
1.- Introducción
La nube es una herramienta que es utilizada constantemente por las pymes y startups para almacenar datos de forma segura y optimizar procesos. Sin embargo, debemos optimizar constantemente las soluciones de seguridad para evitar amenazas o vulnerabilidades que puedan poner en riesgo el funcionamiento de la organización.
Es una herramienta clave dentro de las estrategias para garantizar y robustecer la seguridad digital integral de los datos y la información. La ciberseguridad y los servicios de Cloud son engranes alineados de una misma estrategia; ambas soluciones apuntan hacia el cumplimiento de las normativas y políticas legales del sector gubernamental y TI.
Organismos internacionales como Cloud Security Alliance (CSA) promueven las buenas prácticas de seguridad digital al implementar servicios de Cloud Computing; en el caso de CSA, brinda una membresía distintiva a aquellas empresas que ejecutan un desarrollo seguro de la nube, en sus distintos formatos, así como a las grandes multinacionales especializadas en la arquitectura de estos entornos virtuales.
Por tal motivo, a las empresas se les exige, cumplir con la entrega de informes propios como el SOC 1, SOC 2 y SOC 3 que compilan en un reporte general los resultados derivados de los mecanismos y estrategias organizacionales para asegurar una gestión transparente de los servicios declarados, incluidos los relacionados con Cloud Computing y Data Management.
No debe ser un detalle menor ni tampoco un factor para soslayar, pero la ciberseguridad se convirtió en un factor transversal a la operatividad empresarial. Por ello, recursos como la nube deben involucrar un servicio de ciberseguridad end to end, lo que implica un cambio en materia de cultura organizacional y experiencia del usuario final.
En los últimos años una gran cantidad de pymes y startups han aprovechado la nube para aumentar exponencialmente su crecimiento. Esto se debe a que sirve para optimizar procesos como, por ejemplo, el almacenamiento y la recolección de datos. Sin embargo, al momento de trabajar en la nube también hay que pensar en el tema de seguridad, ya que en Internet existen un sin fin de amenazas que pueden interferir negativamente en su funcionamiento.
Todo se apalanca en la tecnología, por lo mismo, el enfoque de la ciberseguridad debe incorporarse en la estrategia de negocio entendiendo que no solo consiste en evitar ciberataques, sino que también tiene que ver con estructurar una respuesta adecuada ante un ataque consiguiendo reducir las consecuencias negativas que ello comporta.
Cloud Security abarca las tecnologías, los controles, los procesos y las políticas que se combinan para proteger sus sistemas, datos e infraestructura basados en la nube. Es un subdominio de la seguridad informática y, más ampliamente, de la seguridad de la información.
Es una responsabilidad compartida entre la empresa y su proveedor de servicios en la nube. La empresa implementa una estrategia de Cloud Security para proteger sus datos, cumplir con las normas y proteger la privacidad de sus clientes. Lo que a su vez lo protege de las ramificaciones de reputación, financieras y legales de las violaciones y pérdidas de datos.
En los últimos años, gran cantidad de empresas se ven atraídas por las ventajas técnicas y los bajos costos de mantenimiento que ofrece el esquema de cómputo en la nube o Cloud Computing. Flexibilidad, accesibilidad, autoservicio bajo demanda, escalabilidad, gestión de grandes volúmenes de datos, son algunos de los beneficios que ofrece este esquema de cómputo. Sin embargo, estas ventajas muchas veces no contemplan cuestiones críticas como la seguridad de la información y la privacidad de los datos almacenados.
En la actualidad, la información es el activo más importante de las organizaciones. Es por ello que asegurar la privacidad de la información durante su ciclo de vida es medular a la hora de utilizar este tipo de servicios.
Palabras claves: Empresas, Startups, Ciberdelitos, Ciberseguridad, Seguridad en la Nube Empresarial, Enterprise Cloud Security, Ethical Hacking.
2.- ¿Qué es la seguridad de Nube Empresarial? o (Enterprise Cloud Security)
La nube, también conocida como computación en la nube, servicios en la nube o informática en la nube; son las tecnologías o una red global de servidores con funciones específicas, conectados para funcionar como un ecosistema único. Estas tecnologías son implementadas para almacenar y gestionar datos, ejecutar programas o aplicaciones y proporcionar servicios. Los servicios en la nube facilitan el acceso a la información desde cualquier dispositivo conectado.
Entendemos como Cloud Computing (o cómputo en la nube) los servicios de cómputo por demanda a distancia. Se trata de un nuevo esquema en el uso de los recursos tecnológicos y de los modelos de consumo y distribución de esos recursos.
El Instituto Nacional de Estándares y Tecnología (NIST) de los Estados Unidos y su laboratorio de tecnología de información, definió este nuevo concepto de la siguiente manera:
Cloud Computing es un modelo para habilitar acceso conveniente por demanda a un conjunto compartido de recursos computacionales configurables, por ejemplo, redes, servidores, almacenamiento, aplicaciones y servicios, que pueden ser rápidamente aprovisionados y liberados con un esfuerzo mínimo de administración o de interacción con el proveedor de servicios. Este modelo de nube promueve la disponibilidad y está compuesto por cinco características esenciales, tres modelos de servicio y cuatro modelos de despliegue.
La seguridad de nube empresarial es el conjunto de prácticas, protocolos, políticas y controles que las organizaciones implementan para proteger sus activos digitales en la nube. La seguridad en la nube empresarial está diseñada para proteger los entornos de nube, los datos que residen en la nube, las aplicaciones que se ejecutan en la nube y los usuarios que interactúan con los activos de la nube. En la mayoría de los entornos de nube, la seguridad es una responsabilidad compartida entre el proveedor de nube y el cliente.
Cloud Security es una compleja interacción de tecnologías, controles, procesos y políticas. Una práctica que está altamente personalizada a los requerimientos únicos de cada organización.
En el dinámico mundo digital actual, la ciberseguridad se erige como un elemento indispensable para empresas de todos los tamaños. Los ataques cibernéticos, en constante evolución, pueden tener consecuencias catastróficas para la reputación, la solidez financiera y la operatividad de las organizaciones. En este contexto, la adopción de soluciones en la nube emerge como un recurso estratégico y efectivo para fortalecer la seguridad. De ahí que la ciberseguridad en la nube adquiera tanta relevancia.
