Qué se debe saber y prever a la hora de subir información de seguros a la nube

El especialista repasa en seis breves las principales recomendaciones para tener la data en el mundo cloud. En el contrato y la negociación para estar, la clave para encontrar seguridad.

1 Fallas frecuentes en un servicio inevitable.
Cada episodio, que aqueja a celebrities, pacientes, y asegurados, subraya fallas en su cuidado. Así y todo, el 42% de los incidentes de seguridad en servidores, se dan en aquellos que son propios de las empresas y que no están en la nube. Y un servidor particular es cuatro veces más susceptible de una violación. Además, son innegables las ventajas económicas de estos servicios. Subir a la nube ya no es una cuestión en sí misma, su seguridad es otro tema.

2 Un riesgo democrático.
En el mercado de seguros el uso de servicios en la nube crece vertiginosamente. Y no sólo en las grandes ligas. Hoy es imposible imaginar la gestión de los productores sin el correo electrónico, o el uso de una agenda en la web. En cierto modo, los riesgos de almacenar información de terceros, en un lugar distinto de donde se practica el negocio, son «democráticos»: nadie se salva. En la Argentina, muchos abogados de aseguradoras usan Dropbox, cuyo servicio de almacenamiento fue atacado por hackers que habían robado contraseñas de acceso de otros sitios web.

3 Entrar no es tan difícil.
En alguno de los casos más célebres (Apple) los ataques pudieron ser conducidos por medio de:
3.1. Ingeniería social. Los hackers pudieron dedicarse a adivinar contraseñas de las cuentas de las celebridades. Una vez que el atacante obtiene un ID de acceso, puede intentar ingresar al sitio deseado usando la funcionalidad de «Olvidé mi contraseña».
3.2. Ataque de fuerza bruta: cualquiera que consiguiera el ID de un usuario puede intentar introducir la contraseña cientos o miles de veces, hasta acertarle a la correcta.
3.3. Intercambio de «tarjetas». Las imágenes pudieron recopilarse entre varios hackers.

4 Las consecuencias.
Seamos claros, la aseguradora (o productor) que sube data a la nube, delega el control de la seguridad de esa información en un tercero, que es el proveedor del servicio. Pero no su responsabilidad, ni civil ni penal. La misma recae en los miembros del Directorio y gerentes.

5 La clave es el contrato.
Lo principal es negociar un contrato de provisión, manteniendo en la cabeza esa responsabilidad y mitigándola, desde luego. En este punto, el proveedor debe garantizar al cliente que los terceros que accedan a la data almacenada, por ejemplo para cumplir servicios de mantenimiento, deben seguir las mismas normas de seguridad que ellos.
Para cumplir con el régimen legal, la Ley 25.326, de Protección de Datos Personales, sobre todo cuando la información subida cruza fronteras, el contrato de servicios debe establecer, cómo se conservará la data, para lograr la transparencia del servicio, identificando a los terceros que tengan acceso a la misma.
Es recomendable estudiar los protocolos de seguridad del proveedor para saber cómo reaccionar en caso de incidentes. También, investigar la arquitectura de los sistemas del proveedor, sus aplicaciones, métricas y certificaciones de seguridad y servicio. Este conocimiento previo le dará la oportunidad de negociar los cambios por anticipado.

6 Negociar, aun cuando sea complejo hacerlo.
En decir, antes de subir información, el cliente debería ser capaz de negociar esas cuestiones con su proveedor. Digo «debería», porque soy conciente de que no es fácil negociar de igual a igual con alguno de los proveedores. Pero haga una lista de aquellas condiciones que no va a ceder. En última instancia, siempre habrá otro proveedor más flexible.

* Colaboró Gabriel Paradelo, socio de Foresenics.

(fuente: http://www.cronista.com/especiales/Que-se-debe-saber-y-prever-a-la-hora-de-subir-informacion-de-seguros-a-la-nube-20160113-0021.html)