Video: ¿Están nuestros archivos seguros en la nube? Responde Keren Elazari (Noviembre 2024)
A medida que la adopción de la nube se vuelve omnipresente, es más importante que nunca que las empresas comprendan las regulaciones y las responsabilidades civiles asociadas con el almacenamiento de datos y aplicaciones en la nube. Más del 93 por ciento de las empresas usan la nube de alguna manera, según los resultados de la encuesta de Right Scale, una empresa de gestión de la nube. Pero aquellas empresas que almacenan datos en nubes públicas e híbridas son particularmente susceptibles a la regulación y las sanciones si se produce una violación de datos o si hay un tiempo de inactividad significativo en la nube.
La mayoría de las empresas, especialmente las pequeñas y medianas empresas (PYMES), firman acuerdos de nivel de servicio estándar (SLA) con proveedores de la nube. Estos acuerdos de nivel de servicio tienden a beneficiar al proveedor más que al cliente y, como resultado, limitan los daños que pagan los proveedores en la nube si ocurre un desastre.
Para ayudarlo a comprender lo que necesita saber para estar mejor preparado para las ramificaciones legales de mudarse a la nube, y para ayudarlo a determinar si está protegido en caso de incumplimiento de su nube pública o híbrida, hemos compilado esta lista de cosas para considerar.
1. ¿Quién es responsable de la información del cliente después de la violación de datos?
Supongamos que almacena todos los datos de sus clientes en la nube de un tercero. Si un hacker es capaz de violar esa nube, robar sus datos y usarlos para dañar a sus clientes, alguien terminará pagando multas civiles. Dependiendo de la redacción de su SLA, es probable que su proveedor de la nube limite sus daños a "daños reales" en lugar de los "daños consecuentes" de los que es probable que su empresa sea responsable.
"Por lo general, un vendedor redactará su acuerdo de tal manera que su responsabilidad por negligencia ordinaria sea bastante mínima, generalmente limitada a 'daños reales' y a menudo limitada a la cantidad que el cliente haya pagado al vendedor en los seis o 12 meses anteriores ", dijo Steven Ayr, asesor comercial de Fort Point Legal, una firma que se especializa en representar empresarios y pequeñas empresas. "Los daños reales se conocen como el dinero que el cliente pagó por el servicio que no se brindó. Al limitar los daños a 'daños reales', los acuerdos eliminan la posibilidad de que el vendedor pueda ser responsable de los 'daños consecuentes' y otras clases de daños como daños punitivos ".
Ayr describe los daños consecuentes como pérdidas financieras que se eliminan en un paso de la brecha o el tiempo de inactividad de la nube. Por ejemplo, si se suponía que su cliente ofrecía un gran argumento de venta a través de su plataforma de colaboración en línea, pero no podía porque la nube estaba inactiva, usted sería responsable de los daños consecuentes de este tiempo de inactividad.
Lo mismo ocurre con las violaciones de datos o los accidentes puros. La mayoría de los SLA limitan los daños que los proveedores de la nube tienen que pagar si los hackers de élite rompen los sistemas de vanguardia o si un tercero corta la conexión de fibra fuera del centro de datos. Solo si su abogado puede probar "negligencia grave", el vendedor será el principal responsable de las responsabilidades financieras de una catástrofe en la nube. La negligencia grave generalmente se aplica a la seguridad deficiente o las acciones nefastas intencionales tomadas por el vendedor.
2. ¿Quién es responsable de enviar los datos a las agencias gubernamentales?
Aunque podría estar trabajando con el proveedor de nube más seguro del mundo, no significa que no se pueda acceder a sus datos sin su consentimiento y sin ningún recurso legal de su parte. Debido a que usted entrega sus datos a un proveedor de la nube, esencialmente le está dando permiso al proveedor para que autorice las órdenes gubernamentales. La mayoría de los SLA afirman esto muy claramente, y es poco probable que los grandes proveedores de nube como Amazon Web Services (AWS) o Microsoft Azure estén dispuestos a cambiar su SLA estándar para una compañía que no es una cuenta de ballena blanca.
Entonces, si tiene reservas extremas sobre la intrusión del gobierno, probablemente sea mejor construir su propia nube privada o almacenar sus datos localmente. En estas circunstancias, podrá luchar contra la orden y proteger los datos de sus clientes. Pero, si elige ir con una nube pública o híbrida, es mejor que su proveedor comparta su intolerancia con Big Brother.
