Mtro. Jorge Vega Iracelay computo en la nube
description
Transcript of Mtro. Jorge Vega Iracelay computo en la nube
Políticas Públicas para el Cómputoen la Nube (Cloud):
Privacidad, Seguridad y Medio Ambiente
Foro Internacional: Sociedad, Derecho e InternetDía Mundial del Internet
Jorge J. Vega Iracelay
Director de Asuntos Jurídicos y CorporativosMicrosoft México 1
Agenda
El Cómputo en la nube, en pocas palabras.
Tendencias en las políticas generadas por el cómputo en la nube.
¿Requiere el cómputo en la nube un nuevo marco de políticas?
Preocupaciones sobre Privacidad, Seguridad y Medio Ambiente.
Flujo transfronterizo de datos, tensión en múltiples jurisdicciones.
2
Impacto de la Tecnología en las Decisiones de los Reguladores y Funcionarios que
crean Políticas Públicas
Source: modified from Guarding Our Future Protecting Our Nation ’s Infrastructure
Toffler Associates 2008
3
¿Qué es “cómputo en la nube”?Depende a quien le preguntas . . .
El cómputo en la nube ofrece poder de software y
computación a usuarios como un servicio brindado a través
de Internet
Servicios + aplicaciones de plataforma de software
mediante servidores de archivo remotos
Muchos “sabores” diferentes de cómputo en la nube
Consumidor vs. Empresarial
Nube pública, dedicada o privada
¿No es esto tercerización de servicios? 4
Resumen de Servicios en la Nube
Ubicación
Consideraciones
Aspectos Fundamentales
Infraestructura
Modelo Negocio
Propiedad
Administracion5
5
Beneficios del Cómputo en la Nube
6
Cómputo en la Nube en MicrosoftEl cómputo en la nube no es nuevo
para Microsoft.
Desde Hotmail a Xbox Live,
Microsoft tiene 16 años de
experiencia en el cómputo en la
nube.
Microsoft invierte más de 9 mil
millones de dólares al año en
investigación y desarrollo.
Microsoft está invirtiendo
fuertemente en infraestructura en la
nube y en productos y plataformas
inter-operables que aseguran
flexibilidad, seguridad, privacidad y
opciones para sus clientes.
7
La Diferencia de Microsoft
Mark Zuckerberg:
La privacidad ya no es una norma social
Mark Wolf:
La privacidad es como la virginidad, en realidad nadie la quiere
¿Cierto / falso?
8
Seguridad y Disponibilidad de
Nube• 99.9% tiempo funcionamiento,
SLA con respaldo de $
• 99.95%+ tiempo real de
funcionamiento
• Cumplimiento con SAS 70 y
ISO 27001
• Certificación Cyber Trust a
aplicaciones y física
• Acceso seguro 24x7 • Control de acceso biométrico• Vigilancia c/ video cámara• Centro de datos dentro de centro
de datos
Inversión de Nube• $2.3MM invertidos en la Nube
• >$1MM en centros de datos
ya construidos
• Mega CD: 9 - 11 campos
football con suficiente. Cable
para envolver la tierra varias
veces
• Más de 1,000 personas en
ingeniería y operaciones
• Reducciones de energía
innovadoras
El dinamismo de la Nube• >6,500 empresas suscritas
• Más de 7,000 revendedores
BPOS, creciendo a
100/semana
• Más de 25,000 pruebas BPOS
y creciendo
• Más de 2,000 aplicaciones
Azure y creciendo (publicado
el 1/4/2010)
Experiencia Operacional Demostrada en la Nube• BPOS: >1.5 millones de asientos vendidos en 36 países
• Protección en Línea Forefront para Exchange:>100 mil millones correos electrónicos procesados al
mes
• Azure: 100s de aplicaciones comerciales críticas en Azure a publicarse el 1/4/2010
• Office Live Meeting: 7 años, >1M pequeñas empresas , 5 mil millones minutos/años de conferencias
• Buscador Bing: 11 años, >3MM consultas/mes, Índices: 10MM+ documentos, 400M+ imágenes, 7M+
respuestas instantáneas
• MSN: 13 años, 550M usuarios/mes, 46 mercados, 21 idiomas, 10MM+ vistas página/mes
• Windows Live - Live ID: > 500M usuarios activos, 1MM+ autenticaciones/día, Hotmail: 15 años, 450+M
usuarios activos, bloqueo de 3.4MM correos no deseados al día, Messenger: 9.9MM mensajes/día,
>314M cuentas activas, Spaces: 8M fotos cargadas/día, Suite: 265M descargas Windows Update: 12
años, Envía un petabyte de actualizaciones cada mes a millones de servidores y cientos de millones de
computadoras personalesLos Centros de Datos de Microsoft operan >200 servicios con cientos de millones de clientes en el
mundo.9
Tendencias Actuales: Privacidad en la NubeNumerosas violaciones a datos de alto perfil reflejan una inadecuada gobernanza de datos en las organizaciones;
Falta de conocimiento de los rastros que se dejan en Internet;
Identidad digital / conducta digital;
Las búsquedas y publicidad en línea son cada vez más el centro del escrutinio de la privacidad;
Redes sociales / blogs bajo el microscopio de la privacidad;
Algunos consumidores abogan por ir en contra del uso de servicios de almacenamiento en la nube, especialmente para los datos personales de salud y otros datos sensibles, debido a inquietudes de privacidad. Diversas leyes sobre privacidad dificultan el manejo de los datos, tanto para las organizaciones, como para los propios dueños de los datos.
