Computação em nuvem: Privacidade de dados na nuvem
Há várias etapas que você pode e deve, tomar para garantir a segurança de seus dados corporativos, quando se deslocam para a nuvem.
Vic (J.R.) Winkler
Adaptado de "Securing the Cloud" (Syngress, um selo da Elsevier)
A questão da privacidade de dados está na vanguarda da mente de todos. Comerciais de televisão anunciam produtos de segurança e notícias programas frequentemente descrevem a violação de dados mais recente. Percepção pública de lado, qualquer organização tem a obrigação legal de proteger a privacidade dos seus funcionários e clientes.
Leis proíbem alguns dados sejam utilizados para outras razões secundárias que o propósito para o qual foram originalmente coletadas. Você não pode coletar dados sobre a saúde de seus funcionários, por exemplo e, em seguida, usá-lo para carregar os fumantes com prémios de seguros mais elevados. Além disso, você não pode compartilhar determinados dados com terceiros. No mundo da computação em nuvem, isso se torna muito mais difícil, como você agora tenho um terceiro funcionamento e gerenciamento da infra-estrutura. Por sua própria natureza, o provedor terá acesso aos seus dados.
Se você está coletando e armazenando dados na nuvem e está sujeita aos requisitos legais de um ou mais regulamentos — por exemplo, O Health Insurance Portability e Accountability Act (HIPAA) ou a lei Gramm-Leach-Bliley Act (GLBA) — você deve garantir que o provedor de nuvem protege a privacidade dos dados de forma adequada. Da mesma forma como os dados coletados em sua organização, os dados coletados na nuvem só devem ser usados para a finalidade para que foram inicialmente recolhidos. Se o indivíduo especificado que os dados ser utilizados para um propósito, que a garantia deve ser acolhida.
Avisos de privacidade especificarem que as pessoas podem acessar seus dados e tê-lo excluído ou modificado. Se se os dados de ambiente de um provedor de nuvem, requisitos de privacidade aplicam-se ainda, e a empresa deve garantir que isso é permitido dentro de um prazo semelhante, como se os dados foram armazenados no local. Se o acesso aos dados só pode ser realizado por pessoal dentro da empresa do provedor de cloud, você deve ser satisfeito eles podem cumprir a tarefa, conforme necessário.
Se você já entrou em um contrato de click-wrap, você vai ser restrita para que o provedor de nuvem tem constantes destes termos. Mesmo com um contrato sob medido, o provedor de nuvem pode tentar limitar o controle de dados para garantir que seus clientes têm uma abordagem unificada. Isso reduz a sobrecarga do provedor de nuvem e a necessidade de funcionários especializados na mão. Se controle completo sobre seus dados é uma necessidade, você precisa garantir isso antecipadamente e não dobrar para termos uma nuvem do fornecedor.
Há um número de provedores de nuvem que se especializam em mercados distintos e adaptar os seus serviços a esses mercados. Esta é susceptível de se tornar mais prevalentes nos próximos anos. Provedores de nuvem de nicho também provavelmente vão surgir. Por exemplo, provedores de nuvem que oferecem serviços na área da saúde seriam sujeita a regulamentos pertinentes, como a HIPAA. Esperamos que eles cobram para os controles que são necessários e tratamento especial.
Localização de dados
Qualquer empresa com presença na Web ou indivíduos que post em sites de redes sociais está gravando dados em um ou mais servidores que realmente poderiam ser localizado em qualquer lugar. Se você está postando informações pessoais para o Facebook ou atualizar seus links de negócios no LinkedIn, esses dados serão armazenados em algum lugar. Como as empresas se mover em direção a usando e abraçando provedores de nuvem, a localização desses dados se tornará mais importante devido à privacidade de dados, as exigências legais ou regulamentares.
As empresas globais precisam garantir que quaisquer serviços implantados na nuvem são usados de acordo com as leis e regulamentos em vigor para os funcionários, subsidiárias estrangeiras ou de terceiros. EUA lei é marcadamente diferente de outras regiões, por isso mesmo se trata de seus próprios funcionários que estão usando o serviço, você precisa estar ciente das leis que pertencem a eles em sua localização.
Filiais em outras regiões podem ter leis ligeiramente diferentes para o qual você tem conta, mesmo se eles estão na mesma área geral. Algumas subsidiárias estrangeiras podem ter problemas de compartilhamento de dados com uma região, mas não com outra. Adicionar um provedor de nuvem à mistura adiciona outra camada de complexidade.
