Las cinco compañías más grandes del mercado abarcan la actividad mayoritaria de los datos personales. El correo electrónico, las redes sociales o el comercio online son algunos de los sectores de estas compañías. ¿Los pueden utilizar contra nosotros? ¿Estamos protegidos? ¿Cómo aborda Microsoft esta problemática para su plataforma Azure? Descubre todo lo que necesitas saber sobre Big Data y protección de datos en entornos de Microsoft Azure en este artículo.
En este momento, el ritmo de crecimiento de los datos que podemos manejar es impredecible. Hasta hace unos pocos años, las organizaciones manejaban casi exclusivamente datos operacionales. Hoy en día, los datos de los que se disponen, además de los operacionales, se han ampliado. Los responsables son, tanto los sistemas de relación con los usuarios, como la sensorización de los dispositivos.
Este crecimiento del nivel de información almacenable convierte a los centros de datos en la nube como el nuevo repositorio de datos de las organizaciones. Por varios motivos:
- Capacidad de almacenamiento de documentos de distinto tipo
- Alta disponibilidad
- Alta capacidad de procesamiento
- Actualización automática de los sistemas
- Los costes generados son proporcionales al servicio demandado
Para las organizaciones, toda esta información que se genera es clave en el futuro de sus negocios y desarrollan, utilizando la tecnología como herramienta, las capacidades necesarias para monetizarla. Si mirásemos a un futuro cercano, y en base a las estimaciones de Seagate (líder global en administración y almacenamiento de datos), en 2025, una persona conectada a la red en cualquier parte del mundo interactuará con dispositivos unas 4.800 veces al día de promedio.
Toda esta información que se obtiene muchas veces es tan abundante, que incluso se podría llegar a confeccionar un perfil completo de vida de cualquier sujeto, un perfil de vida digital. Una información muy útil para el sujeto, pero también para organizaciones, que nos muestra vulnerables ante el acoso social y comercial.
Lo cierto es que el uso indiscriminado de esta información personal, directa o inducida, invade nuestros derechos y libertades. Por ejemplo, se podría utilizar información sobre nuestra salud con consecuencias de discriminación laboral, o ceder nuestros datos a terceros para dirigir mensajes políticos personalizados intentando “manipular” el voto. Existen infinidad de casos, y cada día aparecen nuevos.
Gracias a las denuncias sobre el uso indebido de estos datos y a la alarma social producida al conocerse los hechos, se han puesto en marcha iniciativas, desde los distintos estamentos públicos de gobierno, que estudian y analizan la problemática. Con las conclusiones de estos análisis se ha definido un marco regulatorio legal donde, básicamente, se indica que la protección de datos es un derecho fundamental de la persona, permitiendo a los afectados por un incumplimiento el denunciar el uso irregular y declarando propietario de los datos personales a la propia persona, lo que permite reclamarlos para su olvido por parte de la organización.
RGPD, Reglamento General de Protección de datos
Uno de estos estamentos públicos de gobierno es el Parlamento Europeo y el Consejo de la Unión Europea han aprobado la RGPD, que es el Reglamento General de Protección de Datos. Se encarga de la regulación del tratamiento de la información para proteger los datos y la privacidad de sus ciudadanos y residentes. El RGPD recoge los requisitos de privacidad globales que regulan cómo gestionar y proteger los datos personales a la vez que se respeta la capacidad de elección individual, independientemente de dónde se envíen, procesen o almacenen los datos.
Para dar cumplimiento a este reglamento, las organizaciones deben informar a los ciudadanos de manera clara y transparente sobre el tratamiento de sus datos y sobre la finalidad, la base legal, el tiempo de conservación, los derechos de los usuarios y su ejercicio, la cesión a terceros, la toma de decisiones automatizadas o las transferencias internacionales.
Por otro lado, están las sanciones por incumplimiento. Estas sanciones pueden llegar al 4% de la facturación mundial de la compañía o hasta los 20 millones de euros. Por todo esto las organizaciones abordan el cumplimiento y la seguridad de sus datos.