En los últimos años una gran cantidad de pymes y startups han aprovechado la nube para aumentar exponencialmente su crecimiento. Esto se debe a que sirve para optimizar procesos como, por ejemplo, el almacenamiento y la recolección de datos. Sin embargo, al momento de trabajar en la nube también hay que pensar en el tema de seguridad, ya que en Internet existen un sin fin de amenazas que pueden interferir negativamente en su funcionamiento.
Es una rama de la ciberseguridad cuya finalidad es mantener la privacidad de datos del cliente y de la empresa basados en la nube.
Los sistemas de seguridad de la nube están diseñados para proteger el software (datos confidenciales alojados en el servidor, programas, aplicaciones utilizadas, etc) y el hardware (ordenadores, dispositivos móviles, enrutadores, cableado eléctrico y discos duros).
Esto se lleva a cabo a través de protocolos de seguridad ejecutados por parte de empresas o proveedores de servicios en la nube, que se encargan de almacenar datos en servidores y de mantenerlos seguros. Los proveedores de la nube utilizan un sistema de vigilancia constante para responder adecuadamente a las vulnerabilidades que puedan poner en riesgo la protección de la información.
Sin embargo, la seguridad en la nube no depende únicamente de los proveedores. Es importante conocer que existe un concepto de responsabilidad compartida en el que la seguridad se divide entre el proveedor y el usuario.
El proveedor es responsable de garantizar la seguridad física de los datos y la infraestructura de la nube, mientras que el usuario es responsable de garantizar la seguridad de sus propios datos y de las aplicaciones que utiliza. Este concepto es importante porque permite a las empresas y usuarios comprender sus responsabilidades y tomar medidas para proteger sus datos y sistemas en la nube.
¿Por qué es importante la seguridad en la nube?
En la actualidad, la mayoría de los datos e información de las startups y pymes se encuentran alojados en servidores de Internet, ya que esto facilita el uso de dichos datos para realizar operaciones cotidianas. Ante esto, resulta fundamental mantener dicha información protegida de terceros que intentan acceder a ella, constituyendo así una amenaza o riesgo para la organización.
En caso de no contar con proveedores que puedan garantizarnos soluciones de seguridad para la nube, es posible que ciberatacantes aprovechen puntos débiles para acceder a información sensible sin previa autorización. Esto afectaría el funcionamiento de las organizaciones de forma negativa, ya que dejaría sus datos en manos de terceros.
En este sentido, optimizar la seguridad en la nube debe ser una prioridad para evitar que tanto la información confidencial como el funcionamiento de la organización se vea comprometido por amenazas internas o externas.
- Características de la nubeEscalabilidad y elasticidad. Los recursos de la nube no son limitados; gracias a su capacidad, sus tecnologías se adaptarán a la carga a la que están siendo sometidos, por lo que no se agotará el almacenamiento o la capacidad de computación de tu aplicación.
● Independencia. Una de las principales características de la computación en la nube es poder acceder desde cualquier dispositivo o consolas de administración.
● Seguridad. Los usuarios de la nube son los responsables de asegurarse de la seguridad a nivel de aplicación. Los proveedores de los servicios en la nube son responsables de la seguridad física.
● Los costos se reducen. La infraestructura es otorgada por una tercera parte y no tiene que ser adquirida por una sola vez o tareas informáticas.● Rendimiento. Todos los recursos están disponibles para optimizar el resultado final. Se generan integraciones a fin de que el usuario tenga una mayor eficiencia y rendimiento para dar seguimiento y realizar correcciones que le permitan incrementar aún más la capacidad de los recursos.
● Mantenimiento. El mantenimiento disminuye, no es necesario tener un departamento completo para el sustento de la nube. Se puede asignar a un responsable para dar seguimiento. La nube realiza el mantenimiento de los sistemas automáticamente, lo que contribuye con la optimización de los tiempos.
Ø Componentes de la nube
El objetivo de la seguridad en la nube es proteger todos sus componentes principales, y los servidores remotos donde se almacena la información para que los usuarios accedan a ella.
En este sentido, para saber los puntos vulnerables de la nube, es importante conocer los componentes que la conforman:
Ø Tipos de servicios en la nube
Estos servicios son ofrecidos por proveedores externos para construir el entorno de la nube.
-Infraestructura como servicio (IaaS)
El IaaS (en inglés infrastructure as a service) le proporciona a los clientes equipos y plataformas que sirven para disminuir tanto la complejidad como los costes relacionados con la construcción y mantenimiento de la infraestructura que implica un centro de datos.
Además, el cliente es el encargado de administrar el acceso de los usuarios, dispositivos y las redes a utilizar. Como ejemplos de este servicio tenemos: Google Compute Engine (GCE), Microsoft Azure y Amazon Web Services (AWS).
–Plataforma como servicio (PaaS)
Con respecto al PaaS (platform as a service), se trata de una gran variedad de recursos que sirven para el desarrollo de aplicaciones que se basan en la nube. Entre los cuales están: los servidores, redes, medios de almacenamiento, herramientas de desarrollo (también llamado middleware) y sistemas de administración para bases de datos.
Dichos recursos se obtienen a través de un proveedor de servicios en la nube, utilizando una conexión estable y segura a Internet. Como ejemplo de este tipo de servicios tenemos a Windows Azure y Google App Engine.
-Software como servicio (SaaS)
El software como servicio (software as a service) sirve para que los usuarios puedan utilizar aplicaciones o herramientas basadas en la nube, como por ejemplo Google Drive, Slack y la versión online de Microsoft Office.
Su funcionamiento es sencillo, ya que al adquirirlo de un proveedor de servicios en la nube para tu organización o pyme, cada usuario puede conectarse a través de Internet y utilizar todas las aplicaciones que estén incluídas en el paquete de servicios adquirido. En este caso, la infraestructura, el software y el middleware se encuentran en el centro de datos del proveedor contratado, el cual debe garantizar la seguridad de los datos utilizados y el correcto funcionamiento de las aplicaciones.
Ø Modelos de servicios
Actualmente se describen cuatro tipos específicos de ambientes o entornos de la nube.
Ø Entornos de nube públicas
En este tipo de entorno, el cliente debe compartir los servidores de un mismo proveedor de servicios con otros clientes. Es similar a tener en un edificio corporativo, muchas oficinas ocupadas por empleados de organizaciones diferentes.
