despejando las nubes

Despejando las nubesT11: Privacidad en la nube

Carlos L. Guardiola Ortuño

Director de Desarrollo de Negocio

MediaNet Software

2

1. Introducción

2. El problema de la privacidad ¿en la nube?

3. ¿Una nube Europea?

4. Escenarios de Nube Pública

5. Conclusiones

6. Referencias

Índice

3

Introducción

1 – Introducción

¿Cuántos de los aquí presentes han iniciado es 2011 un proyecto de computación en la nube?

Los que no lo hayan hecho…

¿Por qué no?http://www.flickr.com/photos/annnna/

4

La privacidad…

1 – Introducción

Es uno de los principales reparos a la hora de adoptar tecnología de nube pública.

¿Por qué?

¿Qué nos hace pensar que la custodia o almacenamiento de la información es más segura cuando no está en la nube?

5

1 - Introducción

Algunas cosas que he escuchado…

• Desconocimiento “Yo eso de la nube, es que no me lo creo”

Esto no es un acto de Fe.

• Inversión en hierro “El año pasado sacamos el concurso para renovar el CPD”

¿Y estudiasteis qué parte podía estar en la nube?

• Marco Normativo “Es que los datos no pueden salir de España”

¿Cómo que no? ¿Todas las aplicaciones manejan datos personales?

• Políticas de Contratación “Para mí no es una ventaja pagar por uso. Es más, me resulta

complicado justificarlo desde el punto de vista presupuestario”

Sin comentarios.

6

@carlosguardiola¿Hemos sacado nuestras propias conclusiones, o hemos dejado que otros las saquen por nosotros?

@carlosguardiola¿Hemos sacado nuestras propias conclusiones, o hemos dejado que otros las saquen por nosotros?

1 – Algunas preguntas

@carlosguardiola¿Conocemos tan bien los beneficios de la computación en la nube como conocemos sus reparos?

@carlosguardiola¿Conocemos tan bien los beneficios de la computación en la nube como conocemos sus reparos?

@carlosguardiola¿Estamos seguros que en el entorno en el que estamos podemos seguir renunciando a esos beneficios?

@carlosguardiola¿Estamos seguros que en el entorno en el que estamos podemos seguir renunciando a esos beneficios?

7

2 – El problema de la privacidad ¿en la nube?

¿La privacidad de la información es un problema de la nube?

• Filial UK de Banco de Santander Remitió +35,000 extractos a personas

equivocadas

http://www.independent.co.uk/news/business/news/santander-sends-statements-out-to-wrong-addresses-2168428.html

• Servicios Sociales UK Extraviados 2 HD con datos de 25 millones de

personas

Principalmente, menores y sus familias, incluyendo el número de la seguridad social y datos bancarios y económicos

http://news.bbc.co.uk/2/hi/uk_news/politics/7103566.stm

http://www.flickr.com/photos/saz/

8

2 – El problema de la privacidad ¿en la nube?

En España, la AEPD…

• Abre un procedimiento a la Consellería de Presidencia de la Xunta de Galicia al detectar deficiencias de seguridad en el sistema de los juzgados gallegos http://elprogreso.galiciae.com/nova/89481.html

• Multa al Círculo de Lectores de 300,000 € euros por ceder datos de ex-socios http://www.conversia.es/castellano/proteccion-datos/noticias/

noticia.php?id=133

• Multa con 60,000 € a Cableuropa por publicar un DNI en una guía telefónica http://www.integramostic.es/multas-lodp-lssice/la-aepd-multa-con-60-

000-euros-a-una-operadora-por-publicar-un-dni-en-una-guia-telefonica/

• Crecen las sanciones por el envío de correos masivos sin usar BCC http://www.elpais.com/articulo/Pantallas/Crecen/denuncias/ocultar/

receptores/correo/multiple/elpepirtv/20110309elpepirtv_2/Tes

9

@carlosguardiola¿De qué me sirve a mí un marco normativo y legislativo cuando se han comprometido mis datos?

@carlosguardiola¿De qué me sirve a mí un marco normativo y legislativo cuando se han comprometido mis datos?


@carlosguardiola¿Existen los sistemas seguros? ¿Son aquellos que cumplen las ISO 27001, y demás?

@carlosguardiola¿Existen los sistemas seguros? ¿Son aquellos que cumplen las ISO 27001, y demás?

@carlosguardiola¿Qué pasa cuando la seguridad depende de las personas?@carlosguardiola¿Qué pasa cuando la seguridad depende de las personas?

10

3 – ¿Una nube, Europea?

Meet Mr. Vivek Kundra

• Primer CIO (Chieff Information Office de los EEUU)

• Responsable de un programa de 25 pasos para reorganizar la gestión TIC federal.

