Informática en nube: Problemas legales y reglamentarios

Aparte de los problemas tecnológicos y de seguridad, existe un conjunto de otros problemas reglamentarios, de cumplimiento y legales para considerar cuándo migrar a la nube.

Vic (J.R.) Winkler

Adaptado de "asegurar la nube: La nube de tácticas y técnicas de seguridad de equipo"(Syngress, un sello editorial de Elsevier, 2011)

El panorama legal y reglamentario alrededor de cloud computing es de ninguna manera estática. Hay nuevas leyes propuestas que podrían cambiar las responsabilidades de los inquilinos de computación nube y proveedores.

Cloud computing que emplea un híbrido, la Comunidad o el modelo de nube pública "crea nuevas dinámicas en la relación entre una organización y su información, que implican la presencia de una tercera parte: el proveedor de la nube. Esto crea nuevos retos en la comprensión de cómo las leyes se aplican a una amplia variedad de escenarios de administración de la información,"según Glen morena y Rich Mogull de Cloud Security Alliance, en su libro blanco," Guía de seguridad para áreas críticas de foco en Cloud Computing. "

Esto crea desafíos prácticos en la comprensión de cómo las leyes se aplican a las diferentes partes en diversos escenarios. Independientemente de qué modelo de informática utiliza, nube o de lo contrario, es necesario considerar las cuestiones jurídicas, específicamente aquellos alrededor de los datos puede recoger, almacenar y procesar. Probablemente habrá estado, nacional o internacional leyes que usted (o, preferiblemente, sus abogados) tendrá que tener en cuenta para asegurarse de que son de cumplimiento legal.

Si el cliente arrendatario o nube opera en los Estados Unidos, Canadá o la Unión Europea, están sujetas a numerosas exigencias reglamentarias. Estos incluyen objetivos de Control para la información y relacionados con la tecnología y puerto seguro. Estas leyes se relacionan a donde los datos almacenados o transferidos, así como cuán bien estos datos está protegidos desde un aspecto de la confidencialidad.

Algunas de estas leyes se aplican a mercados específicos, tales como el Health Insurance Portability ley y responsabilidad (HIPAA) para la industria de atención de la salud. Sin embargo, las empresas suelen almacenan información relacionada con la salud acerca de los empleados individuales, lo que significa que aquellas empresas que tienen que cumplir con HIPPA incluso si ellos no están funcionando en ese mercado.

Fracaso para proteger adecuadamente los datos puede tener varias consecuencias, incluyendo la posibilidad de multas por uno o más de Gobierno o de organismos reguladores de la industria. Tales multas pueden ser sustancial y potencialmente paralizante para una pequeña o mediana empresa. Por ejemplo, la industria de tarjetas de pago (PCI) puede imponer multas de hasta 100.000 dólares al mes por violaciones a su cumplimiento. Aunque estas multas se percibirá en el banco adquirente, ellos probablemente el comerciante así un impacto.

Las leyes o reglamentos especifican normalmente que dentro de una empresa deben celebrarse responsable y responsable de la seguridad y la exactitud de los datos. Si eres recopilar y mantener datos HIPAA, debe tener una posición de seguridad designada para asegurar el cumplimiento. La ley de Sarbanes–Oxley designa el CFO y CEO que tienen la responsabilidad conjunta de los datos financieros. La ley de Gramm–Leach–Bliley es más amplia, especificando la responsabilidad de la seguridad con toda la Junta de directores. Menos específica es la Federal Trade Commission (FTC), que sólo requiere un individuo determinado a ser responsables para el programa de seguridad de la información dentro de una empresa.

Participación de terceros

Si utiliza una infraestructura cloud procedente de un proveedor de servicios de nube, debe imponer todos los requisitos legales o reglamentarios aplicables a su empresa en su proveedor así. Esta es su responsabilidad, no el proveedor. Tomando las regulaciones de HIPAA como ejemplo, los subcontratistas que emplean (por ejemplo, un proveedor de servicios de nube) deben tener una cláusula en el contrato estipula que el proveedor utilizará controles de seguridad razonables y también cumplir con disposiciones de privacidad de datos.

En los Estados Unidos, tanto los organismos del Gobierno federal y estatal como la FTC y varios fiscales generales han hecho las empresas responsables de las acciones de sus subcontratistas. Esto ha sido replicado en otros lugares, como en la UE con los organismos de protección de datos. Están aumentando, así como el uso de infraestructura cloud se vuelve más frecuente, que los riesgos de una tercera parte de acceso a datos ilegalmente.