Ø Entornos de nube privadas
Como su nombre lo indica, el entorno de nubes privadas consiste en que un cliente tiene una nube propia que no va a ser compartida con otros usuarios. En este caso, la infraestructura va dedicada a una sola organización, por tanto los datos son almacenados en un hardware exclusivo.
Ø Entornos de nube híbrida
Este caso corresponde a aquellas aplicaciones que son ejecutadas en combinaciones de entornos distintos. Una de las combinaciones más comunes es donde son utilizadas las nubes públicas y privadas en el mismo entorno, el cual también es considerado como un entorno multinube.
Ø Entornos de múltiples nubes
En el entorno de múltiples nubes o multinube se utilizan dos o más proveedores de servicios en la nube independientes, para distribuir las cargas de trabajo. En este caso se pueden combinar servicios de nube públicas y privadas.
Ø ¿Cuáles son las amenazas de seguridad de la nube?
Así como cada día aumenta el número de pymes que utilizan la nube como herramienta fundamental para su funcionamiento, también se ha observado un incremento en las amenazas que ponen en peligro la seguridad de la nube. A continuación te mostraremos cuáles son las más comunes y cómo funcionan.
Malware
El término de malware (también llamado software malicioso) es utilizado para todos aquellos programas que representan una amenaza para el funcionamiento de los sistemas y equipos.
Estos programas tienen la finalidad de invadir los dispositivos para alterar sus funciones, cifrar información confidencial, eliminar datos, espiar la actividad de los usuarios e incluso tomar el control de algunas funciones sin autorización.
Si bien es cierto que el malware no tiene la capacidad de dañar el hardware, es utilizado ampliamente para irrumpir en dispositivos, redes y sistemas informáticos a cambio de obtener información que pueda ser de utilidad para los ciberatacantes.
Ransomware
El ransomware o malware de rescate es un tipo de software malintencionado que bloquea el acceso del usuario a su sistema o carpetas de datos y archivos personales. Generalmente, para recuperar el acceso, el usuario debe pagar la suma de dinero que exige la persona que está detrás de este ciberataque.
En la actualidad, dicho pago debe ser realizado a través de tarjetas de crédito, efectivo o utilizando criptomonedas, siendo este último método de pago el más común.
Por otro lado, para que un ransomware infecte un dispositivo, el usuario debe abrir algún enlace malicioso, los cuales son enviados por correo electrónico y suelen ir directamente a la bandeja de spam.
Phishing
El phishing es una forma de engañar al usuario para que comparta datos personales e información sensible como por ejemplo: contraseñas secretas, números de tarjetas de crédito, números de teléfono, usuarios, números de cuenta de banco, entre otros.
En este caso, la forma más común para lograr que las personas revelen este tipo de información, es enviando un correo electrónico que suplanta la identidad de organizaciones verificadas (bancos, comercios, oficinas del gobierno). Al obtener estos datos, los ciberdelincuentes pueden obtener dinero de las cuentas de los usuarios e incluso vender dicha información por un precio alto.
En dicho correo, le solicitan al usuario que ingrese en un link malicioso para realizar alguna operación como por ejemplo, iniciar sesión para actualizar datos. La idea es que el correo se parezca lo más posible al que enviaría la organización real, por lo cual utilizan fotos o encabezados similares. Sin embargo, al observar el link es posible notar ciertas diferencias con el sitio web oficial.
Ataques DDos
Por su parte, los ataques de denegación de servicios (distributed denial of service) ocurren cuando los ciberatacantes utilizan múltiples dispositivos conectados a Internet de forma simultánea (llamados ejércitos de bots o botnets) para colapsar una página web o servidor.
El objetivo de este ciberataque es enviar una gran cantidad de solicitudes o datos a un servidor para aumentar el tráfico de peticiones de acceso hasta que se supera la capacidad del mismo de responder a dichas solicitudes. El resultado del incremento del flujo de datos es que el servidor deje de responder, es decir, que los usuarios ya no podrán tener acceso sino hasta que se logre bloquear dicho ataque.
Ø Vulnerabilidades de la red
Cuando hablamos de vulnerabilidades en la red nos referimos a aquellos puntos débiles que están presentes en ella y constituyen problemas de seguridad o brechas, que podrían ser aprovechadas por ciberdelincuentes para obtener información confidencial sin autorización.
Dichos puntos vulnerables pueden ser puertos, hosts, sistemas desactualizados, deficiencias en la gestión de autenticación de credenciales, e incluso políticas de seguridad que no se adapten correctamente a las necesidades de la organización. Para minimizar, corregir y controlar este tipo de brechas en la ciberseguridad, lo ideal es llevar a cabo un análisis de vulnerabilidades de forma periódica.
- Beneficios de la nube
La nube aporta una serie de beneficios que han demostrado ser vitales en la lucha contra las amenazas digitales. Entre estos destacan:
- Seguridad intrínseca. Los servicios en la nube han sido diseñados con la seguridad como un componente esencial, lo que garantiza que la protección de datos y sistemas sea inherente en cada aspecto de la operación.
- Escalabilidad dinámica. La versatilidad de los servicios en la nube permite adaptar la seguridad en tiempo real a las cambiantes necesidades empresariales, independientemente del tamaño de la organización.
- Accesibilidad económica. La nube ofrece una amplia variedad de opciones de costos, asegurando que la seguridad no sea un privilegio exclusivo de las corporaciones más grandes, sino que esté al alcance de todos.
Dentro del universo de servicios en la nube, se encuentran soluciones que aportan estos beneficios integralmente para fortalecer la seguridad empresarial. Algunos de los atributos específicos que estas soluciones ofrecen son:
- Compromiso inquebrantable con la seguridad. Los proveedores de servicios en la nube priorizan constantemente la seguridad y realizan inversiones continuas para fortalecer sus capacidades en materia de seguridad.
- Integración de seguridad en su ADN. Todos los servicios en la nube han sido concebidos con la seguridad como parte integral de su arquitectura, brindando un sólido fundamento para proteger los activos digitales de las empresas.
- Escalabilidad infinita. La versatilidad de los servicios en la nube permite que las empresas expandan sus medidas de seguridad de manera proporcional a sus necesidades cambiantes, garantizando una protección sólida sin importar el tamaño de la organización.
- Accesibilidad total. Las soluciones en la nube se adaptan tanto a las necesidades como a los presupuestos de empresas de diversas dimensiones, asegurando que la seguridad no sea un lujo exclusivo de las grandes corporaciones.