O local principal dos dados e quaisquer locais de backup devem ser conhecidas para garantir essas leis e regulamentos sejam seguidos. Muitas vezes, os locais de backup precisam ser determinado. Amazon.com Inc., por exemplo, tem grandes datacenters nos Estados Unidos e a Irlanda, o que poderia causar problemas se eles foram usados como centros de backup de determinados tipos de dados.
As leis de proteção de dados dos Estados Membros da União Europeia (UE), bem como outras regiões, são extremamente complexas e têm um número de requisitos definitivos. A transferência de dados pessoais, fora dessas regiões precisa ser manipulados de maneiras muito específicas. Por exemplo, a UE exige que o coletor de dados ou controlador de dados, deve informar as pessoas que os dados serão enviados e processados em uma região fora da UE. O processador de final e o controlador de dados também devem ter contratos previamente aprovados pela autoridade de proteção de dados. Isto terá diferentes níveis de dificuldade, dependendo da região que está processando os dados. Os Estados Unidos e a UE têm um acordo de reciprocidade, os EUA. destinatário apenas tem de auto-certificar seus procedimentos de dados registrando com os EUA. Departamento de comércio.
Você precisará garantir que quaisquer provedores de nuvem que você usar que estão fora da sua jurisdição têm medidas de segurança adequadas em vigor. Isso inclui suas localizações primárias e de backup, bem como os intermediários locais, se os dados estão sendo transferidos entre jurisdições.
Colocando seus dados em um servidor de terceiros, se um provedor de nuvem ou caso contrário, você está confiando seus dados a terceiros. Você precisa para garantir a segurança adequada para suas necessidades e cumprir todos os requisitos legais e normativos. Procedimentos e controles do provedor também devem cumprir com as leis locais da região onde se encontra o servidor. Se você entrou em um acordo com uma empresa nos Estados Unidos, mas eles hospedam os dados em um servidor na UE, é provável que você terá que cumprir as leis da UE se você quiser transferir dados dentro e fora do sistema.
Estas leis podem ser mais onerosas, se o servidor está hospedado em determinadas regiões, como a China, onde as leis podem permitir que o governo local acesso ilimitado aos dados independentemente de sua sensibilidade. Você pode até mesmo ser limitada (ou proibido) de criptografia de dados sem assegurar as autoridades locais pode descriptografá-lo conforme necessário.
O mercado de provedores de nuvem está se expandindo, mas há apenas um número limitado de jogadores que podem oferecer a aplicação em larga escala e Hospedagem de dados. Isso pode levar as empresas a subcontratar algumas ou todas as hospedagem para outra empresa, possivelmente em outra região. Antes de celebrar qualquer contrato, lembre-se de qualquer subcontratos e executar verificações de segurança apropriadas a estes também.
Alguns provedores de nuvem serão inevitavelmente falir ou deixa de funcionar. Acesso aos seus dados instantaneamente se torna um problema. Dependendo de onde reside o servidor, isso pode exigir que você passe por jurisdição de outra região para obter os dados de volta, e os dados podem estar sujeitos às regras de acesso completamente diferente.
Uso secundário de dados
Dependendo do tipo de provedor de cloud, com quem você contratar, você terá que considerar se seus dados vai ser extraído pelo fornecedor ou outros. O uso de seus dados pode ocorrer sem a você, ou em virtude de um erro de configuração por parte do provedor. Com base na sensibilidade dos seus dados, você poderá garantir seu contrato proíbe ou pelo menos limita o acesso que o provedor de nuvem tem que usar esses dados.
Isso pode ser especialmente difícil quando você entra em um acordo de click-wrap. Como todos sabemos, muito poucos de nós vão ler a cópia fina em tudo. Nós apenas clique na caixa de concordo quando ele aparece. Em 2009, quando o Facebook mudou seus termos em torno da segurança de dados, muitas pessoas reclamaram. No entanto, a maioria dos usuários exercidas utilizando o serviço, porque eles acharam útil. É provável que os usuários irão reagir da mesma forma, o que também pode dar-lhe problemas de segurança.
Os dados que você está armazenando na nuvem podem ser confidenciais ou armazenar dados pessoais, para o qual você deve garantir a segurança. O provedor de nuvem é susceptível de ter pleno acesso a esses dados para manter e gerenciar seus servidores. Você precisará garantir que este acesso não é abusado de alguma forma. Apesar de um contrato pode protegê-lo legalmente, você também precisará Certifique-se de que você está confiante de que a segurança no lugar do provedor irá detectar qualquer acesso não autorizado aos seus dados.