10
¿“La Nube” requiere un nuevo marco de
privacidad?Los problemas de privacidad son los mismos que se han tenido con los servicios en línea en los últimos 16 años.
Pero conforme se mueven más datos a la nube, las grietas en el marco de trabajo se ven más expuestas.
Necesidad de definir claramente la función del proveedor de servicio.Conflictos jurisdiccionales. Deficiencias y ambigüedades en la ley. 11
Funciones del proveedor de servicios en la nube
Servicios al consumidor vs. Servicios empresariales
Controlador de datos vs. Procesador de datos
En ocasiones, un proveedor de servicios puede cumplir con ambas funciones
Las políticas y prácticas pueden ser diferentes dependiendo de las funciones
Por ejemplo, uso de datos por el proveedor de la nube
En algunos casos, no es claro donde trazar la línea entre procesador y controlador
¿Quién es responsable del cumplimiento, el proveedor del servicio o el cliente empresarial?
12
Preguntas que se debe hacer a un proveedor de servicios de la nube
¿Cuáles son las políticas del proveedor respecto al uso de datos?
¿Cuáles son las prácticas de seguridad de la compañía y qué certificaciones tiene?
¿Qué controles y opciones están disponibles?
13
Prácticas de uso de datos del proveedor de servicios
¿Cómo acceden y utilizan los proveedores de servicios en la nube
a los datos del cliente?
¿Los datos del cliente se escanean / minan para fines de
publicidad?
¿Está permitido el análisis de datos para mejorar el servicio?
¿Algún otro uso “secundario” de datos del cliente?
Vinculado a la cuestión de si el proveedor de servicio en la
nube es un “controlador de datos” o un “procesador de datos”
¿Es diferente para servicios de consumidor vs. empresariales?
Portabilidad de datos: ¿Qué facilidad existe de exportar datos a
almacenamientos locales y/u otro proveedor en la nube?
Modelo de software local + Nube vs. ofertas sólo de nube
¿Qué tan transparentes son los proveedores de servicios sobre
sus prácticas (y las opciones y controles disponibles)? 14
What is online behavioral
advertising?
Se define regularmente como rastreo de conducta de usuario entre múltiples sitios de Internet no relacionados y el uso de información de rastreo para publicidad dirigida
15
Formación de un Perfil de Usuario: 1993
16
Formación de un Perfil de Usuario: Hoy día
17
Privacidad y Publicidad Relacionada a Pautas deComportamiento
Fuentes y volúmen de datos recopilados y utilizados
Conducta de navegación en Internet
Rastreo de redes de publicidad a través de sitios
múltiples
Consultas de búsquedas
Otros datos
Naturaleza de datos recopilados y utilizados para ¨targeting¨
¿Identificable como “Anónima,” “Seudónima” o Personal?
Categorías sensibles de datos
Datos compartidos y agregación
Usos adicionales de datos sobre pautas de comportamiento
más allá de la publicidad
Protección de datos: ¿cuál es el riesgo de robo o pérdida?