La ciberseguridad en la nube se presenta como una solución esencial para proteger las operaciones y datos empresariales en el entorno digital actual. Los beneficios intrínsecos de la nube, como la seguridad integrada, la escalabilidad y la accesibilidad, se combinan con soluciones específicas que refuerzan la protección de las organizaciones.
La inversión continua en seguridad por parte de los proveedores de servicios en la nube, y la adaptabilidad de estas soluciones a las necesidades de diferentes empresas, hace que la elección de la nube sea una decisión estratégica fundamental en la defensa contra las amenazas cibernéticas.
En resumen, la ciberseguridad en la nube se ha convertido en un pilar ineludible para la supervivencia y el éxito en el mundo digital actual.
- Dentro del conjunto de estas soluciones se encuentran herramientas cruciales para mejorar la seguridad empresarial:
- Servicios de identidad y acceso. Estas soluciones proporcionan un nivel adicional de protección para los datos y sistemas, garantizando que sólo las personas autorizadas tengan acceso.
- Plataformas de detección y respuesta a amenazas. Herramientas diseñadas para detectar y responder eficazmente a las amenazas, con un enfoque proactivo que garantiza una respuesta rápida a cualquier ataque.
- Centros de seguridad. Estos servicios operan como el centinela de seguridad de la organización, evaluando y mejorando de manera constante la postura de seguridad para asegurar la integridad de los datos y sistemas.
¿Cuál es el elemento más vulnerable de las empresas?
En ciberseguridad siempre hablamos de tres puntos críticos por donde se pueden concretar las amenazas: las personas, los procesos y la tecnología. Las personas carentes de formación e información facilitan los ataques a través de malas prácticas que la mayoría de veces son inconscientes. Es sin duda el eslabón más débil de la cadena. Después están los procesos no diseñados de forma segura, y la tecnología obsoleta o también carente de seguridad in-design.
Ø Medidas de seguridad en la nube
A continuación, se comparten los consejos que debe tener en cuenta una empresa para mejorar la seguridad en la nube para pymes y startups.
1) Restringir el acceso a los usuarios
En muchas ocasiones, uno de los mayores puntos débiles de la seguridad de la nube son los usuarios que tienen acceso a ella. Es por ello que no todos pueden tener permisos para acceder a los archivos confidenciales que se encuentran almacenados en la nube.
En este sentido, se deben gestionar adecuadamente los controles de acceso del usuario a la información sensible. Es decir, debemos otorgar permisos solo a usuarios de confianza, que sigan al pie de la letra las medidas de seguridad diseñadas para evitar brechas en el sistema.
2) Proteger los datos correctamente
Otro aspecto importante cuando hablamos de soluciones de seguridad en la nube es el hecho de mantener la información y datos importantes a salvo de amenazas externas. Para ello se recomienda utilizar unidades USB cifradas que ayudan a mantener los datos seguros, evitando que ciberdelincuentes puedan acceder a ellos.
3) Mantener el software actualizado
Cada cierto tiempo los desarrolladores de software lanzan un parche o actualización que sirve para mejorar la seguridad de los programas y corregir vulnerabilidades. En este sentido, el hecho de contar con las actualizaciones más recientes, ayuda a mejorar la ciberseguridad del sistema.
De esta forma disminuyen las probabilidades de sufrir un ciberataque que ponga en riesgo la información almacenada en la nube de nuestra startup o pyme.
4) Evitar los archivos y links maliciosos
Como se mencionó anteriormente, tanto los links maliciosos como los archivos de dudosa procedencia constituyen la manera más común en que un software malicioso infecte un dispositivo, sistema o red. Por tanto, es importante capacitar a los empleados para que sepan identificar este tipo de amenazas y se lo piensen dos veces antes de caer en este tipo de engaños en la web.
5) Cumplir con las leyes de seguridad en la nube
Actualmente existen una gran cantidad de leyes a nivel mundial sobre la ciberseguridad, por lo cual resulta complicado estar al día con cada una de ellas. Ante esta situación, lo más recomendable es contar con un sistema automatizado que se encargue de optimizar el cumplimiento integral de las normas que se adapten a las condiciones de la organización.
Ø Responsabilidad compartida en la Nube
Cuando se asocia con un proveedor de servicios en la nube y se trasladan los sistemas y datos a la nube, se entra en una asociación de responsabilidad compartida para la implementación de la seguridad.
Una parte crítica de las mejores prácticas implica revisar y comprender su responsabilidad compartida. Descubrir qué tareas de seguridad permanecerán con usted y cuáles serán ahora manejadas por el proveedor.
Esta es una escala móvil dependiendo de si se opta por el Software como Servicio (SaaS), Plataforma como Servicio (PaaS), Infraestructura como Servicio (IaaS), o en un centro de datos en las instalaciones.
Por lo tanto, basándonos en dichos conceptos, y todos los enumerados anteriormente, observamos que el proveedor de los servicios tiene una alta responsabilidad para mantener la continuidad, seguridad y control de la infraestructura tecnológica, de forma tal que el cliente confíe, ejecute y utilice los servicios contratados con el tercero:
– En el modelo SaaS, en caso de ocurrir alguna falla en el uso de esta aplicación, el cliente no tendrá control para avanzar en el análisis de aquella, la cual estará supeditada a la reacción del proveedor del servicio.
– Por otro lado, en el modelo PaaS, ante la existencia de errores o fallas del sistema operativo, redes o almacenamiento, el cliente no tendrá margen de maniobra, pues estará limitado por la oportunidad del proveedor para soportar dicha falla.
– Finalmente, en el modelo IaaS el proveedor se encargará de lo referido a los temas de continuidad, acceso a los servidores y demás componentes tecnológicos.
Por otra parte, la Cloud Security Alliance (CSA) propone una Guía para la Seguridad en áreas críticas de atención en Cloud Computing y describe cinco características esenciales en las que se evidencian similitudes y diferencias con las estrategias de computación tradicionales:
– Autoservicio por demanda. Un consumidor puede abastecerse unilateralmente de tiempo de servidor y almacenamiento en red, según sus necesidades, de forma automática sin requerir la interacción humana con cada proveedor de servicios.
– Amplio acceso a la red. Las capacidades están disponibles en la red y se accede a ellas a través de dispositivos estándar (p.ej., PC, teléfonos móviles y tablets).
