En estos días, la mayoría de las grandes empresas y muchas medianas tienen algún tipo de programa de gobierno de datos, que generalmente incluye políticas para la retención y destrucción de datos. Se han convertido en un imperativo debido al aumento de los ataques a los datos de los clientes y también a las leyes estatales y nacionales que exigen la protección de los datos de los clientes. La antigua mentalidad de "Quédatelo todo, para siempre" ha cambiado a "Si no lo tienes, no puedes violarlo".
De alguna manera, administrar las políticas de retención de datos nunca ha sido tan fácil de implementar en la nube. Los proveedores de la nube a menudo tienen plantillas sencillas y configuraciones de casilla de clic para retener sus datos durante un período específico y luego moverlos a un almacenamiento digital en frío casi fuera de línea o directamente al depósito de bits (eliminación). Simplemente haga clic, configure y pase a la siguiente prioridad de seguridad de la información.
¿Simplemente haga clic en Eliminar?
Sin embargo, voy a hacer una pregunta incómoda, una que ha estado ardiendo en mi mente por un tiempo. Qué sucede realmente con esos datos una vez que hace clic en "eliminar" en un servicio en la nube? En el mundo del hardware local, todos sabemos la respuesta; simplemente se daría de baja en el disco en el que reside. Los datos "eliminados" todavía se encuentran en el disco duro, desaparecidos de la vista del sistema operativo y esperando ser sobrescrito cuando se necesite el espacio. Para borrarlo realmente, se necesitan pasos adicionales o un software especial para sobrescribir los bits con ceros y unos aleatorios. En algunos casos, esto debe hacerse varias veces para eliminar realmente los rastros electrónicos fantasma de los datos eliminados.
Y si hace negocios con el gobierno de EE. UU. u otras entidades reguladas, es posible que deba cumplir con Estándar del Departamento de Defensa 5220.22-M, que contiene detalles sobre los requisitos de destrucción de datos para los contratistas. Estas prácticas son comunes, aunque no sean requeridas por las regulaciones. No desea que los datos que ya no necesita regresen para atormentarlo en caso de una violación. El incumplimiento del servicio de streaming de juegos de Twitch, en el que los piratas informáticos pudieron obtener acceso a básicamente todos sus datos que se remontan casi a los inicios de la empresa, incluidos los ingresos y otros detalles personales sobre sus clientes de transmisión bien pagados, es una advertencia aquí, junto con informes de otros infracciones de archivos de datos abandonados o huérfanos en los últimos años.
Falta de acceso para verificar
Por lo tanto, si bien las políticas son más fáciles de configurar y administrar en la mayoría de los servicios en la nube en comparación con los servidores locales, garantizar que se realice correctamente según el estándar del Departamento de Defensa es mucho más difícil o imposible en los servicios en la nube. ¿Cómo se sobrescribe un disco de bajo nivel de datos en la infraestructura de la nube donde no tiene acceso físico al hardware subyacente? La respuesta es que no se puede, al menos no de la forma en que solíamos hacerlo: con utilidades de software o la destrucción total de la unidad de disco físico. Ni AWS, Azure ni Google Cloud Services ofrecen ninguna opción o servicio que haga esto, ni siquiera en sus instancias dedicadas, que se ejecutan en hardware independiente. Simplemente no tiene el nivel de acceso necesario para hacerlo.
Se ignoró el alcance de los principales servicios o se respondió con declaraciones genéricas sobre cómo protegen sus datos. Qué sucede con los datos que se “liberan” en un servicio en la nube como AWS o Azure? ¿Se encuentra simplemente en un disco, sin indexar y esperando a que se sobrescriba, o se somete a algún tipo de "mezclador de bits" para dejarlo inutilizable antes de devolverlo al almacenamiento disponible en el servicio? Nadie, en este momento, parece saber o estar dispuesto a decirlo oficialmente.
Adaptarse a la nueva realidad
Debemos desarrollar un compatible con la nube de hacer destrucción que cumpla con los estándares del Departamento de Defensa, o debemos dejar de fingir y ajustar nuestros estándares a esta nueva realidad.
Tal vez los proveedores de la nube puedan crear un servicio para brindar esta capacidad, ya que solo ellos tienen acceso directo al hardware subyacente. Nunca han sido tímidos a la hora de inventar nuevos servicios por los que cobrar y, sin duda, muchas empresas estarían dispuestas a pagar por dicho servicio, si se proporcionaran los certificados de destrucción adecuados. Probablemente sería más barato que las tarifas que cobran algunas de las empresas que brindan servicios certificados de destrucción física.
Amazon, Azure, Google y cualquier servicio en la nube importante (incluso los proveedores de software como servicio) deben abordar estos problemas con respuestas reales, sin ofuscación ni jerga de marketing. Hasta entonces, solo estaremos fingiendo y esperando, rezando para que algún hacker brillante no descubra cómo acceder a estos datos huérfanos, si es que aún no lo han hecho. De cualquier manera, el Es necesario formular y responder preguntas difíciles sobre la destrucción de datos en la nube., Mejor pronto que tarde.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