Falta de transparencia y control
Niños y otra población vulnerable
¨Targeting¨ está yendo demasiado lejos (discriminación de
precios, determinación racial de perfiles)18
Una breve historia de escrutinio legal de los Estados Unidos (respuesta auto-reguladora)
1999: Combinación propuesta de datos en cadena de Clicks DobleClick con datos fuera de línea en Abacus conduce a investigaciones de AG estatales y escrutinio de FTC de la determinación de perfil en línea
2000: Formación de Iniciativa de Publicidad de Red (NAI) y principios auto-reguladores2002: Convenio de DoubleClick con AG estatales
2007: La adquisición de DobleClick por parte de Google concentra la atención de autoridades en publicidad en línea y consolidación de la industria2007: FTC lleva a cabo una reunión de “Town Hall” en la que se examina la publicidad relacionada a pautas de comportamiento y publica los principios propuestos para la auto-regulación
2008: Lineamientos de NAI revisados
2009: FTC publica principios finales
2009: IAB, DMA y otros publican reglas auto-reguladoras que van más allá de los principios NAI
2009-2010: Mesas redondas de privacidad de FTC, con un gran enfoque en publicidad en línea
2010: FTC publica reporte preliminar de privacidad con énfasis en ¨Do nottrack¨Microsoft y Mozilla anuncian nuevas características de navegadores “Do NotTrack” 2011: Acciones de aplicación de la ley FTC
19
Entorno regulador en EuropaEnfoque integral actual sobre la protección de datos.
1995 Directiva sobre Protección de datos
2002 Directiva «ePrivacy» (según enmienda en 2009)
Junio 2010 Dictamen de Artículo 29 “Working Party” (Parte de Trabajo) sobre publicidad relacionada con pautas de comportamiento.
Continúan tendencias previas de lecturas expansivas de las Normas
Definición de “datos personales” para incluir direcciones IP e identificaciones de “cookies”
Jurisdicción sobre la base de establecimiento de un ¨cookie¨ = “uso de equipo”
Interpreta Artículo 5(3) de la Norma ¨ePrivacy¨ como el requerimiento de consentimiento opcional previo para ¨cookies¨; las configuraciones de navegador son insuficientes
Capacidad para revocar el consentimiento
Limitación de tiempo del consentimiento (1 año)
Consentimiento ¨opt-in¨ adicional para categorías sensibles de datos
No hay uso de categorías de interés dirigidas a niños
Derecho del usuario para acceder y eliminar perfiles de conducta (y datos de conducta subyacentes)
Retención de datos limitada y justificada
Diciembre de 2010 cartas enviadas a redes de anuncios y compañías de buscadores
20
Pocas Mejores Prácticas de Auto-Regulación (industria
de TI)Transparencia
Texto / icono en o junto a anuncios
Avisos de privacidad fáciles de encontrar o comprensibles (por ejemplo, avisos en niveles, uso de lenguaje simple)
Obligación de anunciantes de avisos para paso de las prácticas de redes de anuncios
Otros medios de transmitir las prácticas de una compañía
Controles de Redes de anuncios
¨Opt-out¨ individual de redes de anuncios
Métodos para hacerlas más duraderas
Participación en páginas ¨opt-out¨ de toda la industria (NAI y DAA) 21
Controles de navegador
Controles de ¨Cookie¨
Características ¨Do-Not-
Track¨
Enfoque de encabezado
Listas de Protección de
Rastreo IE8 InPrivate y IE9
Gestión y seguridad de datos
Retención de datos
Seguridad de información
Anonimato
Pocas Mejores Prácticas de Auto-Regulación
(industria de TI)
22
Seguridad de datos¿Cuáles son los riesgos (y beneficios) de la nube?
Prácticas de proveedor de servicio
¿El proveedor de servicio tiene un programa documentado de
seguridad de la información y qué dice?
¿Qué certificaciones de seguridad tiene el proveedor de servicio?
Normas industriales
ISO: 27001 / IEC / SOX / PCIDSS / FISMA
Certificaciones internacionales
Legislación / funciones y responsabilidades
Requerimiento de leyes sólidas para ayudar a frustrar ataques a la
seguridad
¿Cuál es la responsabilidad de cada una de las partes, por
ejemplo, en caso de una violación a datos?
Necesidad de aclarar con anticipación
23
Sustentabilidad Ambiental
…while improving the bottom line24
Oferta de Sustentabilidad de MicrosoftTecnologías para Respaldar la Sustentabilidad Ambiental Corporativa
25
• Abastecimiento dinámico: Reducir recursos de cómputo desperdiciados mediante una
mejor igualación de capacidad del servidor con la demanda real.
• Múltiples Titulares: Uniformar cargas pico relativas al atender grandes números de
organizaciones y usuarios en infraestructura compartida.
• Utilización de servidor: servidores operativos a tasas de utilización más altas.