– Reservas de recursos en común. Los recursos, como por ejemplo el almacenamiento, el procesamiento o la memoria del proveedor, son compartidos y pueden ser utilizados por múltiples clientes. Estos recursos son asignados dinámicamente y reasignados en función de la demanda de los consumidores. El cliente, por lo general, no tiene control o conocimiento exacto sobre la ubicación los recursos, aunque debería saber al menos el país o jurisdicción en los que se encuentra.
– Rapidez y elasticidad. Las capacidades pueden suministrarse de manera rápida y elástica, en algunos casos de manera automática, para poder realizar el redimensionado correspondiente rápidamente. Para el consumidor, las capacidades disponibles para abastecerse a menudo aparecen como ilimitadas y pueden adquirirse en cualquier cantidad y en cualquier momento.
– Servicio supervisado. Los sistemas de nube controlan y optimizan el uso de los recursos de manera automática utilizando una capacidad de evaluación en algún nivel de abstracción adecuado para el tipo de servicio (p.ej., almacenamiento, procesamiento, ancho de banda, y cuentas de usuario activas).
En este escenario, los principios de seguridad y control de la tecnología de la información adquieren una relevancia marcada, dado que se está entregando a un tercero la información de la empresa.
A la hora de realizar una migración a la nube, las organizaciones deben establecer una estrategia y establecer una serie de factores para tener en cuenta en este proceso, como pueden ser, las necesidades organizativas y los riesgos que se asumen al subir o trasladar cargas de trabajo a la nube.
Ya sea por una decisión estratégica, ventajas tecnológicas o económicas, la seguridad es piedra angular de todo el proceso de migración. Partiendo desde la planificación, durante la propia migración y una vez que los datos, aplicaciones o procesos estén migrados. Para alcanzar el nivel de seguridad que demanda la organización y poder desplegar buenas prácticas de seguridad en la nube con garantías, uno de los aspectos más importantes a tener en cuenta es comprender las obligaciones bajo el modelo de responsabilidad compartida, es decir, conocer qué tareas de seguridad administra el proveedor de servicios en la nube y cuales son responsabilidad del cliente.
Además, normalmente se piensa que las empresas contratan solo un proveedor de servicios en la nube y por norma general ocurre todo lo contrario, en la gran mayoría de las organizaciones el modelo que optan es el de multi nube, con lo cual toma mayor relevancia tener muy claro cuáles son las responsabilidades y obligaciones del cliente y proveedor, que permita definir una estrategia de seguridad y de cumplimiento que contemple las diferentes variables del entorno.
Por otro lado, tampoco existe un modelo de responsabilidad compartida que sea común a todos los proveedores de servicios en la nube y este modelo de responsabilidad dependerá del tipo de servicio que se adopte, es decir las responsabilidades varían en función de si la carga de trabajo está hospedada en una implementación de software como servicio (SaaS), plataforma como servicio (PaaS) o infraestructura como servicio (IaaS).
Los proveedores de servicios en la nube ofrecen una serie de medidas de seguridad, disponibilidad y de cumplimiento, pero estos beneficios que nos proporciona el proveedor no eximen a los clientes de la responsabilidad de proteger a sus usuarios, información, aplicaciones y los servicios ofrecido.
El nivel de responsabilidad que tienen las empresas para proteger sus activos en la nube depende del tipo de modelo de prestación de servicios en la nube.
En las soluciones de infraestructura como servicio (IaaS), el proveedor de nube es responsable de proteger la infraestructura como los componentes de servidores, almacenamiento y red, mientras que el cliente es responsable de proteger las aplicaciones, los terminales, las cargas de trabajo y los datos.
En las ofertas de plataforma como servicio (PaaS), el proveedor de nube protege todo el hardware y el software, mientras que el cliente es responsable de proteger todas las aplicaciones desarrolladas en la plataforma, así como los terminales, las cargas de trabajo y la seguridad de los usuarios y de la red.
En las soluciones de software como servicio (SaaS), el proveedor de servicios en la nube protege toda la infraestructura y las aplicaciones, mientras que el cliente es responsable de proteger solo los terminales, las cargas de trabajo, los datos y la seguridad de los usuarios y la red.
Un contrato puede significar la diferencia entre que su proveedor de servicios en la nube sea responsable de sus datos y que los posea.
Según el McAfee 2019 Cloud Adoption and Risk Report, el 62,7% de los proveedores de cloud computing no especifican que los datos de los clientes son propiedad del cliente. Esto crea una zona gris legal en la que un proveedor podría reclamar la propiedad de todos sus datos cargados.
Se debe comprobar quién es el propietario de los datos y qué pasa con ellos si termina con sus servicios. Además, se debe buscar claridad sobre si el proveedor está obligado a ofrecer visibilidad de cualquier evento de seguridad y respuestas.
Si no se está satisfecho con los elementos del contrato, se debe intentar negociarlo. Si alguno de ellos no es negociable, se debe determinar si el acuerdo es un riesgo aceptable para el negocio. Si no lo es, se deberá buscar opciones alternativas para mitigar el riesgo mediante la codificación, la supervisión o incluso un proveedor alternativo.
- ¿Cuáles son las claves de la seguridad de nube empresarial?
Para mantener una estrategia de seguridad sólida, la seguridad de nube empresarial requiere un enfoque multicapa de la estrategia de seguridad. Las soluciones de seguridad basada en la nube más comunes incluyen:
- Gestión de acceso e identidades. Las soluciones de control de acceso sólido, permisos estrictos y autenticación multifactor dificultan a los atacantes el uso de credenciales robadas para acceder a los entornos de nube.
- Supervisión continua. Las soluciones de seguridad que permiten a los equipos de TI supervisar continuamente las plataformas y los servicios en la nube pueden ayudar a identificar y corregir rápidamente las posibles amenazas.
- Seguridad de red de nube. Las soluciones para segmentar los activos en la nube pueden reducir el impacto de una filtración. La tecnología de seguridad de red en la nube también puede supervisar el tráfico y proteger los datos y los activos digitales contra la explotación y el movimiento lateral.
- Protección de datos. El cifrado de datos en tránsito y en reposo puede proteger los datos almacenados en la nube y simplificar el cumplimiento de una amplia gama de leyes y normativas.
- Inteligencia sobre amenazas. El acceso a información actualizada sobre amenazas puede ayudar a las organizaciones a identificar y defenderse de las ciberamenazas emergentes.