3. ¿Cuáles son las regulaciones específicas de la nube por geografía?
Es bastante difícil hacer un seguimiento de sus derechos sobre cómo se gestionan sus datos en los EE. UU. Desafortunadamente, las regulaciones globales difieren para cada país específico y, en algunos casos, dentro de cada jurisdicción en cada país específico. Si es una empresa multinacional con proveedores de servicios en la nube en diferentes geografías, se encontrará con un gran dolor de cabeza al tratar de comprender y administrar las regulaciones y responsabilidades asociadas.
Según Ayr, es crucial que las empresas que almacenan datos a nivel mundial trabajen con abogados para identificar los tipos de datos que almacenan, las geografías en las que almacenan los datos y cuáles son las leyes específicas dentro de esas jurisdicciones.
"Sin embargo, eso puede ser un trabajo lento y costoso", dijo Ayr, "porque le pagarás a alguien para que pase el tiempo investigando las leyes de varias jurisdicciones con las que no están familiarizados, contrata a un abogado en cada jurisdicción que ya conoce esas leyes o contrata a un experto en temas muy caro que ya conoce los entresijos de cada jurisdicción ".
Desafortunadamente, la forma más fácil y rentable de garantizar que cumple con cada jurisdicción es responsabilizar a su proveedor de servicios. Debido a que los proveedores de servicios globales ya han expandido sus negocios y han hecho el trabajo preliminar para determinar cómo se deben manejar los datos a nivel mundial, es más probable que tengan la información y las mejores prácticas en su lugar.
"Después de todo, es mucho más barato contratar a un abogado para revisar el cumplimiento de los términos de servicio de un proveedor que contratar a un abogado para crear términos que cumplan y luego negociarlos con un proveedor", dijo Ayr. Pero esto también significa que confía en los SLA, y ya hemos explorado las formas importantes en que un SLA puede funcionar a favor del proveedor.
4. ¿Por qué debería sentirse cómodo almacenando datos en la nube?
En los EE. UU., La mayoría de las empresas están protegidas por las leyes de seguridad de datos que rigen el manejo de la información de identificación personal (PII). Estas leyes requieren que los proveedores creen políticas escritas que describan sus estrategias de protección de datos y los obliguen a aceptar al menos alguna responsabilidad por las infracciones y el tiempo de inactividad. En caso de incumplimiento, estas leyes también obligan a informarlo al Fiscal General. En Massachusetts, por ejemplo, esta ley se llama 201 CMR 17.00. En California, la ley se llama SB 1386. Hasta la fecha, 47 estados de EE. UU. Tienen leyes similares en los libros.
Si las leyes no son suficientes para tranquilizarlo (y no deberían serlo), hay proveedores en la nube que se promocionan como defensores de la privacidad y la seguridad. Las empresas como el proveedor de servicios de recuperación de desastres (DR) Spider Oak son conocidas como servicios en la nube de conocimiento cero; cifran los datos en los dispositivos de sus clientes antes de cargarlos en la nube. El conocimiento cero significa que Spider Oak y sus competidores nunca manejan datos descifrados. Esta práctica les ayuda a limitar el riesgo potencial y nunca ponerse en una posición en la que se vean obligados a entregar datos a entidades gubernamentales.
"Hay una buena cantidad de riesgos que las organizaciones a menudo ignoran cuando migran sistemas y servicios a la nube", dijo Mike McCamon, presidente y director de marketing de Spider Oak. "Resumiríamos que los cuatro principales son seguridad, privacidad, continuidad y control".
"En ningún momento tenemos una contraseña o una versión de sus datos descifrados", agregó McCamon. "Incluso nuestros propios administradores de sistemas no pueden saber más sobre un cliente que el volumen de datos almacenados en nuestro sistema. Los únicos datos que recopilamos sobre los usuarios son una dirección de correo electrónico e información de facturación si requieren un plan de servicio".
Independientemente de si las empresas trabajan o no con grandes proveedores como Amazon y Microsoft, o con pequeños proveedores de conocimiento cero como Spider Oak, continuarán utilizando la nube, afirma Ayr.
"En mi trabajo con nuevas empresas, generalmente no veo empresas que estén especialmente nerviosas por usar la nube", dijo Ayr. "En todo caso, las nuevas empresas, para bien o para mal, ven la nube como tan segura y sin complicaciones como colocar documentos en un archivador".