Cuando una organización adopta un modelo de servicios en la nube, el cumplimiento de la normativa se complica, se exigen mayores responsabilidades. Es necesario implementar soluciones con las que reducir el riesgo y que faciliten su cumplimiento con la mayor transparencia para la organización.
La propuesta de Hiberus Tecnología en entornos de Microsoft Azure
Microsoft Azure resuelve el reto que supone la integración y el cumplimiento de esta reglamentación de protección de datos. Teniendo en cuenta que la reglamentación existente en la actualidad es evolutiva, es decir, que se va adaptando a las nuevas vulnerabilidades que genera el día a día.
Hiberus cuenta con un equipo de profesionales, expertos en Microsoft Azure con las certificaciones y competencias necesarias. La aplicación de la RGPD se hace imprescindible en las organizaciones, por ello propone un modelo de cumplimiento de los estándares internacionales y evitando los efectos de los riesgos (sanciones, multas económicas, pérdidas financieras y pérdida de reputación) y la responsabilidad penal.
Análisis del riesgo de adaptar tecnologías en la nube
En el caso de adoptar tecnologías en la nube, hemos de contar con que existen mayores riesgos y responsabilidades. Es necesario implementar diferentes soluciones para reducirlo. ¿Pero cuál es ese riesgo? ¿Cómo lo identificamos? Con la RGPD en la mano, podríamos definir una estrategia o guía de ruta que nos permita identificarlos. Por ejemplo:
Azure Data Catalog es un servicio que hace que las fuentes de datos sean fácilmente detectables y entendibles por los usuarios que administran los datos, para de este modo ayudarnos a definir el modelo de cumplimiento:
Administrar accesos y directivas
Uno de los cumplimientos indica que se debe controlar cómo se usan y acceden los datos sensibles dentro de la organización.
Con Azure Active Directory Microsoft aporta una solución para la administración de identidades y accesos a los recursos, datos y aplicaciones.
Acceder a los datos y a los diferentes sistemas de la organización requiere de herramientas administrativas que permitan la autenticación de diferentes identidades, roles y una orquestación de permisos para el acceso a los diferentes recursos dependiendo de diferentes clasificaciones o perfiles; tanto para usuarios de la organización, como para clientes. ADD es una herramienta diseñada para la gestión y administración de identidades, perfiles y roles.
El Luego el equipo de gobernanza de los recursos en la nube revisará los cambios incluidos en AAD y verificará los cambios con Azure Resource Manager que, además, administra todos los recursos de la organización. Utilizando la información de definición de usuario y las plantillas (scripts) de definición de accesos propias del ARM se confirmará el acceso una nueva identidad. Todas las plantillas que utilicemos para la administración de la seguridad (o cualquier otro tipo de gestión) podremos gestionarlas desde un repositorio con Azure DevOps.
Control de seguridad y protección de la información
Establecer controles de seguridad para prevenir, detectar y responder a vulnerabilidades y violaciones de la información de la que dispone la organización.
Una vez definidos los riesgos, se implementan las directivas, que se categorizarán por importancia para la organización pensando en la RGPD. Tener en cuenta los requerimientos de las directivas y del sistema forma parte del libro de ruta para abordar su activación y el nivel de cumplimiento. Azure Policy es el servicio que propone Microsoft en la nube para crear, asignar y administrar directivas.
Las directivas están formadas por diferentes reglas y acciones sobre los recursos, con el fin de que estos sigan siendo compatibles con los estándares corporativos y proporcionen el cumplimiento de las políticas de seguridad de la organización y de la reglamentación legal.
Uno de los apartados de la RGPD es el cifrado de los datos. Es habitual que la información viaje entre sistemas y recursos, por lo que Microsoft Azure aplica, implícitamente, un cifrado para garantizar que la información esté protegida. También cuando los datos están en reposo, puesto que es en este momento cuando los accesos no autorizados son más frecuentes y perjudiciales para la organización.