• Lanzó la iniciativa “CLOUD FIRST” Combinaba el uso de nube

pública, y la creación de una nube privada administrativa.

Cada agencia gubernamental debía identificar tres servicios que migrar a la nube en 12 y 18 meses

La Comisaria Dña. Neelie Kroes anunció que D. Vivek Kundra colaborará en la

elaboración de la Agenda Digital Europea

La Comisaria Dña. Neelie Kroes anunció que D. Vivek Kundra colaborará en la

elaboración de la Agenda Digital Europea

11

3 – ¿Una nube, Europea?

A nivel europeo…

• En el Reino Unido, Tim Berners Lee asesora en el plan de la gestión TIC, políticas de apertura de datos, etc. Programa G-Cloud, lanzado en 2009, espera recortar un 20% del gasto

público: £3.2bn

Soporta los conceptos de IaaS, PaaS, SaaS y la unificación de CPD

Después de Recortes y Retrasos, en Q4 2011 se lanzará un primer framework

http://www.flickr.com/photos/14290505@N08/

• La Comisión Europea cerró una consulta pública en Agosto de 2011 para recibir propuestas al respecto. Con el objetivo de determinar un plan de

acción durante 2012

12

@carlosguardiola¿Seríamos capaces de identificar 3 servicios que migrar a la nube?

@carlosguardiola¿Seríamos capaces de identificar 3 servicios que migrar a la nube?


@carlosguardiola¿Cuándo vamos a tener un plan nacional que persiga el ahorro de “billones” de euros en tecnología?

@carlosguardiola¿Cuándo vamos a tener un plan nacional que persiga el ahorro de “billones” de euros en tecnología?

@carlosguardiola¿Vamos a seguir invirtiendo en hierro mientras tanto?@carlosguardiola¿Vamos a seguir invirtiendo en hierro mientras tanto?

13

4- Escenarios de Nube Pública

• I. ENTORNOS DE DESARROLLO• Uno de los males habituales en las

organizaciones. Infraestructura de desarrollo no representa la

arquitectura en el entorno productivo Escenarios con cluster Entornos de desarrollo de aplicaciones

sujetas a mantenimientos

• Usar la nube para homogeneizar plataformas que reproducen fielmente escenarios productivos Se activan y desactivan conforme se

necesitan Al tratarse de entornos de desarrollo no hay

problemas con el mantenimiento de datos personales

http

://w

ww

.flic

kr.c

om/p

hoto

s/pa

gedo

oley

/

14


• II. ENTORNOS DE PRUEBAS DE CARGA• Las pruebas de carga garantizan que la

aplicación va a responder a los escenarios de uso Paradoja de las “pruebas” en el entorno

de producción Extrapolar la información Benchmarking del fabricante

• Levantar un entorno en la nube que refleje exactamente el escenario de producción y someterlo a pruebas de estrés. Permite no saturar las líneas de datos de

la organización ni impactar en otros sistemas

Al tratarse de entornos de prueba no hay problemas con el mantenimiento datos personales

http://www.flickr.com/photos/bo47/

15


• III. PROCESOS DE CÁLCULO• Informes o reportes que consumen tiempo de proceso de

servidores o bases de datos Generación de informes de seguimiento de actividad

de un CAC

Composición de documentos con gráficos que se obtienen en tiempo real

Cálculo de KPI en dashboards de gestión

Concepto de Servidor de Informes

• Un servidor de informes en la nube permite tener una infraestructura que se activa y desactiva en función del consumo que de él se necesita

• Instancias de gran capacidad de proceso Desliga el uso de tiempo de proceso de una base

de datos usada por aplicaciones

• Operaciones analíticas, cálculo de desviaciones, modelos de predicción o tendencias, y simulación

http://www.flickr.com/photos/skoett/

16


• IV. FRONTALIZACIÓN DE APLICACIONES SUJETAS A ESTACIONALIDAD

• Ciclo de actividad sujeto a estacionalidad.• Los usuarios se conectan en masa en momentos puntuales, lo que

produce el colapso del sistema• Sobrecapacitar la infraestructura, inactiva gran parte del tiempo

Convocatoria de ayudas y subvenciones públicas

Inscripción en centros deportivos públicos …

Publicación de listados de admitidos o rechazados

Información de servicios: Protección Civil, meteorología, tráfico…

• Llevar sólo los frontales Web a la nube• No necesita almacenar información personal ni crítica• Integraciones con sistemas transaccionales vía VPN

El escalado horizontal dinámico (instancias y ancho de banda), permite asumir el exceso de capacidad momentos de máximo tráfico

Replegar las instancias y pago por el consumo realizado

En escenarios en los que sólo se consume información, este modelo asegura la disponibilidad del servicio

http

://w

ww

.flic

kr.c

om/p

hoto

s/om

nia_

mut

antu

r/

17


• V. CAMPAÑAS Y PROMOCIONES• Campañas de comunicación a los ciudadanos

Inicio de plazos para el pago de tributos

Nuevas normativas

Concienciación social

• Uso del correo electrónico y riesgo de ser marcado como spammer Hotmail, Gmail, etc según rebotes y errores

• Alternativas en la nube que además de realizar un escalado progresivo de los correos, permiten a los emisores recibir información sobre correos rebotados para optimizar las bases de datos de clientes. Una vez finalizado el envío, ya no es necesario

pagar por la suscripción al servicio.

