Nueva guía NIST 800-144 de Seguridad y privacidad en la nube

Normativa, Seguridad y Cloud Computing

La Nube o Cloud Computing está de moda.

Por este motivo se está hablando mucho en diferentes foros y ambientes de la problemática que conlleva la Nube con la protección de la privacidad y de las implicaciones de dicho servicio en manteria de seguridad.

No podemos olvidar que el Cloud Computing es un servicio TI más y que no deberíamos perdernos en definir cuestiones que en definitiva ya se estaban dando en nuestra realidad con servicios TI con otras denominaciones. Aunque, qué duda cabe de que el Cloud Computing es algo que poco a poco se irá haciendo más familiar y cotidiano. ¿Pero no se utilizan algunos de estos servicios ya desde hace algún tiempo en nuestra actividad diaria? Pensemos en los servicios de correos de acceso web, los servicios de compartición de información y las comunidades virtuales como algunos ejemplos de esta no tan novedosa realidad.

En este contexto en el que nos encontramos, junto con las noticias que llegaban desde la UE el día 25 de enero respecto al nuevo horizonte normativo en materia de protección de la privacidad, hace que sea un buen documento de análisis y reflexión este que os enlazo para conocer algunos aspectos relativos a la seguridad y privacidad en la nube.

http://docs.govinfosecurity.com/files/external/SP800-144.pdf

La Comisión propone una reforma general de las normas de protección de datos para aumentar el control de los usuarios sobre sus propios datos y reducir los costes para las empresas

Los cambios esenciales introducidos por la reforma son los siguientes:
- Se impondrá un conjunto único de normas sobre protección de datos válido en toda la UE y se eliminarán requisitos administrativos innecesarios como los requisitos de notificación para las empresas. Esto les supondrá un ahorro cercano a 2 300 millones EUR anuales.
- En lugar de la disposición actual que obliga a todas las empresas a notificar todas las actividades de protección de datos a los supervisores de protección de datos (requisito que ha generado a las empresas trámites y costes por un valor de 130 millones EUR anuales) el Reglamento intensifica la responsabilidad y la obligación de rendir cuentas de todos aquellos que procesen datos personales.
- Por ejemplo, las empresas y organizaciones deberán notificar a la autoridad nacional de control toda violación de datos grave lo antes posible (siempre que sea posible en un plazo de 24 horas).
- Las organizaciones tendrán como interlocutora única a una autoridad nacional de protección de datos en el país de la UE donde tengan su sede.
Del mismo modo, los ciudadanos podrán dirigirse a la autoridad de protección de datos de su país, incluso cuando sus datos sean tratados por una empresa ubicada fuera de la UE. Siempre que el tratamiento de los datos
exija el consentimiento del interesado, deberá dejarse claro que dicho consentimiento debe obtenerse explícitamente y no presuponerse.
- Los ciudadanos tendrán un acceso más fácil a sus propios datos y deberán poder transferir sus datos personales de un proveedor de servicios a otro con mayor facilidad (el derecho a la «portabilidad de los datos»), lo que aumentará la competencia entre servicios.
- El «derecho al olvido» ayudará a los ciudadanos a gestionar mejor los riesgos inherentes a la protección de los datos en línea: los usuarios podrán borrar sus datos cuando no existan razones legítimas para conservarlos.
- Deberán aplicarse las normas de la UE a toda empresa activa en el mercado de la UE que ofrezca sus servicios a ciudadanos de la UE y procese datos personales en terceros países.
- Se proporcionarán refuerzos a las autoridades nacionales independientes de protección de datos para que efectúen una mejor aplicación de las normas de la UE en su territorio. En efecto, tendrán la potestad de multar a las empresas que quebranten las normas de protección de datos de la UE. Este tipo de sanciones puede representar hasta 1 millón EUR o un 2 % del volumen de negocios anual global de una empresa.
- Una nueva Directiva aplicará ciertos principios y normas generales de protección de datos a la cooperación policial y judicial en materia penal.
Esas reglas se aplicarán a las transmisiones de datos nacionales e internacionales.

Despido disciplinario por uso incorrecto de ordenador.Licitud del examen de contenidos y límites a la privacidad

Sí existen límites a la privacidad

STS 6-10-2011 (Social) Despido disciplinario por uso incorrecto de ordenador. ilicitud de la prueba consistente en el examen de los contenidos que revela el programa espia. no existe tal ilicitud cuando existe de antemano una prohibición absoluta respecto del uso para fines personales.

Esta Sentencia del Tribunal Supremo de fecha 6 de octubre del año pasado, establece que si no hay derecho a utilizar el ordenador para usos personales, no hay tampoco derecho para hacerlo en unas condiciones que impongan un respeto a la intimidad o al secreto de las comunicaciones, porque, al no existir una situación de tolerancia del uso personal, tampoco existe ya una expectativa razonable de intimidad y porque, si el uso personal es ilícito, no puede exigirse al empresario que lo soporte y que además se abstenga de controlarlo.

En el caso del uso personal de los medios informáticos de la empresa no puede existir un conflicto de derechos cuando hay una prohibición válida. La prohibición absoluta podría no ser válida si, por ejemplo, el convenio colectivo reconoce el derecho a un uso personal de ese elemento o instrumento de trabajo. En el caso ahora examinado, existía una prohibición absoluta que válidamente impuso el empresario sobre el uso de medios de la empresa (ordenadores, móviles, Internet, etc.) para fines propios, tanto dentro como fuera del horario de trabajo, y no caprichosamente sino sobre las sospechas fundadas de que se estaban desobedeciendo las órdenes impartidas al respecto.

Siendo, de esta manera, la validez de prohibición tan terminante, que lleva implícita la advertencia sobre la posible instalación de sistemas de control del uso del ordenador, no es posible admitir que surja un derecho del trabajador para que se respete su intimidad en el uso del medio informático puesto a su disposición. Tal entendimiento equivaldría a admitir que el trabajador podría crear, a su voluntad y libre albedrío, un reducto de intimidad, utilizando un medio cuya propiedad no le pertenece y en cuyo uso está sujeto a las instrucciones del empresario de acuerdo con lo dispuesto en el art. 20 E.T.

Los ayuntamientos del Reino Unido se convierten en la referencia de los servicios compartidos en Cloud para el Sector Público

La "Nube" una buena solucion si se dan buenas condiciones y seguridad

En los tiempos que estamos viviendo y ante las perspectivas respecto al recorte presupuestario y las responsabilidades que pueden derivarse de su inobservancia, el Cloud se puede plantear como una buena solución. El precio habrá que fijarlo, sus condiciones de seguridad y acceso también pero el ancho de banda para el “uso” de dicho servicio podrá ser un problema en España.

Los ayuntamientos del Reino Unido se convierten en la referencia de los servicios compartidos en Cloud para el Sector Público UNIT4 ha anunciado que Xentrall, la empresa conjunta de servicioscompartidos entre los ayuntamientos británicos de Stockton yDarlington, ha marcado un hito implementando los servicioscompartidos en cloud usando Shared Journey de UNIT4 para la gestiónfinanciera y contable de 10 academias centros propios del sistemaeducativo del Reino Unido en tan sólo seis meses. El servicio, queal principio se centraba en instituciones académicas de esta zona,está empezando a despertar el interés de otras organizacionespúblicas y escuelas geográficamente lejanas que quieren reducir suscostes y mejorar su servicio.

vía Los ayuntamientos del Reino Unido se convierten en la referencia de los servicios compartidos en Cloud para el Sector Público.