• Eficiencia de Centros de Datos: Mediante el uso de diseños avanzados de
infraestructura de centros de datos que reducen pérdida de energía mediante mejoras
Computación en la Nube y Sustentabilidad: Beneficios Ambientales de
Mudarse a la Nube; 30-90 % de ahorros en uso de energía y Emisiones de
Carbono
Copyright © 2010 Accenture
Todos los derechos reservados.
26
27
Flujos transfronterizos de datosEficiencias y otros beneficios de cómputo en la nube se logran cuando los datos pueden fluir libremente entre fronteras.
Las leyes de privacidad que limitan estos flujos pueden ser un impedimento.
Restricciones europeas
¨Safe harbor¨, cláusulas modelo, reglas corporativas obligatorias (BCR, por sus siglas en inglés)
Estatutos de protección adecuados: Argentina y Uruguay 28
Tensiones jurisdiccionales
¿Dónde están los datos? ¿en qué fase?
¿Cómo pueden moverse los datos entre fronteras?
Tensiones creadas por diferentes países que establecen jurisdicción sobre datos
¿Cuánto importa la ubicación de los datos?
29
Afirmaciones extraterritoriales de jurisdicción por parte de gobiernos
Varios gobiernos han sido especialmente agresivos al establecer la jurisdicción sobre los datos (por ejemplo, Brasil e Italia)
En algunos casos, crean un conflicto directo de leyes.
Intercepciones electrónicas en los Estados Unidos a nombre de un gobierno extranjero.
Reglas de privacidad requieren la reducción al mínimo vs. obligaciones de retención de datos (especialmente en Europa).
En algunos casos, están en juego valores y reputación.
Acceso en general de procuración de justicia.
Inquietudes sobre recursos humanos (libertad de expresión vs. contenido ilegal).
En algunos casos, sólo se vuelve una pesadilla de cumplimiento.
30
Acceso a datos por parte de autoridades de justicia de los Estados Unidos
¿Cuál es el equilibrio correcto entre derechos de privacidad individual y la necesidad de que las entidades gubernamentales atrapen a delincuentes y terroristas?
¿Debería haber una diferencia si uno almacena datos en el hogar o en la nube?
La aplicabilidad de la 4a enmienda sobre la nube es poco clara.
Necesidad de que ECPA se reforme para aclarar / mantener / restablecer el equilibrio.
31
Acceso a datos en el extranjero por parte de las autoridades de procuración de
justicia de los Estados Unidos¨PATRIOT ACT¨: Las agencias de procuración de justicia de los Estados Unidos pueden solicitar a alguna entidad con presencia en los Estados Unidos que presente datos que se conservan fuera de los Estados Unidos, de esa entidad que tiene “posesión, custodia o control” de los datosCo- existencia con Tratados de Asistencia Mutua y Cartas Rogatorias¨Due process¨ y otros derechos legales evaluados por un Tribunal Federal.Canadá y el Reino Unido tienen leyes extraterritoriales similares.Las Ordenes de Vigilancia en comunicaciones electrónicas son mucho más altas en Italia o Alemania32
Otras posibles soluciones / mitigacionesMayor compromiso bilateral, multilateral y de múltiples participantes por parte de gobiernos, sector privado y la sociedad civil
Podría estar en cualquier punto, desde intervención caso por caso hasta un acuerdo de tratado formal.
¿Cuál es el mejor foro / mecanismo?
Mayor opción y control del usuario
Transparencia (y en algunos casos, opción) respecto de ubicación geográfica de datos
Exportación y portabilidad de datos
Modelo Software + servicios vs. oferta sólo de nube
Encriptación controlada por usuario
¿Qué más? 33
Conclusión
A pesar del trabajo activo de varios años, la guía legal es insuficiente.
La publicidad en línea relacionada con conductas es un área que continúa evolucionando rápidamente.
Urgida por un escrutinio regulador, la industria ha tomado medidas para desarrollar herramientas tecnológicas y mejores prácticas.
Continuar las pláticas y avanzar la ley a futuro para mantener el paso con las nuevas tecnologías. 34
Mark Zuckerberg:
«La privacidad ya no es una norma social »
Mark Wolf:
«La privacidad es como la virginidad, en realidad nadie la quiere»
¿Cierto/falso?
35
Recursos sobre Privacidad en la Nube
Recursos de Microsoft referentes a privacidad en http://www.microsoft.com/privacy/cloudcomputing.aspx
Discurso de Brookings Institute por Brad Smith: http://www.brookings.edu/events/2010/0120_cloud_computing.aspxhttp://www.microsoft.com/presspass/presskits/cloudpolicy
36
Para mayor información, favor de dirigirse a
www.microsoft.com/cloudservices