La seguridad en la nube depende de la estrategia de seguridad establecida entre el proveedor y el cliente. El cliente debe establecer claramente sus necesidades de seguridad y conocer las políticas de seguridad del proveedor. Algunos factores clave incluyen el tipo de nube (pública, privada o híbrida), el control y la localización de los datos, y la integridad y confidencialidad de la información.
2. Seguridad en la nube
La tecnologia en la nube ya es una realidad pero necesitamos conocer cuales son los riegos a los que estamos expuestos como gerentes
de TI. Cuando mencionamos riesgos hablamos de la seguridad que nos puede brindar la nube en cuanto a la migracion de los datos
(informacion de la empresa) hacia ella, pero todo esto se logra major estableciendo una buena estrategia de seguridad y es importante
comprender lo que esto involucre. La proteccion de los datos en la nube depende mucho de la relacion entre el proveedor y cliente que
forma parte de la estrategia, si el cliente conoce a cabalidad las politicas del proveedor del servicio la seguridad llega a ser altamente
aceptable y confinable.
Cabe mencionar que la seguridad es trazada por el cliente si este no establece las necesiadades claras y establece sus parametros el
proveedor no puede diseñar el servicio especifico que se require.
Otro factor a considerar para poder evaluar los riesgos del cloud computing, es el tipo de nube que se va utilizar si es privada, publica o
hibrida junto a esto se evalua la entrega del servicio si es Saas,PaaS o IaaS.
Aseguramiento de los datos en la nube
Para poder asegurar los datos se debe tener segura la parte física (ej. servidores reales) ya que es una de las exigencias de la nube, en
esto se ve involucrados todos los protocolos físicos de seguridad ya no solamente existen vulnerabilidades de software sino también de
hardware(físicas).
Como se puede observar la nube abarca dos partes en la seguridad una es la de los datos y otra la del software y con todo lo que se ha
mencionado se debe hacer conciencia en el diseño de la seguridad de los mismos en la que parte de la estrategia consiste en los
requerimientos y necesiadades del cliente al proveedor y que el cliente sepa muy bien lo que su proveedor esta brindando. Es de vital
importancia saber 3 puntos claves sobre seguridad y privacidad:
Localizacion de los datos; Control de sus datos; Transferencias seguras de sus datos.
3. Control de datos en la nube: Los controles incluyen las políticas de gobierno instituidas en el lugar para establecer que sus datos pueden quedar
asegurados. La integridad, fiabilidad y confidencialidad de sus datos que es necesario que la empresa conozca los niveles de control de los datos
en la nube y los métodos de auditoria sobre ellos.
Tipos de control establecidos para asegurar la precisión y la integridad de la entrada, salida y proceso de los datos, son:
· Los controles de validación de entrada deben asegurar que toda la entrada de datos a
Cualquier sistema o aplicación sea completa, precisa y aceptable.
· Controles de los archivos para asegurarse que los datos se manipulan con precisión
En cualquier tipo de archivo tanto de datos estructurados como no estructurados
· Controles de acceso para asegurar que únicamente las personas que están autorizadas para acceso a los datos pueden hacerlo; los
datos sensibles deben ser
· Controles en la gestión de los cambios para asegurar que los datos no se pueden
Modificar sin la autorización correspondiente.
· Controles en la realización de copias de seguridad y en la recuperación de
Datos y por ello es necesario mantener un control
· Control en la destrucción de los datos para asegurar que cuando los datos se borran de modo permanente, estos se eliminan de todos los
lugares donde puedan estar grabados.
Seguridad en la nube
4. Antes de firmar el contrato con el proveedor de la nube debe asegurarse que en el mismo y
En el acuerdo de nivel de servicios
- Integridad de los datos.
- Cumplimiento de estándares y regulaciones propias de su negocio.
- Pérdida de datos.
- Planes de continuidad del negocio.
- Tiempo de operación. Aunque su proveedor le señalara que sus datos estarán disponibles se debe comprobar en el contrato y verificar si este
tiempo incluye las operaciones de mantenimiento.
- Costes de almacenamiento de datos. Verificar que el “almacenamiento de datos”. Que este incluido el coste de mover los datos en la nube.
-Terminación del contrato. Si el contrato se termina, asegurar que se destruyen los datos y que no se quedan “flotando” en la nube.
- Propiedad de los datos. Algunos proveedores de servicios pueden desear analizar sus datos para fines estadísticos, mezclarlos con otros
datos,
-Cambio de proveedores. Si se crean aplicaciones y datos con un proveedor y se
Decide cambiar de proveedor, es importante que el cliente conozca estos términos antes de cerrar el acuerdo.
Objetivos de la seguridad de la información en la nube el desarrollo del software seguro se basa en la aplicación de principios de diseño de
software seguro que forman los principios fundamentales del aseguramiento del software
Seguridad en la nube
5. La confidencialidad se refiere a la prevención de la divulgación (revelación) de información no autorizada tanto intencionada como no intencionada. La
confidencialidad en los sistemas de la nube se refiere a las áreas de derechos propiedad intelectual, cobertura de canales,
Análisis de tráfico, cifrado e inferencia.
Elementos de telecomunicaciones utilizados para asegurar la confidencialidad son:
· Protocolos de seguridad de redes
· Servicios de autenticación de claves
· Servicios de cifrado (encriptación) de datos
La integridad es la garantía de que el mensaje enviado es el mensaje recibido y que el
Mensaje no ha sido alterado intencionadamente o no. Esta seguridad de la integridad de los
Datos se debe garantizar en el tránsito y en el almacenamiento de los datos.
Los requerimientos para el cumplimiento de la integridad deben contemplar:
· Validación del origen de los datos
· Detección de la alteración de los datos
· Determinación de que el origen de los datos se ha cambiado
Algunos de los elementos utilizados para asegurar la integridad incluyen las siguientes
Características:
· Servicios de cortafuegos
· Gestión de seguridad de las comunicaciones
· Servicios de detección de intrusiones
Principios de la integridad, Las modificaciones a los datos no pueden hacerse por procesos o personal no Autorizado.
· Las modificaciones no autorizadas no se hacen a los datos por personas o procesos Autorizados.
Seguridad en la nube