Por: Luis R. Soto E.
Cuando en el 2014 el gigante tecnológico estadounidense Apple confirmó que algunas cuentas específicas de su plataforma virtual de almacenamiento de datos iCloud fueron objeto de un ataque cibernético, un hecho había quedado evidenciado: ¡la nube había sido hackeada!
Aunque en un comunicado posterior la empresa había informado que la falla no había sido en ninguno de sus productos, tales como iCloud o ‘Find My iPhone’, sino no más bien a contraseñas débiles que no tenían ningún tipo de bloqueo de seguridad o alerta por intentos fallidos; resultó de mucha coincidencia que anterior a este evento se dé a conocer una vulnerabilidad en iCloud, pocos días después se publiquen las fotos de los usuarios afectados y luego llegue Apple y cierre el agujero reportado, al hacerse viral la noticia. Finalmente, Tim Cook se vio obligado a pedir unas disculpas y prometió mejorar la seguridad del servicio.
Recientemente (abril 2021) tanto las redes Facebook como LinkedIn fueron afectadas por hackeos millonarios: más de 500 millones de usuarios, en cada una de sus plataformas, se vieron afectados por vulnerabilidad en sus contraseñas. Aunque se llegó a discutir si los datos eran actualizados a no, un portavoz de LinkedIn ha confirmado en portales como Insider, que los mismos han sido extraídos directamente de la plataforma.
Aunque LinkedIn expresó que los datos expuestos son los mismo que los usuarios tienen públicamente, no deja de ser una violación, tanto a sus políticas como a las diversas regulaciones sobre seguridad y protección de los datos personales.
El anterior recuento es para recordar que “la fortaleza de la cadena de seguridad de la información está en la resistencia de su eslabón más débil”, en este ámbito: el usuario.
En escenarios como este es que se fortalece la Norma ISO/IEC 27018, actualmente en su versión 2019; la cual se concibió como la primera normativa para la privacidad en la nube, y que, implementada en conjunto con la ISO/IEC 27001, las empresas certificadas le puedan decir a sus clientes que sus datos están garantizados.
El servicio en la nube ofrece múltiples beneficios en cuanto a costos y flexibilidad de acceso a los datos, pero también plantea preocupaciones sobre la protección de los datos, incluyendo esto la información de identificación personal (PII). Este concepto abarca cualquier tipo de información con la que se pueda identificar a un usuario, no limitándose esto a nombres y datos de contactos; sino también hasta direcciones IP, registros médicos y estados bancarios.
Esta Norma se usa como referencia para la selección de controles relativos a la seguridad y protección de los datos personales, durante la implementación de un sistema de gestión de seguridad de la información (SGSI) basado en la nube.
Los controles implementados en servicios “en sitio” deben ser emulados en la nube, considerando la exposición de los datos confidenciales y la violación a los mismos. Uno de los controles de la 27018, y que no está en la 27001 es “Notificar al cliente inmediatamente en caso de que se produzca una violación de los datos personales.”
Comments