Complementariamente, se podrán personalizar nuevas estrategias de cifrado, por ejemplo, a los datos de la cuenta para la gestión del almacenamiento, a las máquinas virtuales contenedoras, a determinados conjuntos de datos… Con Azure Key Vault se gestiona y administra la aplicación del cifrados personalizados de los datos y los recursos de nuestra organización.
Con el enmascaramiento de los datos sensibles se pretende impedir la obtención de datos o información sensible a usuarios autorizados, pero sin permisos para este tipo de datos. La técnica que se aplica se le conoce con el nombre de enmascaramiento dinámico. AP dispone de directivas que van a actuar sobre el conjunto de las columnas designadas como confidenciales, sensibles o privadas, con el objeto de ocultar los datos reales al conjunto de los usuarios sin autorización a consultar la información más sensible.
Con el fin de detectar y responder a diferentes amenazas o vulnerabilidades que puedan surgir en la organización, Microsoft propone Azure Security Center, donde se declaran la medidas de seguridad adoptadas y se vigilan los recursos frente a amenazas. Este dispone de un aprovisionamiento automático de seguridad para garantizar el cumplimiento de la normativa de cualquier recurso, establece configuraciones de seguridad para el sistema operativo y categorizan los criterios definidos.
Informar de la situación
En este punto es donde podemos valorar si el resultado de todas nuestras acciones ha dado resultado. Deberíamos disponer de herramientas para gestionar las notificaciones de incumplimiento, informar de vulnerabilidades y ataques sufridos, realizar auditorías requeridas para el cumplimiento de la RGPD y otras reglamentaciones comprometidas. Además, y muy importante, mantener actualizada la documentación sobre reglamentación legal y vulnerabilidades, y administrar las solicitudes de datos.
Solicitudes de datos
Azure Data Subject Requests es un portal en el que se dispone de la ayuda necesaria para cumplir las solicitudes del Reglamento general de protección de datos (RGPD).
Por ejemplo, cómo encontrar, acceder y actuar sobre datos sensibles alojados en nuestra nube de Microsoft:
- Detección: para encontrar datos de clientes que puedan ser el objeto de una solicitud de derechos por parte del titular.
- Acceso: recuperar datos personales.
- Rectificación: realizar cambios en los datos.
- Restricción: restringir el acceso a los datos de los distintos servicios o quitar los datos de la nube y llevarlos a otra ubicación (local o no).
- Eliminación: eliminar de forma permanente los datos.
- Exportación: envíe una copia de los datos para el titular, si lo solicitase.
Gobernanza del cumplimiento
Desde el portal Microsoft Service Trust se dispone de una gran variedad de contenido, herramientas y otros recursos sobre seguridad, privacidad y prácticas de cumplimiento.
Desde la opción Compliance Manager (administrador de cumplimiento) disponemos de un panel con el que hacer el seguimiento y la gestión del cumplimiento de la normativa RGPD y cualquiera otra política definida para cumplimiento. Desde aquí se generan los informes de auditoría de cumplimiento requeridos.
En este portal se dispone de importante y actualizado materias para conocer nuevas vulnerabilidades, tendencias y reglamentación. Se dispone de información ejemplificada de como otras empresas aplican la solución, detallan todos los aspectos legales y ayudan a saber en qué organización es necesaria su implementación.
El volumen, la variabilidad y la interconexión de datos que plantean los entornos actuales de producción plantean desafíos de protección de datos que deben ser atendidos con plataformas y soluciones sólidas y escalables. Resulta fundamental establecer controles de seguridad para prevenir, detectar y responder a vulnerabilidades y violaciones de la información de la que dispone la organización.
En Hiberus Data & Analytics somos líderes en visualización y análisis de datos, Big Data y Machine Learning. Nuestros equipos de profesionales para soluciones de Datos en Azure trabajan en conjunto con Microsoft para brindar soluciones empresariales a nuestros clientes. Solicita más información para saber cómo podemos ayudarte.
¿Quieres más información sobre nuestros servicios de Microsoft Azure?
Contacta con nuestro equipo de expertos en Azure