• Publicar los sitios Web informativos en la nube asociados a dichas campañas Asumir tráfico

Desactivar al finalizar la campaña

http

://w

ww

.flic

kr.c

om/p

hoto

s/al

phad

esig

ner/

18


• VI. DISTRIBUCIÓN DE CONTENIDOS• Caso claro de uso de computación y almacenamiento en

la nube Televisiones / Medios locales, autonómicos… Entidades que difunden vídeos institucionales Sector Turismo

• La distribución de contenidos estáticos de gran tamaño es un servicio que se presta desde hace muchos años Contenidos se replican en diferentes localizaciones Se sirven desde la localización más cercana Minimiza el tiempo de espera y la latencia, y evita el

consumo de ancho de banda• Cuando la distribución de contenidos no es el objetivo

pero es una necesidad… Planificar la infraestructura, y adaptarla al volumen

de contenidos a distribuir, su popularidad y la estacionalidad

Modelo flexible de pago por el tráfico que generan los usuarios interesados.

http

://w

ww

.flic

kr.c

om/p

hoto

s/pi

etro

izzo

/

19


• VII. OPEN DATA

• Iniciativas de compartición y apertura de datos que establece Ley 37/2007 de 16 de noviembre, RISP Abanico de proyectos que buscan la transparencia

en la gestión de los organismos públicos (Asturias, País Vasco, Cataluña, Zaragoza, Navarra…)

Reutilización de información en el sector público

• Esfuerzo de extraer la información y procesarla a un formato reutilizable (RDF) Iniciativas y frameworks de desarrollo

• Utilizar la nube para alojar sitios de open data Ley deja fuera del ámbito de la información a

compartir aquella de carácter secreto o personal

Pago por el uso que se haga de los datos compartidos

http

://w

ww

.flic

kr.c

om/p

hoto

s/29

6215

67@

N00

/

20

@carlosguardiola¿Es necesario seguir hablando de “privacidad en la nube”? ¿Por qué no “privacidad”, a secas?

@carlosguardiola¿Es necesario seguir hablando de “privacidad en la nube”? ¿Por qué no “privacidad”, a secas?

5 – Conclusiones

@carlosguardiola¿Por qué siempre que pensamos en la Administración nos viene a la cabeza la gestión de expedientes?

@carlosguardiola¿Por qué siempre que pensamos en la Administración nos viene a la cabeza la gestión de expedientes?

@carlosguardiola¿Qué impide que el Sector Público pueda inspirarse en las estrategias de ahorro y eficiencia del sector privado?

@carlosguardiola¿Qué impide que el Sector Público pueda inspirarse en las estrategias de ahorro y eficiencia del sector privado?

21

@rogervonoechNo es posible resolver los problemas de hoy con las soluciones de ayer

@rogervonoechNo es posible resolver los problemas de hoy con las soluciones de ayer

5 – Conclusiones

@carlosguardiolaCuando abordamos un nuevo sistema, ¿consideramos llevar a la nube pública alguno de sus componentes? ¿Por qué no?

@carlosguardiolaCuando abordamos un nuevo sistema, ¿consideramos llevar a la nube pública alguno de sus componentes? ¿Por qué no?

@carlosguardiolaUna pérdida de continuidad de un servicio, ¿sólo pasa con proveedores en la nube?

@carlosguardiolaUna pérdida de continuidad de un servicio, ¿sólo pasa con proveedores en la nube?

22

6 - Referencias

• From Hype to Future, KPMG’s 2010 Cloud Computing Survey• Gartner Field Survey, January- February 2010• 25 Point Implementation Plan To Reform Federal Information

Technology Management, Vivek Kundra• http://www.cloudpro.co.uk/cloud-essentials/1623/dreamforce-2011-

vivek-kundra-advise-eu-cloud• http://www.cabinetoffice.gov.uk/resource-library/g-cloud-

programme-phase-2

23

Gracias por su atención

@carlosguardiolaMUCHAS GRACIAS!@carlosguardiolaMUCHAS GRACIAS!

@[email protected]@[email protected]

24

Fin de la presentación

Muchas gracias