Recuperação de desastres
Você não pode exagerar a importância da continuidade dos negócios e recuperação de desastres. Em termos de recuperação de desastres, você precisa considerar alguns cenários possíveis: um provedor pode sair do negócio, ou seu datacenter poderia torná-lo inoperante. As principais questões com o primeiro cenário são reaver seus dados e realocar seus aplicativos em nuvem para outro fornecedor. Estas devem ser pensadas antes da implantação para a nuvem. Você também deve proteger os seus interesses, assegurando backups de dados regular.
Defina algum formulário do plano quando você move para a nuvem e revisitar esse plano em uma base regular. Fatores de mercado e outras circunstâncias mudam muito rapidamente. Houve um número de instâncias onde um datacenter sofreu uma falha catastrófica, resultando em uma perda ou interrupção dos serviços para muitos sites e empresas, incluindo:
- Um incêndio em um datacenter em Green Bay, Wisconsin, em 2009 levado a paralisações para alguns hospedados sites Web por até 10 dias.
- Uma paralisação no Fisher Plaza (Seattle) em julho de 2009 afetou muitos sites, incluindo viagens de Bing.
- Uma explosão na planta o datacenter em Houston em 2008 teve quase 9.000 clientes offline para tanto quanto alguns dias.
- Rackspace US Inc. teve uma interrupção em seu centro de Dallas em 2009, que durou menos de uma hora.
- O datacenter principal 365 teve interrupções em 2007, que afetou o Craigslist, Yelp e outros.
- Google sofreu um datacenter rolando apagão devido a um erro de atualização de software durante fevereiro de 2009, causando a perda do serviço de correio para muitos clientes.
Dependendo do seu nível de preparação, qualquer um desses eventos pode ser uma mera inconveniência ou uma ameaça iminente para o seu negócio. As empresas menores são mais susceptíveis de ser afectadas, como eles podem ter menos experiência e menos recursos. Uma paralisação poderia perturbar gravemente o seu negócio.
Como você pode ver que a lista de incidentes, não é apenas físicos problemas devido a energia ou falhas de arrefecimento, mas, também, erros de software que podem derrubar um datacenter. Ataques de negação hackers de serviço contra sites da Web específicos podem afetar seu site em virtude de problemas de largura de banda se o site atacado está hospedado no mesmo datacenter.
Violações de segurança
Seu aplicativo podem ser comprometidos ou dados violados enquanto hospedados na nuvem. Nesse caso, você será notificado por meio de sistemas do provedor de nuvem ou algum outro meio. Esperamos que você nunca iria descobrir por causa de um cliente reclamando de roubo de identidade.
Você precisa ser claro sobre a política de divulgação do seu provedor de nuvem e entender o quão rapidamente eles divulgará a brecha para você. A maioria dos e.u. Estados têm leis de divulgação de violação de segurança que exigem o proprietário dos dados notificar indivíduos se seus dados pessoais foi comprometidos de alguma forma. Estas leis exigem que você garantir que você será informado imediatamente de qualquer violação, preferencialmente conforme definido no contrato inicial.
Como alternativa, se você descobrir que seus dados tem sido violados, convém informar o provedor da nuvem. Isso poderia ter implicações para outros clientes. Você provavelmente estarei compartilhando um ambiente com uma ou mais empresas. Dependendo da extensão da violação, isso pode afetar alguns deles. Tendo definido medidas no lugar no contrato e um acordo comum sobre resposta a incidentes plano vai garantir que ambas as partes podem atenuar as conseqüências de uma violação.
.jpg)
Vic (J.R.) Winkler é um senior associate na Booz Allen Hamilton Inc., fornecendo consultoria técnica para principalmente Estados Unidos. clientes de governo. Ele é uma segurança de informações publicadas e pesquisador de segurança do cyber, bem como um especialista em detecção de intrusão/anomalias.
© 2011 Elsevier Inc. Todos os direitos reservados. Impresso com permissão da Syngress, um selo da Elsevier. Copyright 2011. "Protegendo a nuvem" por Vic (J.R.) Winkler. Para obter mais informações sobre este título e outros livros similares, por favor visite elsevierdirect.com.