Incluso con datos cifrados, el tercero puede tener acceso a las claves y por lo tanto, tener acceso a los datos subyacentes. A menudo están aumentados los riesgos, como podría haber un número de terceras partes implicadas: el proveedor de nube; nube de apoyo; operaciones; y los equipos de administración; Además de otros que administrar y dar soporte a las aplicaciones. Contratistas que trabajo para cualquiera de esas organizaciones podría seguir agravan la disipación en control.

Cuestiones contractuales

Estas son algunas de las cuestiones que debe tener en cuenta en todas las etapas del proceso contractual:

• Inicial debido diligencia
• Negociación de contratos
• Implementación
• Terminación (fin de plazo o anormal)
• Transferencia de proveedor

Inicial de debida diligencia

Antes de entrar en un contrato con un proveedor de nube, su empresa debe evaluar sus requerimientos y necesidades específicas. Debe definir el ámbito de los servicios que está buscando, junto con las restricciones, normas o cuestiones de cumplimiento de normas que deben ser satisfechos. Por ejemplo, si vas a recoger y almacenar datos de HIPAA de empleados en la nube, debe asegurarse de que cualquier proveedor cumplirá con las pautas definidas por el Reglamento de la ley HIPAA. Evaluar las diferentes leyes y reglamentos que su empresa necesita para acatar así puede definir lo que puede implementar en una nube o qué tipo de servicio se puede utilizar.

También debe valorar cualquier servicio de que desplegar en la nube con respecto a su criticidad para el negocio. Si desea implementar un servicio que es crítica para el negocio o podría causar una interrupción importante si estaba disponible, entonces deberás este factor en la evaluación de proveedores.

Como un número de proveedores está entrando en este mercado, es inevitable que algunas se fallan o simplemente dejar de prestar el servicio si consideran que no es rentable para ellos. A menudo, las grandes empresas serán entrar en el mercado pero dejarlo una vez que el beneficio esperado no se materializó. Si este es el negocio del proveedor de nube, podría ser dispuesto a seguir funcionando para ya con un beneficio menor.

Preguntas que debe considerar antes de evaluar a los proveedores de servicios de nube incluyen:

• ¿Es este servicio de nube un verdadero negocio del proveedor?
• ¿Cómo financieramente estable es el proveedor?
• ¿Es la empresa outsourcing de cualquier aspecto del servicio a un tercero, y si es así, el tercero tiene las disposiciones adecuadas con el proveedor?
• ¿La seguridad física de sus centros de datos satisface sus necesidades legales, reglamentarios y de negocios?
• ¿Son sus ante desastres y continuidad del negocio de planes de recuperación consistentes con las necesidades de sus negocio?
• ¿Cuál es su nivel de conocimientos técnicos dentro de su equipo de operaciones?
• ¿Cuánto tiempo lleva la empresa ofreciendo el servicio, y tiene un historial con los clientes verificables?
• ¿El proveedor ofrece cualquier indemnización?

Una vez que su empresa ha realizado dicha diligencia puede comenzar una evaluación seria de los proveedores. Esto reducirá el tiempo podrá pasar en general en las negociaciones y garantizar el nivel correcto de seguridad en el lugar para sus necesidades particulares.

No puede esperar su proveedor cloud para conocer en detalle los requerimientos del negocio. Bien puede ser consciente de las normas que deben cumplir. Si hay una violación de reglamentos, será la empresa que es penalizada y no su elegido proveedor de cloud. Elegir tan bien, pero todavía hacer sus deberes.

Vic (J.R.) Winkler es un senior asociado en Booz Allen Hamilton Inc., proporcionando asesoría técnica a Estados Unidos principalmente. clientes de Gobierno. Es una seguridad de la información publicada y investigador de seguridad cibernética, así como un experto en la intrusión y detección de anomalías.

© 2011 Elsevier Inc. Todos los derechos reservados. Impreso con el permiso de Syngress, un imprint de Elsevier. Copyright 2011. "Seguridad en la nube" por Vic (J.R.) Winkler. Para obtener más información sobre este título y otros libros similares, visite elsevierdirect.com.

Contenido relacionado

• Microsoft Forefront: Acceso seguro a sus servicios en la nube
• Nube de seguridad: Segura compartirlo soluciones
• Informática en nube: La cabeza a la nube