- Agentes seguros de acceso a la nube (CASB). Un CASB se sitúa entre los clientes y sus servicios en la nube para ayudar a aplicar políticas de seguridad y añadir una capa de seguridad.
- Acceso de red Zero Trust (ZTNA). Las soluciones ZTNA proporcionan un acceso remoto seguro a los activos en la nube con cada solicitud, lo que garantiza que los usuarios o las aplicaciones que solicitan se autentican continuamente.
- HISTORIAS DE ÉXITO EMPRESARIAL DE CIBERSEGURIDAD EN LA NUBE: CASOS REALES REVELADOS
En este recorrido por la ciberseguridad en la nube, desentrañaremos casos reales de empresas que han superado desafíos y fortalecido sus defensas digitales. Estos relatos auténticos ofrecen insights valiosos para todas las organizaciones que buscan elevar su seguridad en el entorno digital.
- P. Morgan Chase – Defendiendo la Confianza Financiera: J.P. Morgan Chase enfrentó la imperiosa necesidad de proteger datos críticos de clientes. Implementaron protocolos avanzados de cifrado y establecieron un sistema de monitoreo proactivo, construyendo así una fortaleza en su ciberseguridad en la nube.
- Siemens – Innovación y Resiliencia en Manufactura: Siemens, líder en manufactura, aseguró su cadena de suministro y protegió la propiedad intelectual mediante estrategias proactivas de ciberseguridad en la nube. Su enfoque innovador garantiza un entorno digital robusto y seguro.
- Mayo Clinic – Cuidado de la Salud Digital Excepcional: Mayo Clinic intensificó su seguridad en la nube para salvaguardar datos sensibles de pacientes. Adoptaron prácticas de cumplimiento rigurosas, almacenamiento seguro y estrategias para contrarrestar amenazas digitales, garantizando un entorno de atención médica digital seguro.
Estos casos reales proporcionan lecciones cruciales:
- Enfoque Proactivo: La detección proactiva de amenazas es esencial.
- Cifrado Robusto: La implementación de protocolos de cifrado avanzados es clave.
- Capacitación del Personal: La concienciación y formación del personal son fundamentales para mantener entornos seguros.
Reflexionando sobre estas historias, surge la importancia de aplicar lecciones aprendidas en diversas industrias. Además, la integración de tecnologías emergentes como la inteligencia artificial y la blockchain delinea el futuro de la ciberseguridad en la nube.
Estas narrativas auténticas no solo destacan los éxitos individuales, sino que también inspiran a otras empresas a fortalecer sus defensas digitales. Al aprender de casos reales, avanzamos hacia un futuro digital más seguro y resistente.
- Marco Normativo, Prestación de servicios y Regulación de la transferencia de datos.
Las principales leyes relacionadas en materia de ciberseguridad son las siguientes:
- Ley 26.388 de Delito informático;
- Ley 25.326 de Protección de Datos Personales;
- Decreto Reglamentario N° 1558/2001;
- Ley 25.506 de Firma Digital;
- Decreto Reglamentario N° 2628/2002;
- Ley 26.904 de Grooming.
Preliminarmente, y para un correcto análisis, cabe distinguir los conceptos jurídicos de cesión, prestación de servicios y transferencia internacional de los datos, regulados en la ley 25.326 y el decreto reglamentario 1558/2001 (art. 12).
- Habrá cesión cuando los datos se transfieran a un tercero para que disponga de ellos a su arbitrio. En términos del derecho civil puede significar que el cesionario adquiere el dominio de los datos. Ahora bien, para la actividad informativa el concepto de dominio no es determinante para definir una cesión, pues lo sustancial gira alrededor del tratamiento del dato y la finalidad o voluntad aplicada a aquel. Para que exista cesión de datos deben reunirse las siguientes condiciones: a) Que se realice entre dos personas jurídicas distintas (cedente y cesionario), sean o no del mismo grupo económico; y b) que el cesionario reciba los datos con la facultad de tratarlos a su propio arbitrio e interés.
- Por su parte, la prestación de servicios se refiere al caso en el cual el titular de un banco de datos transfiere toda o parte de la información en su poder a un tercero, para que le preste un servicio de tratamiento determinado contractualmente, conforme a una finalidad específica e instrucciones del responsable, con las medidas de seguridad y confidencialidad requeridas por ley y sin poder ceder los datos a terceros ni aun para su conservación, debiendo destruir o reintegrar la información una vez finalizado el contrato.
- Por otro lado, la transferencia internacional implica, simplemente, sacar los datos de la jurisdicción argentina hacia otra jurisdicción, en virtud de la cual los datos personales pasarán a estar alcanzados por otra normativa. Dicha transferencia puede ser con motivo de una cesión, o una prestación de servicios, o una simple transferencia internacional entre distintas sedes de una misma empresa.
La ley 25.326 regula la transferencia internacional de datos personales en su artículo 12, en el que dispone la prohibición de transferencia de datos personales a países que no proporcionen niveles de protección adecuados.
No obstante, la ley 25.326 establece excepciones a dicha prohibición en los siguientes supuestos: a) colaboración judicial internacional; b) intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado, o una investigación epidemiológica previa disociación de los datos que no permita la identificación de sus titulares; c) transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable; d) cuando la transferencia se hubiera acordado en el marco de tratados internacionales en los cuales la República Argentina sea parte; y e) Cuando la transferencia tenga por objeto la cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico (art. 12, inc. 2, de la ley 25.326).
Por otro lado, el decr.-regl. 1558/2001 en su artículo 12 del Anexo I11 estableció otras excepciones que permiten flexibilizar tan dura normativa, para los siguientes casos: a) cuando el titular del dato preste su consentimiento, b) si la adecuación puede determinarse en base a sistemas de autorregulación, o c) del amparo que se establezcan para los datos personales mediante cláusulas contractuales (12).
En términos generales, para determinar la adecuada protección de los datos personales que van a ser transferidos a un tercer país (sea por su normativa, contrato o autorregulación), deben verificarse el cumplimiento de tres pilares básicos: a) normativa adecuada (condiciones de licitud similares a la legislación argentina); b) autoridad de control eficaz; y c) tutela judicial efectiva.
Ahora bien, los dos casos de excepción que prevé el artículo 12 del decr.-regl. 1558/2001 merecen un particular análisis: Autorregulación y contrato de transferencia internacional.
- Autorregulación.
