En vista de las noticias (ver el link al final de este artículo) - altamente fidedignas por cierto - de acceso masivo a información privada (les dejo la política del tema para leer/discutir en otros posteos), la pregunta a hacer desde el punto de vista de seguridad de la información (que incluye a la seguridad informática), es si una organización que requiere asegurar - garantizar contra toda duda - la privacidad de sus datos debería optar por usar y guardar información sensible en los diferentes servicios (correo, espacio de almacenamiento en Internet, aplicaciones, virtualización de infraestructura, etc.), en la nube que ofrecen muchos proveedores sospechados.
La información sensible es por ejemplo, la que maneja un estudio de abogados que tiene la representación de una persona con actividad política intensa (un diputado, senador, concejal, ministro, etc.).
Ese tipo de actividades puede convertir al representado en una persona de interés a monitorear por algún posible elemento oponente, y por ende sus comunicaciones privadas (correos electrónicos, documentos de texto, hojas de cálculo, etc.), podrían ser un objetivo de vigilancia, y el acceso ilegal a ellas podría ocurrir con más facilidad si su información sensible se guarda en "la nube" y/o en servicios de "nube" en Internet.
Costos
El costo de mantener la información sensible segura es un tema diferente a la necesidad de mantener la información segura.
Un servicio de nube puede ser más barato, más fácil de mantener seguro por casi nada de costo (el proveedor mantiene la seguridad), etc. Una infraestructura propia va a ser más cara en muchos casos (hay que comprar servidores, pagar sueldos, etc. etc.), pero en muchos casos, solamente con una infraestructura propia se podrá responder a requerimientos, reglamentaciones, disposiciones internas y leyes que dictaminen que los datos guardados por una organización deben ser privados.
En Argentina, la Ley 25.326 prescribe que los particulares que formen bases de datos que no sean para un uso exclusivamente personal deberán registrarlas (artículo 24), a la vez explicita ciertos derechos de las personas que figuran en la base de dato y obligaciones de quien/es crearon la base de datos, algunas de esas obligaciones podrían no poder estar cubiertas en caso de accesos no autorizados de terceras partes a la base de datos.
Por qué registrar una Base de Datos (sitio
http://www.jus.gob.ar/datos-personales/registro/por-que-registrar-una-base.aspx
Ley 25.326
http://www.infoleg.gov.ar/infolegInternet/anexos/60000-64999/64790/norma.htm
"La Ley 25.326 y la difusión masiva de datos personales"
www.bcra.gov.ar/pdfs/eventos/Delitos_Pres_Pablo_Segura.pdf
Conclusiones
Claro que la respuesta a la pregunta del título es "NO".
Si tu organización maneja información sensible, lo ideal es que tengas infraestructura propia, ejemplos de org. que manejan información sensible: un banco, una aseguradora, un supermercado, una clínica, una obras social, un consultorio médico, un estudio de abogados / contadores / escribanos.
Ciertamente, la noticias de los últimos días vuelven irrecomendable - desde el punto de vista del profesional IT - el uso de cualquier servicio en la nube para guardar información sensible (APIs, mails, storage, servidores virtuales, etc.). La lista de clientes/organizaciones que no deberían usar servicios en la nube prácticamente incluye a cualquier organización que no sea un pequeño comercio (las grandes empresas tampoco deberían guardar sus datos en la nube).
Links:
Edward Snowden: the whistleblower behind the NSA surveillance revelations
The 29-year-old source behind the biggest intelligence leak in the NSA's history explains his motives, his uncertain future and why he never intended on hiding in the shadows
http://www.guardian.co.uk/world/2013/jun/09/edward-snowden-nsa-whistleblower-surveillance
No hay comentarios:
Publicar un comentario