Para determinar la legitimidad de un sistema de autorregulación o normas corporativas vinculantes, cabe exigir el cumplimiento de las siguientes condiciones: a) las normas deben resultan obligatorias y exigibles, tanto para las empresas participantes (mediante resoluciones societarias internas que obliguen a cumplir con las cláusulas previstas), como para los empleados y terceros beneficiarios (titular del dato y órganos de control), en este último caso con carácter de irrevocable; b) condiciones adecuadas de protección de los datos personales (cumplir al menos con las cláusulas básicas de transferencia internacional que se describen en el punto siguiente); c) responsabilidad solidaria de las empresas participantes frente a cualquier afectación de los derechos del titular del dato y/o reclamos o sanciones del Órgano de Control (Dirección Nacional de Protección de Datos Personales -PDP); d) existencia de una autoridad de control externa (distinta de las sociedades del grupo), especializada, y con facultades sancionatorias (preferentemente la PDP u órganos de control locales de los países en los que se efectúe el tratamiento); e) en caso de serles requerido, deberán presentar una explicación jurídica fundada (preferentemente mediante un dictamen profesional) por la que consideran que la autorregulación puede ser exigible conforme al ordenamiento jurídico argentino y terceros países en que los pueda tener efectos (frente a las empresas y tanto a favor del titular del dato como la autoridad de control).
- Contrato de transferencia internacional.
Cuando una transferencia internacional de datos personales tenga como destino un país u organismo internacional que no proporcione niveles de protección adecuados, según lo define la ley 25.326 en su art. 12 y el Decreto reglamentario 1558/01, y la transferencia no esté contenida entre las excepciones del art. 12 inc. 2 de la ley 25.326 o no cuente con el consentimiento previsto por el art. 12 del Anexo I del Decreto 1558/01, se deberá celebrar un contrato de transferencia internacional de datos entre el exportador y el importador que contenga razonablemente, y en lo que resulte pertinente, las siguientes condiciones requeridas por la PDP en sus dictámenes: a) Se identifique al exportador y al importador de los datos, indicando dónde se ubicará el banco de datos (jurisdicción); b) Definir como ley aplicable del contrato, derechos y obligaciones aplicables al mismo, a la ley argentina Nro. 25.326. En tal sentido, en caso de existir definiciones de términos contractuales deberán seguir las de la ley 25.326. Las partes deben asumir la totalidad de las disposiciones de la ley 25.326 como norma básica y condición de existencia del contrato; c) Determinar la naturaleza y categorías de datos personales a transferir; d) La declaración del exportador manifestando que los datos que va a transferir cumplen en su tratamiento con las disposiciones de la ley 25.326; e) El compromiso del importador que los datos recibidos serán tratados en un todo y sin excepciones según lo dispone ley 25.326, y de que se obliga frente a la PDP y los titulares de los datos, a respetar y dar cumplimiento a la totalidad de los derechos y facultades que la ley 25.326 les otorga; f) Indicar la finalidad a la que serán destinados dichos datos; g) El compromiso por parte de importador de no divulgar ni transferir los datos personales a terceros con excepción de que: 1) se establezca de manera específica en el contrato o resulte necesario para su cumplimiento, verificando en ambos casos que el destinatario se obligue en iguales términos que el importador en el presente y siempre bajo el conocimiento y conformidad previa del exportador de datos, o 2) la cesión sea requerida por una ley aplicable o autoridad competente, en la medida que no excedan lo necesario en una sociedad democrática, es decir, cuando constituyan una medida necesaria para la salvaguardia de la seguridad del Estado, la defensa, la seguridad pública, la prevención, la investigación, la detección y la represión de infracciones penales o administrativas, o la protección del titular del dato o de los derechos y libertades de otras personas, en cuyo caso deberán notificar de manera inmediata y por escrito al exportador para que evalúe si dicha transferencia afecta las disposiciones de protecciones de datos personales locales y en consecuencia afecta la continuidad del contrato; h) Disponer para con los datos objeto de transferencia las medidas de seguridad y confidencialidad necesarias, verificando que no sean inferiores a las dispuestas por la normativa vigente (Disposición DNPDP Nº 11/2006); i) El compromiso del exportador e importador de responder frente a los titulares de los datos y la PDP por todo eventual incumplimiento del contrato relativo al tratamiento de los datos personales; j) Prever el ejercicio por parte del titular de los datos de sus derechos de acceso, rectificación, supresión y demás derechos contenidos en el Capítulo III, arts. 13 a 20 de la ley 25.326, tanto ante el exportador como el importador de los datos, respetando los plazos de ley y disponiendo los medios para tal fin; k) El compromiso del importador de cumplir las disposiciones de la PDP, en especial sus facultades de inspección y sanciones, permitiendo a la PDP, o a quien delegue, el ejercicio de sus facultades de control; l) La declaración de las partes de haber verificado que la legislación local del importador no impide el cumplimiento de las obligaciones convenidas en el contrato de transferencia, en particular las relativas al tratamiento de los datos personales; m) La obligación de destruir y/o reintegrar al exportador los datos personales objeto de la transferencia, cuando se produzca alguna de las siguientes circunstancias: 1) Finalización del contrato; 2) Imposibilidad de cumplimiento de las disposiciones de la ley 25.326; 3) Extinción de la finalidad por la que se transmitieron los mismos; n) Se aplicará la jurisdicción de los Tribunales argentinos por cualquier cuestión relativa al tratamiento de datos personales, sea que se suscite entre las partes o por reclamos de terceros o el titular del dato.
Para los casos de prestación de servicios se recomienda considerar, además de lo dispuesto en el párrafo anterior, los requisitos del art. 25 de la ley 25.326 y decr.-regl. 1558/2001 y, en particular, los siguientes compromisos de las partes: que el servicio de tratamiento de datos se realizará en un total de acuerdo con los principios y disposiciones de la Ley Nº 25.326, el Decreto 1558/2001 y normas reglamentarias; que el importador destinará los datos exclusivamente al tratamiento requerido por el exportador y sin apartarse de sus instrucciones; que el importador no divulgará ni transferirá los datos personales a terceros, con excepción de que sea previsto de manera específica en dicho contrato por resultar necesario para la prestación de los servicios de tratamiento previa conformidad del exportador, obligándose contractualmente el sub prestador en iguales condiciones de seguridad y confidencialidad, en cuyo caso estos datos no podrán aplicarse o utilizarse con un fin distinto al que figure en el contrato de servicios, ni cederlos a otras personas, y una vez concluida la prestación contractual deberán destruir los datos personales tratados, salvo que medie autorización expresa de las Partes cuando razonablemente se presuma la posibilidad de ulteriores encargos, en cuyo caso se podrán almacenar con las debidas condiciones de seguridad por un plazo de hasta 2 años.
GILS CARBÓ, Alejandra M., Régimen legal de las bases de datos y habeas data, La Ley, Buenos Aires, 2001, 130, considera que no debe aplicarse el art. 11 de la ley 25.326 «cuando sociedades de un mismo grupo económico intercambian bases de datos entre sí, en la medida en que dicho intercambio sea sólo entre tales sociedades relacionadas y para sus propias necesidades y objetivos comerciales».
En el caso de una sucursal argentina, que transfiere los datos a su sede principal en el extranjero, como son la misma persona jurídica no hay cesión ni prestación de servicios, pues es la misma persona jurídica que transfiere sus datos de una sede a otra. No es lo mismo la transferencia entre empresas distintas de un mismo grupo económico, pues en tal caso sí será una cesión, pues nuestra ley no hace ninguna excepción respecto a grupos económicos, como sí lo hacen otras legislaciones.
- CONCLUSIONES
Las asimetrías legislativas existentes entre los distintos países requieren disponer de herramientas que no solo garanticen una adecuada tutela de los datos personales objeto de tratamiento, sino también que simplifiquen y otorguen mayor transparencia y margen de previsibilidad jurídica a los distintos prestadores de servicios de Cloud Computing.
Este contexto de conveniencia técnica y sobre todo, de conveniencia económica, genera el ambiente propicio para la incubación de múltiples proyectos de migración de Servicios hacia la nube, tanto para las empresas privadas como para organismos públicos.
Es en este punto donde debe tenerse especial cuidado en proyectar y contemplar los diferentes aspectos legales de las migraciones, analizando si existen consecuencias riesgosas para la empresa, y en tal caso, brindar la alternativa de evaluar la conveniencia del proyecto.
Los diferentes tópicos legales que deben ser tenidos en cuenta, dependen de cada negocio o proceso a migrar, y es por ello que este tipo de contrataciones suelen ser un “traje a medida” para cada empresa u organización.
En la actualidad, la mayoría de los datos e información de las startups y pymes se encuentran alojados en servidores de Internet, ya que esto facilita el uso de dichos datos para realizar operaciones cotidianas. Ante esto, resulta fundamental mantener dicha información protegida de terceros que intentan acceder a ella, constituyendo así una amenaza o riesgo para la organización.
En caso de no contar con proveedores que puedan garantizarnos soluciones de seguridad para la nube, es posible que ciberatacantes aprovechen puntos débiles para acceder a información sensible sin previa autorización. Esto afectaría el funcionamiento de las organizaciones de forma negativa, ya que dejaría sus datos en manos de terceros que no tienen buenas intenciones.
En este sentido, optimizar la seguridad en la nube debe ser una prioridad para evitar que tanto la información confidencial como el funcionamiento de la organización se vea comprometido por amenazas externas.
La jurisdicción sobre los datos en la nube es un tema complejo, en el que el tratamiento y el almacenamiento de datos personales de usuarios en países distintos a los de su residencia, tienen especial relevancia. Sin embargo, las principales legislaciones actuales se encuentran desactualizadas y no abordan este tema.
Sobre este punto, cabe resaltar el conflicto surgido en el año 2013 entre Microsoft Corp. y Estados Unidos, el mismo que se suscitó debido a que el Gobierno de EE.UU. buscaba forzar a Microsoft a compartir los datos recopilados en sus servidores ubicados en Irlanda, a fin de obtener el contenido de una cuenta de correo electrónico de un presunto narcotraficante.
Como respuesta, Microsoft se negó a brindar dicha información, ya que consideraba que los emails estaban almacenados en un servidor localizado en Irlanda y que dependía de los gobiernos de aquel país y de EE.UU., el lograr un acuerdo para permitir el acceso.
La consecuencia que trae este debate es enfrentar dos posturas: las empresas que abogan por la protección de la data de sus clientes y un Estado que busca tener acceso a información, sin importar la ubicación de esta.
- BIBLIOGRAFIA
1) Seguridad en la nube para pymes: qué es, componentes, posibles amenazas y cómo mejorarla. Delta Protect.
2) Ciberseguridad en la nube: reforzando la protección de datos y operaciones empresariales, por Rodhe Security
3) Tecnología de la información. El enfoque de la ciberseguridad debe incorporarse en la estrategia de negocio de las compañías». Eduardo Di Monte.
4) Responsabilidad compartida en la Nube. Augusto Angulo.
5) Hacking ético ¿Por qué es importante para las empresas y la sociedad? Pablo González.-
6) Una guía completa de Cloud Security en 2024 (Riesgos, mejores prácticas, certificaciones) Edward Jones, noviembre 22, 2022
7) Marco normativo de Protección de Datos Personales de Argentina en los Servicios Cloud Computing. Marcelo G. I. Temperini
Citar: www.grupoprofessional.com.ar/blog/ – GP03072024DINF
Copyright 2024 – Grupo Professional – Capacitaciones Jurídicas – Av. Córdoba 1522 – 3er Piso- Ciudad Autónoma de Buenos Aires – Argentina.
Las opiniones, informaciones y complementos son de exclusiva propiedad y responsabilidad del autor
Abogada egresada de la UBA; matrículada en el Colegio de Abogados de San Isidro. Docente de Contratos Civiles y Comerciales de la UBA en la cátedra del Dr. Heriberto Simón Hocsman y Alan C. Gobato. Diplomatura en Gestión Educativa y Representante Legal de la Universidad Austral; Posgrado de Asesoramiento Empresarial de la UBA; Miembro de la Comisión de Derecho Informático del CASI. Miembro del Instituto de Derecho Civil, y Concursal del CASI; Miembro de la Comisión de Derecho Comercial del CASM; Actualización en Programa de Neurociencias y Derecho del CASI; Programa de Inteligencia Artificial y Derecho (UBA). Especialista en Gobernanza de Datos del Laboratorio de Inteligencia Artificial de la UBA (IALAB). Investigadora constante de la IA y el futuro del Derecho”. Fundadora y creadora del Estudio NPG Abogados. consultasnpgabogados@gmail.com